Dela via

Vidta åtgärder för avancerade jaktfrågeresultat

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Du kan snabbt innehålla hot eller hantera komprometterade tillgångar som du hittar i avancerad jakt med hjälp av kraftfulla och omfattande åtgärdsalternativ. Med de här alternativen kan du:

  • Vidta olika åtgärder på enheter
  • Karantänfiler

Nödvändiga behörigheter

Om du vill vidta åtgärder på enheter via avancerad jakt behöver du en roll i Microsoft Defender för Endpoint med behörighet att skicka reparationsåtgärder på enheter.

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Om du inte kan vidta åtgärder kontaktar du en global administratör om att få följande behörighet:

Aktiva reparationsåtgärder > Hot- och sårbarhetshantering – Åtgärdshantering

Om du vill vidta åtgärder för e-postmeddelanden via avancerad jakt behöver du en roll i Microsoft Defender för Office 365 för att söka efter och rensa e-postmeddelanden.

Vidta olika åtgärder på enheter

Du kan vidta följande åtgärder på enheter som identifieras av kolumnen i frågeresultatet DeviceId :

  • Isolera berörda enheter så att de innehåller en infektion eller förhindra att attacker flyttas i efterhand
  • Samla in undersökningspaket för att få mer kriminalteknisk information
  • Kör en antivirusgenomsökning för att hitta och ta bort hot med hjälp av de senaste uppdateringarna för säkerhetsinformation
  • Starta en automatiserad undersökning för att kontrollera och åtgärda hot på enheten och eventuellt andra berörda enheter
  • Begränsa appkörningen till endast Microsoft-signerade körbara filer, vilket förhindrar efterföljande hotaktivitet via skadlig kod eller andra ej betrodda körbara filer

Mer information om hur dessa svarsåtgärder utförs via Microsoft Defender för Endpoint finns i om svarsåtgärder på enheter.

Karantänfiler

Du kan distribuera karantänåtgärden på filer så att de placeras i karantän automatiskt när de påträffas. När du väljer den här åtgärden kan du välja mellan följande kolumner för att identifiera vilka filer i frågeresultaten som ska placeras i karantän:

  • SHA1: I de flesta avancerade jakttabeller refererar den här kolumnen till SHA-1 för filen som påverkas av den registrerade åtgärden. Om en fil till exempel kopierades skulle den påverkade filen vara den kopierade filen.
  • InitiatingProcessSHA1: I de flesta avancerade jakttabeller refererar den här kolumnen till filen som ansvarar för att initiera den registrerade åtgärden. Om en underordnad process till exempel startades skulle den här initierarfilen vara en del av den överordnade processen.
  • SHA256: Den här kolumnen är SHA-256-motsvarigheten till filen som identifieras av SHA1 kolumnen.
  • InitiatingProcessSHA256: Den här kolumnen är SHA-256-motsvarigheten till filen som identifieras av InitiatingProcessSHA1 kolumnen.

Mer information om hur karantänåtgärder vidtas och hur filer kan återställas finns i svarsåtgärder på filer.

Obs!

För att hitta filer och placera dem i karantän bör frågeresultaten även innehålla DeviceId värden som enhetsidentifierare.

Om du vill vidta någon av de beskrivna åtgärderna väljer du en eller flera poster i frågeresultatet och väljer sedan Vidta åtgärder. En guide vägleder dig genom processen att välja och sedan skicka dina önskade åtgärder.

Skärmbild av alternativet Vidta åtgärder i Microsoft Defender-portalen.

Vidta olika åtgärder för e-postmeddelanden

Förutom enhetsfokuserade reparationssteg kan du även vidta vissa åtgärder för e-postmeddelanden från dina frågeresultat. Välj de poster som du vill vidta åtgärder på, välj Vidta åtgärder och välj sedan ditt val under Välj åtgärder från följande:

  • Move to mailbox folder – välj den här åtgärden för att flytta e-postmeddelandena till mappen Skräppost, Inkorgen eller Borttaget

    Observera att du kan flytta e-postresultat som består av objekt i karantän (till exempel vid falska positiva identifieringar) genom att välja alternativet Inkorg .

    Skärmbild av inkorgsalternativet under fönstret Vidta åtgärder i Microsoft Defender-portalen.

  • Delete email – välj den här åtgärden för att flytta e-postmeddelanden till mappen Borttagna objekt (mjuk borttagning) eller ta bort dem permanent (hård borttagning)

    Om du väljer Mjuk borttagning tas meddelandena automatiskt bort från avsändarens mapp Skickat om avsändaren finns i organisationen.

    Skärmbild av alternativet Vidta åtgärder i Microsoft Defender-portalen.

    Automatisk mjuk borttagning av avsändarens kopia är tillgänglig för resultat med hjälp av tabellerna EmailEvents och EmailPostDeliveryEvents men inte tabellen UrlClickEvents . Dessutom bör resultatet innehålla kolumnerna EmailDirection och SenderFromAddress kolumnerna för det här åtgärdsalternativet som ska visas i guiden Vidta åtgärder. Rensningen av avsändarens kopiering gäller för e-postmeddelanden inom organisationen och utgående e-postmeddelanden, vilket säkerställer att endast avsändarens kopia tas bort mjukt för dessa e-postmeddelanden. Inkommande meddelanden ligger utanför omfånget.

    Se följande fråga som referens:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

Du kan också ange ett reparationsnamn och en kort beskrivning av den åtgärd som vidtagits för att enkelt spåra den i åtgärdscenterhistoriken. Du kan också använda godkännande-ID:t för att filtrera efter dessa åtgärder i åtgärdscentret. Det här ID:t tillhandahålls i slutet av guiden:

guiden vidta åtgärder som visar välj åtgärder för entiteter

Dessa e-poståtgärder gäller även anpassade identifieringar .

Granska åtgärder som vidtagits

Varje åtgärd registreras individuellt i åtgärdscentret under Åtgärdscenterhistorik> (security.microsoft.com/action-center/history). Gå till åtgärdscentret för att kontrollera status för varje åtgärd.

Obs!

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.