在操作中心查看和管理操作

适用于:

  • Microsoft Defender XDR

Microsoft Defender XDR中的威胁防护功能可能会导致某些修正操作。 下面是一些示例:

  • 自动调查 可能会导致自动执行的修正操作或等待批准。
  • 防病毒、反恶意软件和其他威胁防护功能可能会导致修正操作,例如阻止文件、URL 或进程,或者将项目发送到隔离区。
  • 安全运营团队可以手动执行修正操作,例如在 高级搜寻 期间或调查 警报事件时。

注意

必须具有相应的权限才能批准或拒绝修正操作。 有关详细信息,请参阅 先决条件

若要导航到操作中心,请执行以下步骤之一:

在操作中心中查看挂起的操作

应尽快批准(或拒绝)挂起的操作,以便自动调查可以继续并及时完成。

  1. 转到Microsoft Defender门户并登录。

  2. 在导航窗格中的“操作和提交”下,选择 “操作中心”。

  3. 在“操作中心”的“ 挂起 ”选项卡上,选择列表中的项。 此时会打开其浮出控件窗格。 下面是一个示例。

    用于批准或拒绝操作的选项

  4. 查看浮出控件窗格中的信息,然后执行以下步骤之一:

    • 选择“打开调查页面”以查看有关调查的更多详细信息。
    • 选择“批准”以启动待处理的操作。
    • 选择“拒绝”以阻止执行待处理的操作。
    • 选择“ 执行搜寻 ”以进入 “高级搜寻”。

提示

现在有更多的选项可用于查看和批准/拒绝修正操作。 除了使用操作中心,还可以在查看事件时批准或拒绝修正操作。 有关详细信息,请参阅 批准或拒绝修正操作

撤消已完成的操作

如果已确定设备或文件不是威胁,则可以撤消已采取的修正操作,无论这些操作是自动执行的还是手动执行的。 在操作中心的“ 历史记录 ”选项卡上,可以撤消以下任何操作:

操作源 支持的操作
- 自动调查
- Microsoft Defender防病毒
- 手动响应操作
- 隔离设备
- 包含设备
- 包含用户
- 限制代码执行
- 隔离文件
- 删除注册表项
- 停止服务
- 禁用驱动程序
- 删除计划任务

撤消一个修正操作

  1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

  2. 在“ 历史记录 ”选项卡上,选择要撤消的操作。

  3. 在屏幕右侧的窗格中,选择“ 撤消”。

撤消多个修正操作

  1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

  2. 在“ 历史记录 ”选项卡上,选择要撤消的操作。 请确保选择具有相同操作类型的项目。 此时会打开浮出控件窗格。

  3. 在浮出控件窗格中,选择“ 撤消”。

从多个设备的隔离中删除文件

  1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

  2. 在“ 历史记录 ”选项卡上,选择具有 “隔离文件 操作”类型的文件。

  3. 在屏幕右侧的窗格中,选择“ 应用于此文件的 X 个更多实例”,然后选择“ 撤消”。

后续步骤

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区