操作中心
作中心为事件和警报任务提供“单一窗格”体验,例如:
- 批准挂起的修正作。
- 查看已批准的修正作的审核日志。
- 查看已完成的修正操作。
由于作中心提供了工作Microsoft Defender XDR的综合视图,因此安全运营团队可以更高效地运营。
统一作中心
统一的作中心 (https://security.microsoft.com/action-center) 一个位置列出设备、电子邮件 & 协作内容和标识的挂起和已完成的修正作。
例如:
- 如果在Microsoft Defender 安全中心 () https://securitycenter.windows.com/action-center 中使用作中心,请尝试Microsoft Defender门户中的统一作中心。
- 如果已在使用 Microsoft Defender 门户,作中心 () https://security.microsoft.com/action-center 将看到一些改进。
统一的作中心汇集了跨Microsoft Defender for Endpoint和Microsoft Defender for Office 365的修正作。 它为所有修正作定义了通用语言,并提供统一的调查体验。 安全运营团队具有“单一管理平台”体验来查看和管理修正作。
如果你有适当的权限以及以下一个或多个订阅,则可以使用统一作中心:
提示
若要了解详细信息,请参阅 要求。
可以通过两种不同的方式导航到待批准的作列表:
- 转到 https://security.microsoft.com/action-center;或
- 在Microsoft Defender门户 (https://security.microsoft.com) 的“自动调查 & 响应卡”中,选择“在作中心批准”。
使用作中心
转到Microsoft Defender门户并登录。
在导航窗格中 的“作和提交”下,选择 “作中心”。 或者,在“自动调查 & 响应卡,选择”在作中心批准”。
使用 “挂起的作 ”和“ 历史记录 ”选项卡。 下表汇总了每个选项卡上将看到的内容:
Tab 说明 Pending 显示需要注意的作列表。 可以一次批准或拒绝一个作,或者选择多个作(如果作具有相同类型的作 (,例如隔离文件) )。
确保审查和批准 (或尽快拒绝) 挂起的作,以便自动调查能够及时完成。历史记录 用作已执行的作的审核日志,例如: - >由于自动调查而采取的修正作
- 对可疑或恶意电子邮件、文件或 URL 采取的修正作
- 安全运营团队批准的修正作
- 在实时响应会话期间运行的命令和修正作
- 防病毒保护采取的修正作
提供了撤消某些作的方法, (请参阅撤消 已完成的作) 。可以在作中心自定义、排序、筛选和导出数据。
- 选择列标题以按升序或降序对项目进行排序。
- 使用时间段筛选器可以查看过去一天、一周、30 天或 6 个月的数据。
- 选择要查看的列。
- 指定要在每个数据页上包含的项数。
- 使用筛选器仅查看想要查看的项目。
- 选择“ 导出 ”将结果导出到 .csv 文件。
在作中心跟踪的作
所有修正操作(无论是待批准还是已批准的操作)都可在操作中心跟踪。 可用作包括:
- 收集调查程序包
- 隔离设备 (此作可以撤消)
- 卸载计算机
- 释放代码执行
- 从隔离区中释放
- 请求示例
- 限制代码执行 (可以撤消此作)
- 运行防病毒扫描
- 停止和隔离
- 包含来自网络的设备
除了自动调查后自动采取的修正作外,作中心还跟踪安全团队为解决检测到的威胁而采取的作,以及由于Microsoft Defender XDR中威胁防护功能而执行的作。 有关自动和手动修正作的详细信息,请参阅 修正作。
查看作源详细信息
改进的作中心包括一个 作源 列,用于告知每个作的来源。 下表描述了可能的 Action 源 值:
| 作源值 | 说明 |
|---|---|
| 手动设备作 | 在设备上执行的手动作。 示例包括 设备隔离 或 文件隔离。 |
| 手动电子邮件作 | 对电子邮件执行的手动作。 示例包括软删除电子邮件或 修正电子邮件。 |
| 自动化设备作 | 对实体(例如文件或进程)执行的自动作。 自动作的示例包括将文件发送到隔离区、停止进程和删除注册表项。 (请参阅 Microsoft Defender for Endpoint.) 中的修正作 |
| 自动电子邮件作 | 对电子邮件内容(如电子邮件、附件或 URL)执行的自动作。 自动作的示例包括软删除电子邮件、阻止 URL 和关闭外部邮件转发。 (请参阅 Microsoft Defender for Office 365.) 中的修正作 |
| 高级搜寻作 | 在具有 高级搜寻功能的设备或电子邮件上执行的作。 |
| 资源管理器作 | 使用 资源管理器对电子邮件内容执行的作。 |
| 手动实时响应作 | 在具有 实时响应的设备上执行的作。 示例包括删除文件、停止进程和删除计划任务。 |
| 实时响应作 | 在具有Microsoft Defender for Endpoint API 的设备上执行的作。 作示例包括隔离设备、运行防病毒扫描以及获取有关文件的信息。 |
操作中心任务所需的权限
若要执行任务(例如在作中心批准或拒绝挂起的作),需要特定权限。 可以选择下列选项:
Microsoft Entra权限:这些角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限:
Microsoft Defender for Endpoint修正 (设备) :安全管理员角色的成员身份。
Microsoft Defender for Office 365修正 (Office 内容和电子邮件) :
- 安全管理员角色的成员身份。
和
- 角色组中的成员身份Email &分配了搜索和清除角色的协作权限。 默认情况下,此角色仅分配给Email &协作权限中的数据调查员和组织管理角色组。 可以将用户添加到这些角色组,也可以在分配了“搜索”和“清除”角色的协作权限Email &中创建新的角色组,并将用户添加到自定义角色组。
Email & Microsoft Defender门户中的协作权限:
Microsoft Defender for Office 365修正 (Office 内容和电子邮件) :
- 安全管理员角色组中的成员身份
和
- 角色组中的成员身份Email &分配了搜索和清除角色的协作权限。 默认情况下,此角色仅分配给Email &协作权限中的数据调查员和组织管理角色组。 可以将用户添加到这些角色组,也可以在分配了“搜索”和“清除”角色的协作权限Email &中创建新的角色组,并将用户添加到自定义角色组。
Microsoft Defender XDR基于角色的统一访问控制 (RBAC)
- Microsoft Defender for Endpoint修正:安全作 \ 安全数据 \ 响应 (管理) 。
-
如果Email &协作>Defender for Office 365权限为
活动, (Office 内容和电子邮件Microsoft Defender for Office 365修正。仅影响 Defender 门户,而不会影响 PowerShell) :- 电子邮件和 Teams 邮件头的读取访问权限:安全作/原始数据 (电子邮件 & 协作) /Email &协作元数据 (读取) 。
- 修正恶意电子邮件:安全作/安全数据/Email &协作高级作 (管理) 。
提示
安全管理员角色组中的成员身份Email &协作权限不会授予对作中心或Microsoft Defender XDR功能的访问权限。 对于这些角色,你需要是Microsoft Entra权限中安全管理员角色的成员。
-
- Microsoft Defender for Endpoint修正 (设备) :“活动修正作”角色的成员身份。
提示
Microsoft Entra ID中全局管理员角色的成员可以在作中心批准或拒绝任何挂起的作。 但是,作为最佳做法,应限制 全局管理员 角色的成员。 建议使用替代角色和角色组,如前面的作中心权限列表中所述。
后续步骤
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。