使用操作中心

  • 14 分钟

操作中心

Microsoft Defender 门户的统一操作中心在一个位置列出了针对设备、电子邮件和协作内容以及标识的挂起和已完成的修正操作。

统一操作中心汇集了 Defender for Endpoint 和 Defender for Office 365 中的修正操作。 它为所有修正操作定义一种共同语言,并提供统一的调查体验。 安全运营团队具有查看和管理修正操作的“单一管理平台”体验。

操作中心包含挂起项和历史项:

  • “挂起”显示需要注意的正在进行的调查列表。 会显示安全运营团队可以批准或拒绝的建议操作。 仅在有需要批准(或拒绝)的挂起操作时,才会显示“挂起”选项卡。

  • “历史记录”充当以下项的审核日志:

    • 因自动调查而采取的修正操作

    • 安全运营团队批准的修正操作(一些操作 (例如将文件发送到隔离区) 可以撤消)

    • 已运行的命令和在实时响应会话中应用的修正操作(某些操作可以撤消)

    • Microsoft Defender 防病毒应用的修正操作(某些操作可以撤消)

选择“自动调查”,然后选择“操作中心”。

Screenshot of the Microsoft Defender XDR Action center.

运行自动调查时,将为调查的每个证据生成一个裁定。 裁定可能为“恶意”、“可疑”或“未发现威胁”,具体取决于以下条件:

  • 威胁类型

  • 生成的裁定

  • 组织的设备组的配置方式

修正操作可以自动执行,也可以仅在组织的安全运营团队批准后执行。

查看挂起的操作

批准或拒绝挂起的操作:

  • 选择“挂起”选项卡上的任意项。

  • 从任何类别中选择一种调查,以打开一个可在其中批准或拒绝修正操作的面板。

将显示其他详细信息,例如文件或服务详细信息、调查详细信息以及警报详细信息。 在面板中,可以选择“打开调查页”链接来查看调查详细信息。 你还可以选择多个调查来批准或拒绝多个调查的操作。

查看已完成的操作

查看已完成的操作:

  • 选择“历史记录”选项卡。(如有必要,请展开时间段以显示更多数据。)

  • 选择一项以查看关于该修正操作的更多详细信息。

撤消已完成的操作

你已确定某个设备或文件不是威胁。 可以撤消已采取的修正操作,无论这些操作是自动采取的还是手动采取的。 可以撤消下列任一操作:

    • 自动调查

    • Microsoft Defender 防病毒

    • 手动响应操作

  • 支持的操作

    • 隔离设备

    • 限制代码执行

    • 隔离文件

    • 删除注册表项

    • 停止服务

    • 禁用驱动程序

    • 删除计划任务

跨多个设备从隔离区中删除文件

若要跨多个设备从隔离区中删除文件:

  1. 在“历史记录”选项卡上,选择具有“操作类型隔离文件”的文件。

  2. 在屏幕右侧的窗格中,选择“应用到此文件的其他 X 个实例”,然后选择“撤消”。

查看操作源详细信息

操作中心包含一个“操作源”列,用于告知每个操作的来源。 下表描述了可能的操作源值:

操作源值 说明
手动设备操作 在设备上执行的手动操作。 示例包括设备隔离或文件隔离。
手动电子邮件操作 对电子邮件采取的手动操作。 一个示例包括软删除电子邮件或修正电子邮件。
设备操作自动化 自动对实体(例如文件或进程)执行的操作。 自动化操作的示例包括将文件隔离、停止进程以及删除注册表项。
电子邮件操作自动化 自动对电子邮件内容(例如,电子邮件、附件或 URL)执行的操作。 自动化操作的示例包括软删除电子邮件、阻止 URL 和关闭外部邮件转发。
高级搜寻操作 通过高级搜寻功能对设备或电子邮件执行的操作。
资源管理器操作 使用资源管理器对电子邮件内容执行的操作。
手动实时响应操作 通过实时响应功能对设备执行的操作。 示例包括删除文件、停止进程以及删除计划的任务。
实时响应操作 通过 Microsoft Defender for Endpoint API 在设备上执行的操作。 操作示例包括隔离设备、运行防病毒扫描以及获取有关文件的信息。

提交

在拥有 Exchange Online 邮箱的 Microsoft 365 组织中,管理员可以使用 Microsoft Defender 门户中的“提交”门户,将电子邮件、URL 和附件提交到 Microsoft 进行扫描。

提交电子邮件进行分析时,你将获得以下信息:

  • 电子邮件身份验证检查:有关电子邮件身份验证在传递时是通过还是失败的详细信息。
  • 策略命中数:有关可能已允许或阻止电子邮件传入租户的任何策略的信息,覆盖我们的服务筛选器裁定。
  • 有效负载信誉/引爆:对邮件中的任何 URL 和附件进行最新的检查。
  • 评分者分析:人工评分员进行评审,以确认邮件是否是恶意的。

重要

有效负载信誉/引爆和评分者分析在所有租户中均未完成。 当数据出于符合性目的不应离开租户边界时,会阻止信息传递到组织外部。

在开始之前,你需要了解什么?

  • 若要将邮件和文件提交到 Microsoft,需要具有以下角色之一:

    Microsoft Defender 门户中的安全管理员或安全读取者。

  • 管理员可以提交 30 天内的邮件,前提是邮件在邮箱中仍然可用,并且没有被用户或其他管理员清除。

  • 管理员提交按以下速率进行限制:

    任意 15 分钟内的最大提交数量:150 个提交

    24 小时内提交相同内容的数量:3 个提交

    15 分钟内提交相同内容的数量:1 个提交

向 Microsoft 报告可疑内容

在“提交”页上,根据要报告的内容类型,核实是否选择了“电子邮件”、“电子邮件附件”或“URL”选项卡。 然后选择“提交到 Microsoft 进行分析”图标。 提交到 Microsoft 进行分析。

使用显示的“提交到 Microsoft 进行分析”浮出控件,提交相应类型的内容(电子邮件、URL 或电子邮件附件)。

注意

在不允许数据离开环境的云中,文件提交和 URL 提交不可用。 选择“文件”或“URL”的功能将灰显。

在门户中通知用户

在“提交”页上,选择“用户报告的邮件”选项卡,然后选择要标记和通知的邮件。

选择“标记并通知”下拉列表,然后选择“未发现威胁 > 钓鱼邮件/垃圾邮件”。

报告的邮件将被标记为误报或假负。 电子邮件通知会自动从门户中发送给报告该邮件的用户。

向 Microsoft 提交可疑的电子邮件

  1. 在“选择提交类型”框中,验证是否在下拉列表中选择了“电子邮件”。

  2. 在“添加网络邮件 ID”或“上传电子邮件文件”部分,使用以下选项之一:

    • 添加电子邮件网络邮件 ID:ID 是一个 GUID 值,可在邮件中的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中使用。

    • 上传电子邮件文件(.msg 或 .eml):选择“浏览文件”。 在打开的对话框中,找到并选择 .eml 或 .msg 文件,然后选择“打开”。

    在“选择有问题的收件人”框中,指定要对其运行策略检查的收件人。 策略检查将确定电子邮件是否因用户或组织策略而绕过了扫描。

  3. 在“选择提交到 Microsoft 的原因”部分中,选择以下选项之一:

    • 不应被阻止(误报)
    • 应被阻止(假负):在出现的“电子邮件应被分类为”部分中,选择以下值之一(如果不确定,请使用最佳判断):钓鱼、恶意软件或垃圾邮件

  4. 完成后,选择“提交”。

向 Microsoft 发送可疑的 URL

  1. 在“选择提交类型”框中,从下拉列表中选择“URL”。

  2. 在显示的“URL”框中,输入完整的 URL。 例如,https://www.fabrikam.com/marketing.html

  3. 在“选择提交到 Microsoft 的原因”部分中,选择以下选项之一:

    • 不应被阻止(误报)
    • 应被阻止(假负):在出现的“此 URL 应被分类为”部分中,选择以下值之一(如果不确定,请使用最佳判断):钓鱼、恶意软件

  4. 完成后,选择“提交”。

将可疑的电子邮件附件提交到 Microsoft

  1. 在“选择提交类型”框中,从下拉列表中选择“电子邮件附件”。

  2. 在显示的“文件”部分中,选择“浏览文件”。 在打开的对话框中,找到并选择文件,然后选择“打开”。

  3. 在“选择提交到 Microsoft 的原因”部分中,选择以下选项之一:

    • 不应被阻止(误报)
    • 应被阻止(假负):在出现的“此文件应被分类为”部分中,选择以下值之一(如果不确定,请使用最佳判断):钓鱼、恶意软件

  4. 完成后,选择“提交”。

注意

如果恶意软件筛选已将邮件附件替换为 Malware Alert Text.txt 文件,则需要从包含原始附件的隔离区提交原始邮件。 有关隔离以及如何释放有恶意软件误报的邮件的详细信息,请参阅“以管理员身份管理隔离的邮件和文件”。

查看管理员向 Microsoft 提交的内容

在“提交”页上,验证是否选择了“电子邮件”、“URL”或“电子邮件附件”选项卡。

可以单击可用的列标题对条目进行排序。 选择“自定义列”,最多可显示七列。 默认值用星号 (*) 标记:

  • 提交名称*
  • 发件人*
  • Recipient
  • 提交日期*
  • 提交的原因*
  • 状态*
  • 结果*
  • 筛选裁定
  • 传递/阻止原因
  • 提交 ID
  • 网络邮件 ID/对象 ID
  • 方向
  • 发送方 IP
  • 批量兼容级别 (BCL)
  • 目标
  • 策略操作
  • 提交者
  • 钓鱼模拟
  • 标记*
  • Allow

完成后,选择“应用”。

管理员提交的结果详细信息

在管理员提交中提交的邮件会经过审核,提交详细信息浮出控件中会显示结果:

  • 在传递时发件人的电子邮件身份验证是否失败。
  • 有关可能影响或覆盖邮件裁定的任何策略命中的信息。
  • 当前引爆结果,显示了邮件中包含的 URL 或文件是否是恶意的。
  • 来自评分者的反馈。

如果发现有覆盖,应在几分钟内可获得结果。 如果电子邮件身份验证没有问题,或者传递不受覆盖的影响,可能需要一天的时间才能收到来自评分者的反馈。

查看用户向 Microsoft 提交的内容

如果你已部署报告邮件加载项、报告钓鱼加载项,或者用户在 Outlook 网页版中使用内置报告,则可以在“用户报告的邮件”选项卡上看到用户正在报告的内容。

在“提交”页上,选择“用户报告的邮件”选项卡。

可以单击可用的列标题对条目进行排序。 选择“自定义列”以显示选项。 默认值用星号 (*) 标记:

  • 电子邮件主题*
  • 报告者*
  • 报告的日期*
  • 发件人*
  • 报告的原因*
  • 结果*
  • 邮件报告 ID
  • 网络邮件 ID
  • 发送方 IP
  • 报告来自
  • 钓鱼模拟
  • 转换为管理员提交
  • 标记*
  • 标记为*
  • 标记者
  • 标记日期

完成后,选择“应用”。

注意

如果组织配置为仅将用户报告的邮件发送到自定义邮箱,则报告的邮件将显示在“用户报告的邮件”中,但其结果将始终为空(因为它们不会进行重新扫描)。

撤消用户提交

用户向自定义邮箱提交了可疑电子邮件后,用户和管理员都无法选择撤消提交。 如果用户想要恢复电子邮件,它将在“已删除邮件”或“垃圾邮件”文件夹中中可供恢复。

将自定义邮箱中用户报告的邮件转换为管理员提交

如果你已将自定义邮箱配置为截获用户报告的邮件但不将邮件发送到 Microsoft,可以找到具体邮件并将其发送到 Microsoft 进行分析。

在“用户报告的邮件”选项卡上,选择列表中的邮件,选择“提交到 Microsoft 进行分析”,然后从下拉列表中选择以下值之一:

  • 报告清理
  • 报告钓鱼
  • 报告恶意软件
  • 报告垃圾邮件
  • 触发调查