使用動作中心

  • 14 分鐘

控制中心

Microsoft Defender 入口網站的整合控制中心,會針對一個位置中您的裝置、電子郵件和共同作業內容及身分識別,列出擱置和已完成補救動作。

整合控制中心會整合適用於端點的 Defender 和適用於 Office 365 的 Defender 的補救動作。 這會定義所有補救動作的通用語言,並提供整合調查體驗。 您的安全性作業小組有「單一窗口」體驗,檢視和管理補救動作。

控制中心包含擱置和歷程記錄項目:

  • [擱置] 會顯示需要注意的進行中調查清單。 您的安全性作業小組也會看到可以核准或拒絕的建議動作。 [擱置] 索引標籤只會在有需要核准 (或拒絕) 的擱置動作時,才會出現。

  • [歷程記錄] 如同下列所有項目的稽核記錄:

    • 執行自動化調查後所採取的補救動作

    • 您的安全性作業小組核准的補救動作 (一些可以復原的動作,例如將檔案傳送至隔離區)

    • 已執行的命令和在即時回應工作階段中套用的補救動作 (有些動作可以復原)

    • Microsoft Defender 防毒軟體套用的補救動作 (有些動作可以復原)

選取 [自動化調查],然後前往控制中心。

Screenshot of the Microsoft Defender XDR Action center.

當自動化調查開始執行時,每件調查的辨識項都會產生判定結果。 判定結果可能是「惡意」、「可疑」或「查無威脅」,視下列情況而定:

  • 威脅的類型

  • 產生的判定結果

  • 您組織的裝置群組設定方式

補救動作會自動執行,或只在貴組織安全性作業小組核准後執行。

檢閱擱置動作

核准或拒絕擱置動作:

  • 在 [擱置] 索引標籤中選取任一項目。

  • 從任一類別中選取一項調查,開啟可核准或拒絕補救動作的面板。

並顯示其他詳細資料,例如檔案或服務詳細資料、調查詳細資料和警示詳細資料。 您可以從面板中選取 [開啟調查頁面] 連結,以查看調查詳細資料。 您也可以選取多個調查,以一次核准或拒絕對多個調查的動作。

檢閱已完成的動作

檢閱已完成的動作:

  • 選取 [歷程記錄] 索引標籤 (如有需要,請展開時間間隔以顯示更多資料)。

  • 選取項目,以檢視有關該補救動作的詳細資料。

復原已完成的動作

您已判斷裝置或檔案不是威脅。 您可以復原已採取的補救動作,不論這些動作是自動或手動執行。 您可以復原下列任何動作:

  • 來源

    • 自動化調查

    • Microsoft Defender 防毒軟體

    • 手動回應動作

  • 支援的動作

    • 隔離裝置

    • 限制程式碼執行

    • 隔離檔案

    • 移除登錄機碼

    • 停止服務

    • 停用驅動程式

    • 移除排程工作

從跨多個裝置的隔離區中移除檔案

從跨多個裝置的隔離區中移除檔案:

  1. 在 [歷程記錄] 索引標籤上,選取 [動作類型] 包含 [隔離] 的檔案。

  2. 在畫面右側的窗格中,選取 [Apply to X more instances of this file] (將這個檔案的更多實例套用到 X),然後選取 [復原]。

檢視動作來源詳細資料

控制中心包含 [動作來源] 欄,指出每個動作的來源。 下表說明可能的動作來源值:

動作來源值 描述
手動裝置動作 對裝置採取的手動動作。 範例包括裝置隔離或檔案隔離。
手動電子郵件動作 對電子郵件地址採取的手動動作。 範例包括虛刪除電子郵件訊息或補救電子郵件訊息。
自動化裝置動作 對實體 (例如檔案或處理序) 採取的自動化動作。 自動化動作的範例包括傳送檔案至隔離區、停止處理序,以及移除登錄機碼。
自動化電子郵件動作 對電子郵件內容 (例如電子郵件訊息、附件或 URL) 採取的自動化動作。 自動化動作的範例包括虛刪除電子郵件訊息、封鎖 URL 以及關閉外部郵件轉送。
進階搜補動作 使用進階搜補功能對裝置或電子郵件採取的動作。
Explorer 動作 使用 Explorer 對電子郵件內容採取的動作。
手動即時回應動作 使用即時回應功能對裝置執行的動作。 範例包括刪除檔案、停止執行序及移除已排程的工作。
即時回應動作 使用適用於端點的 Microsoft Defender API 在裝置上執行的動作。 動作範例包括隔離裝置、執行防毒掃描及取得檔案的相關資訊。

提交

在擁有 Exchange Online 信箱的 Microsoft 365 組織中,系統管理員可以使用 Microsoft Defender 入口網站中的提交入口網站,將電子郵件訊息、URL 和附件提交給 Microsoft 進行掃描。

當您提交電子郵件訊息進行分析時,您會獲得:

  • 電子郵件驗證檢查:電子郵件在傳遞之後驗證成功或失敗的詳細資料。
  • 原則命中數:可能已允許或封鎖電子郵件傳入租用戶的任何原則相關資訊,這會覆寫我們的服務篩選決策。
  • 承載信譽/引爆:郵件中任何 URL 和附件的最新檢查。
  • 評分者分析:由評分人員進行檢閱,以確認郵件是否為惡意。

重要

並非所有租用戶都會執行承載信譽/引爆和評分者分析。 當資料基於合規性目的而不應該離開租用戶界限時,就會封鎖資訊移至組織外部。

開始之前有哪些須知?

  • 若要將郵件和檔案提交給 Microsoft,您需要具備下列其中一個角色:

    Microsoft Defender 入口網站的安全性系統管理員或安全性讀取者。

  • 系統管理員最早可以提交 30 天前的郵件,前提是郵件仍在信箱中可用,且未遭到使用者或其他系統管理員清除。

  • 系統管理員提交會以下列速率進行節流:

    任意 15 分鐘期間內的最大提交數:150 個提交

    24 小時期間內的相同提交:三個提交

    15 分鐘期間內的相同提交:一個提交

向 Microsoft 回報可疑的內容

在 [提交] 頁面上,確認根據您要回報的內容類型選取了 [電子郵件]、[電子郵件附件] 或 [URL] 索引標籤。 然後選取提交給 Microsoft 進行分析圖示。 提交給 Microsoft 進行分析。

使用出現的 [Submit to Microsoft for analysis] (提交給 Microsoft 進行分析) 飛出視窗來提交個別的內容類型 (電子郵件、URL 或電子郵件附件)。

注意

檔案和 URL 提交無法在不允許資料離開環境的雲端中使用。 選取 [檔案] 或 [URL] 的功能會呈現灰色。

從入口網站內通知使用者

在 [提交] 頁面上,選取 [使用者回報的郵件] 索引標籤,然後選取您要標示並通知的郵件。

選取 [Mark as and notify] (標示為並通知) 下拉式清單,然後選取 [未找到任何威脅] > [網路釣魚] 或 [垃圾郵件]。

回報的郵件會標示為誤判或誤否定。 電子郵件通知會自動從入口網站內傳送給回報郵件的使用者。

將有問題的電子郵件提交給 Microsoft

  1. 在 [選取提交類型] 方塊中,確認在下拉式清單中選取了 [電子郵件]。

  2. 在 [Add the network message ID or upload the email file] (新增網路郵件識別碼或上傳電子郵件檔案) 區段中,使用下列其中一個選項:

    • 新增電子郵件網路郵件識別碼:此識別碼是郵件中 X-MS-Exchange-Organization-Network-Message-Id 標頭或隔離郵件中 X-MS-Office365-Filtering-Correlation-Id 標頭可用的 GUID 值。

    • 上傳電子郵件檔案 (.msg 或 .eml):選取 [瀏覽檔案]。 在開啟的對話方塊中,尋找並選取 .eml 或 .msg 檔案,然後選取 [開啟]。

    在 [Choose a recipient who had an issue] (選擇有問題的收件者) 方塊中,指定您要對其執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則而略過掃描。

  3. 在 [Select a reason for submitting to Microsoft] (選取提交給 Microsoft 的原因) 區段中,選取下列其中一個選項:

    • 不應被封鎖 (誤判)
    • 應被封鎖 (誤否定):在出現的 [The email should have been categorized as] (電子郵件應被分類為) 區段中,選取下列其中一個值 (如果不確定,請自行做出最佳判斷):[網路釣魚]、[惡意程式碼] 或 [垃圾郵件]

  4. 當您完成時,選取 [提交]。

將可疑的 URL 傳送給 Microsoft

  1. 在 [選取提交類型] 方塊中,從下拉式清單選取 [URL]。

  2. 在出現的 [URL] 方塊中,輸入完整 URL。 例如: https://www.fabrikam.com/marketing.html

  3. 在 [Select a reason for submitting to Microsoft] (選取提交給 Microsoft 的原因) 區段中,選取下列其中一個選項:

    • 不應被封鎖 (誤判)
    • 應被封鎖 (誤否定):在出現的 [This URL should have been categorized as] (此 URL 應被分類為) 區段中,選取下列其中一個值 (如果不確定,請自行做出最佳判斷):[網路釣魚]、[惡意程式碼]

  4. 當您完成時,選取 [提交]。

將可疑的電子郵件附件提交給 Microsoft

  1. 在 [選取提交類型] 方塊中,從下拉式清單選取 [電子郵件附件]。

  2. 在出現的 [檔案] 區段中,選取 [瀏覽檔案]。 在開啟的對話方塊中,尋找並選取檔案,然後選取 [開啟]。

  3. 在 [Select a reason for submitting to Microsoft] (選取提交給 Microsoft 的原因) 區段中,選取下列其中一個選項:

    • 不應被封鎖 (誤判)
    • 應被封鎖 (誤否定):在出現的 [This file should have been categorized as] (此檔案應被分類為) 區段中,選取下列其中一個值 (如果不確定,請自行做出最佳判斷):[網路釣魚]、[惡意程式碼]

  4. 當您完成時,選取 [提交]。

注意

如果惡意程式碼篩選已將郵件附件取代為 Malware Alert Text.txt 檔案,您必須從包含原始附件的隔離提交原始郵件。 如需隔離及如何釋出惡意程式碼誤判郵件的詳細資訊,請參閱<以系統管理員身分管理隔離的郵件和檔案>。

檢視系統管理員對 Microsoft 的提交

在 [提交] 頁面上,確認已選取 [電子郵件]、[URL] 或 [電子郵件附件] 索引標籤。

您可以按一下可用的欄標題來排序項目。 選取 [自訂欄] 以顯示最多七欄。 預設值會以星號標示 (*):

  • 提交名稱*
  • 寄件者*
  • 收件者
  • 提交日期*
  • 提交原因*
  • 狀態*
  • 結果*
  • 篩選決策
  • 傳遞/封鎖原因
  • 提交識別碼
  • 網路郵件識別碼/物件識別碼
  • 方向
  • 寄件者 IP
  • 大量相容層級 (BCL)
  • Destination
  • 原則動作
  • 提交者
  • 網路釣魚模擬
  • 標籤*
  • 允許

完成後,請選取 [套用]。

系統管理員提交結果詳細資料

在系統管理員提交中提交的郵件會經過檢閱,並在 [提交詳細資料] 飛出視窗中顯示結果:

  • 傳遞時的寄件者電子郵件驗證是否失敗。
  • 任何可能會影響或覆寫郵件決策的原則命中數相關資訊。
  • 目前的引爆結果,以查看郵件中包含的 URL 或檔案是否為惡意。
  • 來自評分者的意見反應。

如果找到覆寫,結果應該會在幾分鐘內提供。 如果電子郵件驗證沒有問題或傳遞不受覆寫影響,則最多可能需要一天的時間才會收到來自評分者的意見反應。

檢視使用者對 Microsoft 的提交

如果您已部署 [回報郵件] 增益集、[回報為網路釣魚] 增益集,或人員使用 Outlook 網頁版中的內建報告,您可以在 [使用者回報的郵件] 索引標籤上查看使用者回報的內容。

在 [提交] 頁面上,選取 [使用者回報的郵件] 索引標籤。

您可以按一下可用的欄標題來排序項目。 選取 [自訂欄] 以顯示選項。 預設值會以星號標示 (*):

  • 電子郵件主旨*
  • 回報者*
  • 回報日期*
  • 寄件者*
  • 回報原因*
  • 結果*
  • 郵件回報識別碼
  • 網路郵件識別碼
  • 寄件者 IP
  • 回報來源
  • 網路釣魚模擬
  • 已轉換為系統管理員提交
  • 標籤*
  • 標示為*
  • 標示者
  • 標示日期

完成後,請選取 [套用]。

注意

如果組織設定為只將使用者回報的郵件傳送至自訂信箱,則回報的郵件會出現在 [使用者回報的郵件] 中,但其結果一律為空白 (因為不會重新掃描)。

復原使用者提交

一旦使用者將可疑的電子郵件提交給自訂信箱,使用者和系統管理員將不會有復原提交的選項。 如果使用者想要復原電子郵件,可以在 [刪除的郵件] 或 [垃圾郵件] 資料夾中進行復原。

將使用者回報的郵件從自訂信箱轉換為系統管理員提交

如果您已設定自訂信箱攔截使用者回報的郵件,而不傳送郵件給 Microsoft,您可以尋找並傳送特定郵件給 Microsoft 進行分析。

在 [使用者回報的郵件] 索引標籤上,依序選取清單中的郵件和 [Submit to Microsoft for analysis] (提交給 Microsoft 進行分析),然後從下拉式清單選取下列其中一個值:

  • 回報為非垃圾郵件
  • 回報為網路釣魚
  • 回報為惡意程式碼
  • 回報為垃圾郵件
  • 觸發調查