在操作中心查看和管理操作
适用于:
- Microsoft Defender XDR
Microsoft Defender XDR中的威胁防护功能可能会导致某些修正操作。 下面是一些示例:
- 自动调查 可能会导致自动执行的修正操作或等待批准。
- 防病毒、反恶意软件和其他威胁防护功能可能会导致修正操作,例如阻止文件、URL 或进程,或者将项目发送到隔离区。
- 安全运营团队可以手动执行修正操作,例如在 高级搜寻 期间或调查 警报 或 事件时。
若要导航到操作中心,请执行以下步骤之一:
- 转到 https://security.microsoft.com/action-center;或
- 在Microsoft Defender门户 (https://security.microsoft.com) 的“自动调查 & 响应卡”中,选择“在操作中心批准”。
在操作中心中查看挂起的操作
应尽快批准(或拒绝)挂起的操作,以便自动调查可以继续并及时完成。
转到Microsoft Defender门户并登录。
在导航窗格中的“操作和提交”下,选择 “操作中心”。
在“操作中心”的“ 挂起 ”选项卡上,选择列表中的项。 此时会打开其浮出控件窗格。 下面是一个示例。
查看浮出控件窗格中的信息,然后执行以下步骤之一:
- 选择“打开调查页面”以查看有关调查的更多详细信息。
- 选择“批准”以启动待处理的操作。
- 选择“拒绝”以阻止执行待处理的操作。
- 选择“ 执行搜寻 ”以进入 “高级搜寻”。
提示
现在有更多的选项可用于查看和批准/拒绝修正操作。 除了使用操作中心,还可以在查看事件时批准或拒绝修正操作。 有关详细信息,请参阅 批准或拒绝修正操作。
撤消已完成的操作
如果已确定设备或文件不是威胁,则可以撤消已采取的修正操作,无论这些操作是自动执行的还是手动执行的。 在操作中心的“ 历史记录 ”选项卡上,可以撤消以下任何操作:
操作源 | 支持的操作 |
---|---|
- 自动调查 - Microsoft Defender防病毒 - 手动响应操作 |
- 隔离设备 - 包含设备 - 包含用户 - 限制代码执行 - 隔离文件 - 删除注册表项 - 停止服务 - 禁用驱动程序 - 删除计划任务 |
撤消一个修正操作
转到操作中心 (https://security.microsoft.com/action-center) 并登录。
在“ 历史记录 ”选项卡上,选择要撤消的操作。
在屏幕右侧的窗格中,选择“ 撤消”。
撤消多个修正操作
转到操作中心 (https://security.microsoft.com/action-center) 并登录。
在“ 历史记录 ”选项卡上,选择要撤消的操作。 请确保选择具有相同操作类型的项目。 此时会打开浮出控件窗格。
在浮出控件窗格中,选择“ 撤消”。
从多个设备的隔离中删除文件
转到操作中心 (https://security.microsoft.com/action-center) 并登录。
在“ 历史记录 ”选项卡上,选择具有 “隔离文件 操作”类型的文件。
在屏幕右侧的窗格中,选择“ 应用于此文件的 X 个更多实例”,然后选择“ 撤消”。
后续步骤
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。