Använda åtgärdscentret
Åtgärdscenter
Det enhetliga åtgärdscentret i Microsoft Defender-portalen visar väntande och slutförda reparationsåtgärder för dina enheter, e-post och samarbetsinnehåll och identiteter på en plats.
Det enhetliga åtgärdscentret samlar reparationsåtgärder i Defender för Endpoint och Defender för Office 365. Det definierar ett gemensamt språk för alla reparationsåtgärder och ger en enhetlig undersökningsupplevelse. Ditt säkerhetsteam har en "enda fönsterruta" för att visa och hantera reparationsåtgärder.
Åtgärdscentret består av väntande och historiska objekt:
Väntar visar en lista över pågående undersökningar som kräver uppmärksamhet. Rekommenderade åtgärder visas som ditt säkerhetsteam kan godkänna eller avvisa. Fliken Väntar visas endast om det finns väntande åtgärder som ska godkännas (eller avvisas).
Historik som granskningslogg för alla följande objekt:
Åtgärdsåtgärder som har vidtagits till följd av en automatiserad undersökning
Reparationsåtgärder som har godkänts av ditt säkerhetsteam (vissa åtgärder, till exempel att skicka en fil i karantän, kan ångras)
Kommandon som kördes och reparationsåtgärder som tillämpades i livesvarssessioner (vissa åtgärder kan ångras)
Reparationsåtgärder som har tillämpats av Microsoft Defender Antivirus (vissa åtgärder kan ångras)
Välj Automatiserade undersökningar och sedan Åtgärdscenter.
När en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara skadliga, misstänkta eller inga hot som hittas beroende på:
Typ av hot
Resulterande dom
Så här konfigureras organisationens enhetsgrupper
Reparationsåtgärder kan utföras automatiskt eller endast efter godkännande av organisationens säkerhetsåtgärdsteam.
Granska väntande åtgärder
Så här godkänner eller avvisar du en väntande åtgärd:
Välj valfritt objekt på fliken Väntar.
Välj en undersökning från någon av kategorierna för att öppna en panel där du kan godkänna eller avvisa reparationsåtgärder.
Annan information, till exempel fil- eller tjänstinformation, undersökningsinformation och aviseringsinformation visas. I panelen kan du välja länken Öppna undersökningssida för att se undersökningsinformationen. Du kan också välja flera undersökningar för att godkänna eller avvisa åtgärder i flera undersökningar.
Granska slutförda åtgärder
Så här granskar du slutförda åtgärder:
Välj fliken Historik. (Om det behövs expanderar du tidsperioden för att visa mer data.)
Välj ett objekt om du vill visa mer information om reparationsåtgärden.
Ångra slutförda åtgärder
Du har fastställt att en enhet eller en fil inte är ett hot. Du kan ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. Du kan ångra någon av följande åtgärder:
Källa
Automatiserad undersökning
Microsoft Defender Antivirus
Manuella svarsåtgärder
Åtgärder som stöds
Isolera enhet
Begränsa kodkörning
Placera en fil i karantän
Ta bort en registernyckel
Stoppa en tjänst
Inaktivera en drivrutin
Ta bort en schemalagd aktivitet
Ta bort en fil från karantänen på flera enheter
Så här tar du bort en fil från karantänen på flera enheter:
På fliken Historik väljer du en fil med karantänfilen Åtgärdstyp.
I fönstret till höger på skärmen väljer du Använd för X fler instanser av den här filen och väljer sedan Ångra.
Visa information om åtgärdskällan
Åtgärdscentret innehåller en kolumn för åtgärdskällan som anger var varje åtgärd kommer ifrån. I följande tabell beskrivs möjliga värden för åtgärdskällan:
| Värde för åtgärdskälla | beskrivning |
|---|---|
| Manuell enhetsåtgärd | En manuell åtgärd som vidtas på en enhet. Exempel är enhetsisolering eller filkarantän. |
| Manuell e-poståtgärd | En manuell åtgärd som vidtas via e-post. Ett exempel omfattar mjuk borttagning av e-postmeddelanden eller reparation av ett e-postmeddelande. |
| Automatisk enhetsåtgärd | En automatiserad åtgärd som vidtas på en entitet, till exempel en fil eller process. Exempel på automatiserade åtgärder är att skicka en fil i karantän, stoppa en process och ta bort en registernyckel. |
| Automatisk e-poståtgärd | En automatiserad åtgärd som vidtas för e-postinnehåll, till exempel ett e-postmeddelande, en bifogad fil eller EN URL. Exempel på automatiserade åtgärder är mjuk borttagning av e-postmeddelanden, blockering av URL:er och avstängning av vidarebefordran av extern e-post. |
| Avancerad jaktåtgärd | Åtgärder som vidtas på enheter eller e-post med avancerad jakt. |
| Explorer-åtgärd | Åtgärder som vidtas på e-postinnehåll med Explorer. |
| Manuell direktsvarsåtgärd | Åtgärder som vidtas på en enhet med live-svar. Exempel är att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet. |
| Live-svarsåtgärd | Åtgärder som vidtas på en enhet med Api:er för Microsoft Defender för Endpoint. Exempel på åtgärder är att isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil. |
Inlagor
I Microsoft 365-organisationer med Exchange Online-postlådor kan administratörer använda inlämningsportalen i Microsoft Defender-portalen för att skicka e-postmeddelanden, URL:er och bifogade filer till Microsoft för genomsökning.
När du skickar ett e-postmeddelande för analys får du:
- E-postautentiseringskontroll: Information om huruvida e-postautentiseringen skickades eller misslyckades när den levererades.
- Principträffar: Information om principer som kan ha tillåtit eller blockerat inkommande e-post till din klientorganisation, vilket åsidosätter våra utlåtanden om tjänstfilter.
- Nyttolastrykte/detonation: Uppdaterad undersökning av url:er och bifogade filer i meddelandet.
- Graderanalys: Granska utförd av mänskliga väghyvlar för att bekräfta om meddelanden är skadliga eller inte.
Viktigt!
Nyttolastens rykte/detonation och graderanalys görs inte i alla klienter. Information blockeras från att gå utanför organisationen när data inte ska lämna klientorganisationens gräns i kompatibilitetssyfte.
Vad behöver du veta innan du börjar?
Om du vill skicka meddelanden och filer till Microsoft måste du ha någon av följande roller:
Säkerhetsadministratör eller säkerhetsläsare i Microsoft Defender-portalen.
Administratörer kan skicka meddelanden så gamla som 30 dagar om de fortfarande är tillgängliga i postlådan och inte rensas av användaren eller någon annan administratör.
Administratörsöverföringar begränsas enligt följande priser:
Maximalt antal bidrag under en period på 15 minuter: 150 inskickade
Samma inlämningar under en 24-timmarsperiod: Tre inlämningar
Samma inlämningar under en 15-minutersperiod: En sändning
Rapportera misstänkt innehåll till Microsoft
På sidan Inskickade filer kontrollerar du att fliken E-postmeddelanden, e-postbilagor eller URL:er har valts baserat på vilken typ av innehåll du vill rapportera. Välj sedan ikonen Skicka till Microsoft för analys. Skicka till Microsoft för analys.
Använd utfällbara menyn Skicka till Microsoft för analys som verkar skicka respektive typ av innehåll (e-post, URL eller e-postbilaga).
Kommentar
Fil- och URL-inlämningar är inte tillgängliga i molnen som inte tillåter att data lämnar miljön. Möjligheten att välja Fil eller URL är nedtonad.
Meddela användare från portalen
På sidan Inskickade meddelanden väljer du fliken Användarrapporterade meddelanden och väljer sedan det meddelande som du vill markera och meddela.
Välj listrutan Markera som och meddela och välj sedan Inga hot hittades > nätfiske eller skräppost.
Det rapporterade meddelandet markeras som falskt positivt eller falskt negativt. Ett e-postmeddelande skickas automatiskt från portalen till den användare som rapporterade meddelandet.
Skicka ett tvivelaktigt e-postmeddelande till Microsoft
I rutan Välj sändningstyp kontrollerar du att E-post har valts i listrutan.
I avsnittet Lägg till nätverksmeddelande-ID eller ladda upp e-postfilen använder du något av följande alternativ:
Lägg till e-postnätverksmeddelandets ID: ID:t är ett GUID-värde som är tillgängligt i rubriken X-MS-Exchange-Organization-Network-Message-Id i meddelandet eller i rubriken X-MS-Office365-Filtering-Correlation-Id i meddelanden i karantän.
Ladda upp e-postfilen (.msg eller .eml): Välj Bläddra bland filer. I dialogrutan som öppnas letar du upp och väljer filen .eml eller .msg och väljer sedan Öppna.
I rutan Välj en mottagare som hade ett problem anger du den mottagare som du vill köra en principkontroll mot. Principkontrollen avgör om e-postmeddelandet förbigick genomsökningen på grund av användar- eller organisationsprinciper.
I avsnittet Välj en orsak till att skicka till Microsoft väljer du något av följande alternativ:
- Borde inte ha blockerats (falskt positivt)
- Borde ha blockerats (Falskt negativt): I avsnittet "E-postmeddelandet borde ha kategoriserats som" som visas väljer du något av följande värden (om du inte är säker använder du ditt bästa omdöme): Nätfiske, skadlig kod eller skräppost
När du är klar väljer du Skicka.
Skicka en misstänkt URL till Microsoft
I rutan Välj sändningstyp väljer du URL i listrutan.
I rutan URL som visas anger du den fullständiga URL:en. Exempel:
https://www.fabrikam.com/marketing.htmlI avsnittet Välj en orsak till att skicka till Microsoft väljer du något av följande alternativ:
- Borde inte ha blockerats (falskt positivt)
- Borde ha blockerats (Falskt negativt): I avsnittet "Den här URL:en borde ha kategoriserats som" som visas väljer du något av följande värden (om du inte är säker använder du ditt bästa omdöme): Phish, Malware
När du är klar väljer du Skicka.
Skicka en misstänkt e-postbilaga till Microsoft
I rutan Välj sändningstyp väljer du E-postbilaga i listrutan.
I avsnittet Arkiv som visas väljer du Bläddra bland filer. I dialogrutan som öppnas letar du upp och väljer filen och väljer sedan Öppna.
I avsnittet Välj en orsak till att skicka till Microsoft väljer du något av följande alternativ:
- Borde inte ha blockerats (falskt positivt)
- Borde ha blockerats (Falskt negativt): I avsnittet "Den här filen borde ha kategoriserats som" som visas väljer du något av följande värden (om du inte är säker använder du ditt bästa omdöme): Phish, Malware
När du är klar väljer du Skicka.
Kommentar
Om filtrering av skadlig kod har ersatt meddelandebilagorna med filen Malware Alert Text.txt måste du skicka det ursprungliga meddelandet från karantänen som innehåller de ursprungliga bifogade filerna. Mer information om karantän och hur du släpper meddelanden med falska positiva skadlig kod finns i Hantera meddelanden och filer i karantän som administratör.
Visa administratörsöverföringar till Microsoft
På sidan Inskickade filer kontrollerar du att fliken E-postmeddelanden, URL eller e-postbilagor har valts.
Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att visa högst sju kolumner. Standardvärdena markeras med en asterisk (*):
- Överföringsnamn*
- Avsändaren*
- Mottagare
- Skickat datum*
- Orsak till att skicka*
- Status*
- Resultatet*
- Filtrera omdöme
- Orsak till leverans/blockering
- Sändnings-ID
- Nätverksmeddelande-ID/objekt-ID
- Riktning
- Avsändarens IP-adress
- Masskompatibel nivå (BCL)
- Mål
- Principåtgärd
- Inskickad av
- Phish-simulering
- Taggar*
- Tillåt
När du är klar väljer du Tillämpa.
Information om resultat för administratörsöverföring
Meddelanden som skickas i administratörsöverföringar granskas och resultaten visas i utfällbara utfällbara utfällbara meddelanden:
- Om det uppstod ett fel i avsändarens e-postautentisering vid tidpunkten för leveransen.
- Information om eventuella principträffar som kan ha påverkat eller åsidosätt domen i ett meddelande.
- Aktuella detonationsresultat för att se om URL:erna eller filerna i meddelandet är skadliga eller inte.
- Feedback från väghyvlar.
Om en åsidosättning hittades bör resultatet vara tillgängligt på flera minuter. Om det inte uppstod något problem med e-postautentisering eller leverans påverkades inte av en åsidosättning kan feedbacken från väghyvlar ta upp till en dag.
Visa användaröverföringar till Microsoft
Om du har distribuerat tillägget Rapportmeddelande, tillägget Rapportfiske eller om personer använder den inbyggda rapporteringen i Outlook på webben kan du se vilka användare som rapporterar på fliken Användarrapporterat meddelande.
På sidan Inskickade meddelanden väljer du fliken Användarrapporterade meddelanden.
Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att visa alternativen. Standardvärdena markeras med en asterisk (*):
- E-postämne*
- Rapporterad av*
- Datum rapporterat*
- Avsändaren*
- Rapporterad orsak*
- Resultatet*
- Meddelanderapporterat ID
- Nätverksmeddelande-ID
- Avsändarens IP-adress
- Rapporterad från
- Phish-simulering
- Konverterad till administratörsöverföring
- Taggar*
- Markerad som*
- Markerad av
- Datum markerat
När du är klar väljer du Tillämpa.
Kommentar
Om organisationer är konfigurerade för att endast skicka användarrapporterade meddelanden till den anpassade postlådan visas rapporterade meddelanden i Användarrapporterade meddelanden, men deras resultat kommer alltid att vara tomma (eftersom de inte skulle ha genomsökts igen).
Ångra användaröverföringar
När en användare skickar ett misstänkt e-postmeddelande till den anpassade postlådan har användaren och administratören inte möjlighet att ångra överföringen. Om användaren vill återställa e-postmeddelandet blir det tillgängligt för återställning i mapparna Borttagna objekt eller Skräppost.
Konvertera användarrapporterade meddelanden från den anpassade postlådan till en administratörsöverföring
Om du har konfigurerat den anpassade postlådan för att fånga upp användarrapporterade meddelanden utan att skicka meddelanden till Microsoft kan du hitta och skicka specifika meddelanden till Microsoft för analys.
På fliken Användarrapporterade meddelanden väljer du ett meddelande i listan, väljer Skicka till Microsoft för analys och väljer sedan något av följande värden i listrutan:
- Rapportrensning
- Rapportera nätfiske
- Rapportera skadlig kod
- Rapportera skräppost
- Undersökning av utlösare