在操作中心查看和管理操作

适用于：

• Microsoft Defender XDR

Microsoft Defender XDR中的威胁防护功能可能会导致某些修正操作。 下面是一些示例：

• 自动调查 可能会导致自动执行的修正操作或等待批准。
• 防病毒、反恶意软件和其他威胁防护功能可能会导致修正操作，例如阻止文件、URL 或进程，或者将项目发送到隔离区。
• 安全运营团队可以手动执行修正操作，例如在 高级搜寻 期间或调查 警报 或 事件时。

注意

必须具有相应的权限才能批准或拒绝修正操作。 有关详细信息，请参阅 先决条件。

若要导航到操作中心，请执行以下步骤之一：

• 转到 https://security.microsoft.com/action-center;或
• 在Microsoft Defender门户 (https://security.microsoft.com) 的“自动调查 & 响应卡”中，选择“在操作中心批准”。

在操作中心中查看挂起的操作

应尽快批准（或拒绝）挂起的操作，以便自动调查可以继续并及时完成。

1. 转到Microsoft Defender门户并登录。

2. 在导航窗格中的“操作和提交”下，选择 “操作中心”。

3. 在“操作中心”的“ 挂起 ”选项卡上，选择列表中的项。 此时会打开其浮出控件窗格。 下面是一个示例。

   

4. 查看浮出控件窗格中的信息，然后执行以下步骤之一：

   • 选择“打开调查页面”以查看有关调查的更多详细信息。
   • 选择“批准”以启动待处理的操作。
   • 选择“拒绝”以阻止执行待处理的操作。
   • 选择“ 执行搜寻 ”以进入 “高级搜寻”。

提示

现在有更多的选项可用于查看和批准/拒绝修正操作。 除了使用操作中心，还可以在查看事件时批准或拒绝修正操作。 有关详细信息，请参阅 批准或拒绝修正操作。

撤消已完成的操作

如果已确定设备或文件不是威胁，则可以撤消已采取的修正操作，无论这些操作是自动执行的还是手动执行的。 在操作中心的“ 历史记录 ”选项卡上，可以撤消以下任何操作：

操作源	支持的操作
- 自动调查 - Microsoft Defender防病毒 - 手动响应操作	- 隔离设备 - 限制代码执行 - 隔离文件 - 删除注册表项 - 停止服务 - 禁用驱动程序 - 删除计划任务

撤消一个修正操作

1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

2. 在“ 历史记录 ”选项卡上，选择要撤消的操作。

3. 在屏幕右侧的窗格中，选择“ 撤消”。

撤消多个修正操作

1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

2. 在“ 历史记录 ”选项卡上，选择要撤消的操作。 请确保选择具有相同操作类型的项目。 此时会打开浮出控件窗格。

3. 在浮出控件窗格中，选择“ 撤消”。

从多个设备的隔离中删除文件

1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

2. 在“ 历史记录 ”选项卡上，选择具有 “隔离文件 操作”类型的文件。

3. 在屏幕右侧的窗格中，选择“ 应用于此文件的 X 个更多实例”，然后选择“ 撤消”。

后续步骤

• 查看自动调查的详细信息和结果
• 处理误报或误报

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。