Использование центра действий

  • 14 мин

Центр уведомлений

Единый центр действий портала Microsoft Defender содержит список ожидающих и завершенных действий по исправлению для устройств, содержимого электронной почты и совместной работы и удостоверений в одном расположении.

В едином Центре уведомлений объединены действия по исправлению в Defender для конечной точки и Defender для Office 365. В нем определена общая терминология для всех действий по исправлению и реализован единый подход к исследованиям. Рабочая группа по обеспечению безопасности может воспользоваться централизованным представлением для просмотра действий по исправлению и управлению ими.

В Центре уведомлений содержатся ожидающие и исторические элементы.

  • На вкладке Ожидающие представлен список текущих исследований, требующих внимания. Также представлены рекомендуемые действия, которые ваша группа обеспечения информационной безопасности может утверждать или отклонять. Вкладка "Ожидающие" отображается только в том случае, если имеются ожидающие действия, которые необходимо утвердить (или отклонить).

  • Вкладка История выступает в качестве журнала аудита для всех следующих элементов:

    • Действия по исправлению, выполненные в результате автоматического исследования.

    • Действия по исправлению, которые были утверждены группой обеспечения информационной безопасности (некоторые действия, такие как помещение файла на карантин, можно отменить).

    • Команды, которые выполнялись, и действия по исправлению, примененные в сеансах интерактивного реагирования (некоторые действия можно отменить).

    • Действия по исправлению, которые были применены антивирусной программой Microsoft Defender (некоторые действия можно отменить).

Выберите "Автоматические исследования", а затем — "Центр уведомлений".

Screenshot of the Microsoft Defender XDR Action center.

После запуска автоматического исследования создается решение для каждого обнаруженного свидетельства. Решения могут быть следующими — "Вредоносный", "Подозрительный" и "Угрозы не найдены". На это влияет следующее:

  • тип угрозы;

  • итоговое решение;

  • настройки групп устройств в вашей организации.

Действия по исправлению могут выполняться автоматически или только после утверждения группой обеспечения информационной безопасности вашей организации.

Проверка ожидающих действий

Порядок утверждения или отклонения ожидающего действия

  • Выберите любой элемент на вкладке "Ожидающие".

  • Выберите исследование из любой категории, чтобы открыть панель, где можно утвердить или отклонить действия по исправлению.

Отображаются другие сведения, такие как сведения о файле или службе, сведения об исследовании и сведения об оповещениях. На панели можно выбрать ссылку "Открыть страницу исследования", чтобы просмотреть сведения об исследовании. Также можно выбрать несколько исследований, чтобы утвердить или отклонить действия в нескольких исследованиях.

Проверка выполненных действий

Порядок проверки выполненных действий

  • Выберите вкладку "Журнал". (При необходимости разверните представление требуемого периода времени, чтобы отобразить больше данных.)

  • Выберите элемент, чтобы просмотреть дополнительные сведения об этом действии по исправлению.

Отмена выполненных действий

Итак, вы определили, что устройство или файл не является угрозой. Теперь можно отменить действия по исправлению, которые были выполнены автоматически или вручную. Отменить можно любое из следующих действий.

  • Оригинал

    • Автоматизированное расследование

    • Антивирусная программа в Microsoft Defender

    • Ответные действия, выполняющиеся вручную

  • Поддерживаемые действия

    • Изолирование устройства

    • Ограничение выполнения кода

    • Карантин файла

    • Удаление раздела реестра

    • Остановка службы

    • Отключение драйвера

    • Удаление запланированной задачи

Удаление файла из карантина на нескольких устройствах

Для удаления файла из карантина на нескольких устройствах:

  1. На вкладке "История" выберите файл с типом действия "Поместить файл на карантин".

  2. На панели в правой части экрана выберите "Применить еще к X экземплярам этого файла", а затем выберите "Отменить".

Просмотр сведений об источнике действия

Центр уведомлений отображает столбец источника действия, который позволяет понять, откуда поступило каждое действие. В следующей таблице описаны возможные значения источника действия:

Значение источника действия Description
Действие устройства вручную Выполняемое вручную действие на устройстве. Примеры: изоляция устройства или карантин файлов.
Действие электронной почты вручную Выполняемое вручную действие с электронной почтой. Пример включает обратимое удаление сообщений электронной почты или восстановление сообщения электронной почты.
Автоматическое действие устройства Автоматическое действие, выполняемое над сущностью, такой как файл или процесс. К примерам автоматических действий относятся отправка файла в карантин, остановка процесса и удаление раздела реестра.
Автоматическое действие электронной почты Автоматическое действие, выполняемое с содержимым электронной почты, например сообщением электронной почты, вложением или URL-адресом. Примеры автоматических действий включают в себя обратимое удаление сообщений электронной почты, блокирование URL-адресов и отключение перенаправления внешних сообщений электронной почты.
Действия расширенной охоты на угрозы Действия, выполняемые на устройствах или в электронной почте при расширенной охоте.
Действие обозревателя Действия, выполняемые с содержимым электронной почты с помощью Обозревателя.
Действие динамического ответа вручную Действия, выполненные на устройстве с динамическим ответом. Примеры включают в себя удаление файла, остановку процесса и удаление запланированной задачи.
Действие динамического ответа Действия, выполненные на устройстве с помощью Microsoft Defender для API конечных точек. Примеры действий: изоляция устройства, запуск антивирусной проверки и получение сведений о файле.

Сданные работы

В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать портал отправки на портале Microsoft Defender для отправки сообщений электронной почты, URL-адресов и вложений в Корпорацию Майкрософт для сканирования.

Отправив сообщение электронной почты для анализа, вы получите следующие данные.

  • Проверка подлинности электронной почты: сведения о том, успешно ли пройдена проверка подлинности при отправке электронной почты.
  • Попадания в политику: сведения о любых политиках, которые разрешают или блокируют входящие сообщения электронной почты в клиенте, переопределяя вердикты фильтра нашей службы.
  • Репутация и отключение полезных данных: актуальный анализ всех URL-адресов и вложений в сообщении.
  • Анализ оценщиком: проверка наличия вредоносных элементов в сообщении, выполненная человеком.

Важно!

Анализ репутации и отключения полезных данных, а также анализ оценщиком выполняются не во всех арендаторах. Передача информации за пределы организации блокируется, если данные не должны покидать границу арендатора по ограничениям соответствия.

Что вам нужно знать в первую очередь?

  • Чтобы отправлять сообщения и файлы в корпорацию Майкрософт, необходимо иметь одну из следующих ролей.

    Средство безопасности Администратор istrator или средство чтения безопасности на портале Microsoft Defender.

  • Администраторы могут отправлять сообщения за последние 30 дней, сохранившиеся в почтовом ящике, то есть не удаленные пользователем или другим администратором.

  • Отправки, выполненные администратором, регулируются со следующими ограничениями.

    Максимальное количество отправки в любой период 15 минут: 150 отправки

    Одни и те же отправки в течение 24 часов: три отправки

    Одни и те же отправки в течение 15-минутного периода: одна отправка

Предупреждение корпорации Майкрософт о подозрительном содержимом

На странице отправки убедитесь, что правильно выбрана одна из вкладок "Сообщения электронной почты", "Вложения электронной почты" или "URL-адреса", в зависимости от типа отправляемого содержимого. Затем щелкните значок отправки в Корпорацию Майкрософт для анализа. Отправка к корпорацию Майкрософт для анализа.

Откроется всплывающий элемент отправки в корпорацию Майкрософт для анализа, в котором вы можете отправить соответствующий тип содержимого (сообщение электронной почты, URL-адрес или вложение электронной почты).

Примечание.

Отправки файлов и URL-адресов недоступны в облаках, которые не позволяют данным покидать среду. Возможность выбора файла или URL-адреса будет неактивна.

Уведомление пользователей через портал

На странице Submissions (Отправки) выберите вкладку User reported messages (Сообщения, переданные пользователем) и выберите сообщение, о котором вы решили сообщить.

Щелкните раскрывающийся список Mark as and notify (Пометить и уведомить) и выберите в нем No threats found (Угроз не обнаружено), Phishing (Фишинг) или Junk (Нежелательная почта).

Выбранное сообщение будет помечено как ложноположительный или ложноотрицательный результат. Автоматически пользователю, который предоставил это сообщение на проверку, с портала отправляется уведомление по электронной почте.

Отправка сомнительной электронной почты в корпорацию Майкрософт

  1. В поле Select the submission type (Выберите тип отправки) убедитесь, что в раскрывающемся списке выбрано Email (Сообщение электронной почты).

  2. В разделе "Add the network message ID or upload the email file" (Добавление идентификатора сетевого сообщения или загрузка файла электронной почты) воспользуйтесь одной из следующих трех возможностей.

    • Add the email network message ID (Добавить идентификатор сетевого сообщения электронной почты): значение ID представляет собой глобальный уникальный идентификатор, который указан в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении электронной почты, или в заголовке X-MS-Office365-Filtering-Correlation-Id, если сообщение помещено в карантин.

    • Upload the email file (.msg or .eml) (Отправить файл электронной почты в формате .msg или .eml): щелкните "Просмотр файлов". В открывшемся диалоговом окне найдите и выберите EML- или MSG-файл, а затем щелкните "Открыть".

    В поле "Choose a recipient who had an issue" (Выберите получателя, у которого возникла проблема) укажите получателя, для которого вы хотите выполнить проверку политик. Проверка политик позволит выяснить, не пропущено ли сканирование сообщения электронной почты из-за некоторых политик для пользователя или организации.

  3. В разделе "Select a reason for submitting to Microsoft" (Выберите причину отправки в корпорацию Майкрософт) выберите один из следующих вариантов.

    • Shouldn't have been blocked (False positive) (Не должно быть заблокировано (ложноположительный результат))
    • Should have been blocked (False negative) (Должно быть заблокировано (ложноотрицательный результат)): в открывшемся разделе The email should have been categorized as (Сообщение электронной почты должно быть классифицировано как) выберите одно из следующих значений (если нет уверенности, укажите предположение): фишинг, вредоносные программы или спам.

  4. По завершении нажмите кнопку Отправить.

Отправка подозрительного URL-адреса в корпорацию Майкрософт

  1. В поле "Select the submission type" (Выбрать тип отправки) выберите из раскрывающегося списка значение URL (URL-адрес).

  2. В появившемся поле для ввода URL-адреса укажите полный URL-адрес. Например, https://www.fabrikam.com/marketing.html.

  3. В разделе "Select a reason for submitting to Microsoft" (Выберите причину отправки в корпорацию Майкрософт) выберите один из следующих вариантов.

    • Shouldn't have been blocked (False positive) (Не должно быть заблокировано (ложноположительный результат))
    • Should have been blocked (False negative) (Должно быть заблокировано (ложноотрицательный результат)): в открывшемся разделе This URL should have been categorized as (URL-адрес должен быть классифицирован как) выберите одно из следующих значений (если нет уверенности, укажите предположение): фишинг или вредоносные программы.

  4. По завершении нажмите кнопку Отправить.

Отправка подозрительного вложения из электронной почты в корпорацию Майкрософт

  1. В поле "Select the submission type" (Выбрать тип отправки) выберите из раскрывающегося списка значение "Email attachment" (Вложение электронной почты).

  2. В открывшемся разделе "Файл" выберите "Обзор файлов". В открывшемся диалоговом окне найдите и выберите подозрительный файл, а затем щелкните "Открыть".

  3. В разделе "Select a reason for submitting to Microsoft" (Выберите причину отправки в корпорацию Майкрософт) выберите один из следующих вариантов.

    • Shouldn't have been blocked (False positive) (Не должно быть заблокировано (ложноположительный результат))
    • Should have been blocked (False negative) (Должно быть заблокировано (ложноотрицательный результат)): в открывшемся разделе This file should have been categorized as (Этот файл должен быть классифицирован как) выберите одно из следующих значений (если нет уверенности, укажите предположение): фишинг или вредоносные программы.

  4. По завершении нажмите кнопку Отправить.

Примечание.

Если система фильтрации вредоносных программ заменила вложения файлом оповещения "Malware Alert Text.txt", необходимо отправить исходное сообщение из карантина, куда сохраняются исходные вложения. Дополнительные сведения о карантине и о том, как освободить из него сообщения с ложноположительными обнаружением вредоносной программы, см. в статье "Управление сообщениями и файлами, помещенными в карантин, в качестве администратора".

Просмотр элементов, отправленных администраторами в корпорацию Майкрософт

На странице "Отправки" убедитесь, что выбрана вкладка "Сообщения электронной почты", "URL-адрес" или "Вложение электронной почты".

Вы можете отсортировать элементы, щелкнув доступный заголовок столбца. Выберите "Настроить столбцы", чтобы отобразить нужные столбцы (не более семи). Значения по умолчанию помечаются звездочкой (*):

  • Submission name (Имя отправки)*
  • Sender (Отправитель)*
  • Recipient
  • Date submitted (Дата отправки)*
  • Reason for submitting (Причина отправки)*
  • Status (Состояние)*
  • Result (Результат)*
  • Filter verdict (Вердикт фильтра)
  • Delivery/Block reason (Причина подтверждения или блокировки)
  • Submission ID (Идентификатор отправки)
  • Network Message ID/Object ID (Идентификатор сетевого сообщения/Идентификатор объекта)
  • Направление
  • IP-адрес отправителя
  • Bulk compliant level (BCL) (Уровень совместимости массовых операций (BCL))
  • Назначение
  • Policy action (Действие политики)
  • Кем отправлено:
  • Phish simulation (Моделирование фишинга)
  • Теги*
  • Разрешить

По завершении выберите Применить.

Сведения о результатах для элементов, отправленных администратором

Для сообщений, отправленных администраторами, результаты проверки отображаются во всплывающем элементе сведений об отправке:

  • Если во время доставки произошла ошибка проверки подлинности электронной почты отправителя.
  • Сведения о совпадениях с политиками, которые могут переопределить вердикт для сообщения или повлиять на него.
  • Текущие результаты отключения демонстрируют, являются ли вредоносными URL-адреса или файлы, содержащиеся в сообщении.
  • Обратная связь от оценщиков.

Если обнаружится переопределение вердикта, результат будет доступен уже через несколько минут. Если проблем при проверке подлинности электронной почты не возникало и при доставке не выполнялось переопределений, будет предоставлена обратная связь от оценщиков, что потребует до одного дня.

Просмотр элементов, отправленных пользователем в корпорацию Майкрософт

Если вы развернули надстройку отчета о сообщениях, надстройку отчета о фишинге или ваши сотрудники используют встроенные отчеты в Outlook в Интернете, вы можете на вкладке "User reported message" (Переданное пользователем сообщение) отслеживать переданные пользователями на проверку элементы.

На странице Submissions (Отправки) выберите вкладку User reported messages (Сообщения, переданные пользователем).

Вы можете отсортировать элементы, щелкнув доступный заголовок столбца. Выберите "Настроить столбцы", чтобы отобразить параметры. Значения по умолчанию помечаются звездочкой (*):

  • Email subject (Тема электронного письма)*
  • Reported by (Автор отчета)*
  • Date reported (Дата сообщения)*
  • Sender (Отправитель)*
  • Reported reason (Сообщаемая причина)*
  • Result (Результат)*
  • Message reported ID (Идентификатор сообщения)
  • Network Message ID (Идентификатор сетевого сообщения)
  • IP-адрес отправителя
  • Reported from (Сообщается из)
  • Phish simulation (Моделирование фишинга)
  • Converted to admin submission (Преобразовано в отправку администратора)
  • Теги*
  • Marked as (Помечено как)*
  • Marked by (Кем помечено)
  • Date marked (Когда помечено)

По завершении выберите Применить.

Примечание.

Если для организации настроена отправка сообщений, переданных пользователем на проверку, только в пользовательский почтовый ящик, эти сообщения будут отображаться в разделе "User reported message" (Переданное пользователем сообщение), но всегда с пустыми результатами (как будто повторное сканирование не выполнялось).

Отмена отправки пользователями

Когда пользователь отправляет подозрительное сообщение электронной почты в пользовательский почтовый ящик, ни сам пользователь, ни администратор не могут отменить такую отправку. Если пользователь пожелает восстановить такое сообщение электронной почты, его можно найти в папках "Удаленные" или "Нежелательная почта".

Перенос сообщений, отправленных пользователями, из пользовательского почтового ящика в отправку администратором

Если вы настроили пользовательский почтовый ящик для перехвата сообщений, переданных пользователем, без отправки сообщений в корпорацию Майкрософт, вы сможете найти конкретные сообщения и передать их в корпорацию Майкрософт для анализа.

На вкладке "User reported message" (Сообщения, переданные пользователем) выберите в списке нужное сообщение, щелкните "Submit to Microsoft for analysis" (Отправить в корпорацию Майкрософт для анализа) и выберите из раскрывающегося списка одно из следующих значений:

  • Report clean (Очистка отчета)
  • Report phishing (Фишинг отчетов)
  • Report malware (Сообщить о вредоносных программах)
  • Report spam (Сообщить о спаме)
  • Trigger investigation (Исследование триггера)