Wyjaśnienie akcji urządzenia

  • 4 min

Podczas badania urządzenia można wykonywać akcje, zbierać dane lub uzyskiwać zdalny dostęp do maszyny. Usługa Defender for Endpoint zapewnia wymaganą kontrolę urządzenia.

Możesz wykonać następujące akcje zawierające:

  • Izolowanie urządzenia

  • Ograniczanie wykonywania aplikacji

  • Uruchamianie skanowania antywirusowego

Możesz wykonać następujące akcje badania:

  • Inicjowanie zautomatyzowanego badania

  • Zbieranie pakietu badania

  • Inicjowanie sesji odpowiedzi na żywo

Centrum akcji zawiera informacje o akcjach, które zostały wykonane na urządzeniu lub pliku.

Izolowanie urządzeń z sieci

W zależności od ważności ataku i poufności urządzenia może być konieczne odizolowanie urządzenia od sieci. Ta akcja może pomóc uniemożliwić atakującemu kontrolowanie naruszonego urządzenia i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne.

Ta funkcja izolacji urządzenia powoduje rozłączenie naruszonego urządzenia z siecią przy zachowaniu łączności z usługą Defender for Endpoint, która nadal monitoruje urządzenie.

W systemie Windows 10 w wersji 1709 lub nowszej będziesz mieć inną kontrolę nad poziomem izolacji sieci. Możesz również włączyć łączność programu Outlook, Microsoft Teams i Skype dla firm (np. "Izolacja selektywna").

Po wybraniu pozycji Izoluj urządzenie na stronie urządzenia wpisz komentarz i wybierz pozycję Potwierdź. W centrum akcji zostaną wyświetlone informacje dotyczące skanowania, a oś czasu urządzenia będzie zawierać nowe zdarzenie.

Gdy urządzenie jest izolowane, zostanie wyświetlone powiadomienie informujące użytkownika, że urządzenie jest odizolowane od sieci.

Ograniczanie wykonywania aplikacji

Oprócz powstrzymania ataku przez zatrzymanie złośliwych procesów można również zablokować urządzenie i zapobiec kolejnym próbom uruchamiania potencjalnie złośliwych programów.

Ważne

Ta akcja jest dostępna dla urządzeń z systemem Windows 10 w wersji 1709 lub nowszej. Ta funkcja jest dostępna, jeśli organizacja używa Program antywirusowy Microsoft Defender. Ta akcja musi spełniać formaty zasad integralności kodu kontroli aplikacji w usłudze Windows Defender i wymagania dotyczące podpisywania. Aby ograniczyć uruchamianie aplikacji, stosowane są zasady integralności kodu, które umożliwiają uruchamianie tylko plików, jeśli są podpisane przez certyfikat wystawiony przez firmę Microsoft. Ta metoda ograniczenia może pomóc uniemożliwić atakującemu kontrolowanie zagrożonych urządzeń i wykonywanie dalszych złośliwych działań.

W dowolnym momencie będzie można odwrócić ograniczenie działania aplikacji. Przycisk na stronie urządzenia zmieni się na Usuń ograniczenia aplikacji, a następnie wykonasz te same kroki, co ograniczenie wykonywania aplikacji.

Po wybraniu pozycji Ogranicz wykonywanie aplikacji na stronie urządzenia wpisz komentarz i wybierz pozycję Potwierdź. Centrum akcji wyświetli informacje o skanowaniu, a oś czasu urządzenia będzie zawierać nowe zdarzenie.

Gdy aplikacja jest ograniczona, zostanie wyświetlone powiadomienie informujące użytkownika o ograniczeniu działania aplikacji.