Konfigurieren Sie die Funktion zum Stoppen und Quarantänen von Dateien in Microsoft Defender for Endpoint
- Aktualisiert1. Feb. 2024
- 1 Minute Lesedauer
- Washington DC
- "Integrationen mit Security Incident Response"
Dateien über die Microsoft Defender-Plattform anhalten und unter Quarantäne stellen
Vorbereitungen
Unterstützte erkennbare Typen: SHA1-Hash
| Eingabe | Beschreibung |
|---|---|
| Anmerkung | (Erforderlicher) Kommentar, der der Aktion zugeordnet werden soll) |
Erforderliche Rolle: sn_si.admin oder sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Sie können die Aktion „Datei anhalten und unter Quarantäne stellen“ nur für bestimmte erkennbare Elemente vom Typ SHA1 ausführen. Speichern Sie die Details in der Tabelle „Zusätzliche Aktionen für Endpunkt“. Sie können die Funktion „Datei anhalten und unter Quarantäne stellen“ über die zugehörige Liste „Microsoft Defender for Endpoint – Zugehörige Computer“ auslösen.
Prozedur
- Navigieren zu .
- Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender for Endpoint-Informationen überprüfen möchten.
- Klicken Sie im Abschnitt „ Zugehörige Links“ auf Alle zugehörigen Listen anzeigen.
- Klicken Sie auf die zugehörige Liste Microsoft Defender for Endpoint Related Machines (Details zu zugehörigen Computern).
- Wählen Sie einen oder mehrere Datensätze aus.
- Wählen Sie unter Aktionen für ausgewählte Zeilen die Funktion Stoppen und Datei unter Quarantäne stellen aus.
- Validieren Sie die Automatisierungsaktivität und den Aktivitätenbereich.
- Zeigen Sie die Daten an, und validieren Sie die Daten in den zugehörigen Listen.
- Zeigen Sie die Automatisierungsaktivitäten der Ausführung an, und validieren Sie sie.
Verwandte Inhalte
- Konfigurieren Sie die Fähigkeit „Host isolieren“ in Microsoft Defender for Endpoint
Isolieren Sie den Host basierend auf der Schwere des Angriffs vom Zugriff auf das Netzwerk in Microsoft Defender for Endpoint. Durch die Isolierung des Hosts vom Netzwerk können Sie weitere böswillige Aktivitäten oder potenzielle Angriffe auf andere Hosts verhindern.
- Konfigurieren Sie die Funktion „Hostisolierung entfernen“ in Microsoft Defender for Endpoint
Entfernen Sie bei Bedarf die Isolierung eines Hosts, der zuvor in Microsoft Defender for Endpointvom Netzwerk isoliert war. Sie können andere böswillige Aktivitäten oder potenzielle Angriffe auf andere Hosts verhindern.
- Konfigurieren Sie die Funktion Antivirus-Scan ausführen in Microsoft Defender for Endpoint
Initiieren Sie per Remotezugriff einen Antivirenscan, um Malware zu identifizieren und zu beheben, die möglicherweise auf einem gefährdeten Gerät vorhanden ist. Führen Sie den Scan als Teil des Untersuchungs- oder Reaktionsprozesses aus.
- Konfigurieren Sie die Funktion „App-Ausführung einschränken“ in Microsoft Defender for Endpoint
Um einen Angriff einzudämmen, beschränken oder sperren Sie ein Gerät und verhindern, dass nachfolgende Versuche potenziell schädlicher Programme ausgeführt werden.
- Konfigurieren Sie die Funktion „App-Beschränkung entfernen“ in Microsoft Defender for Endpoint
Entfernen Sie bei Bedarf die Einschränkungen einer Anwendung auf dem Gerät.
- Konfigurieren Sie die Fähigkeit Zugehörige Computer aus Defender-Fähigkeit abrufen in Microsoft Defender for Endpoint
Ruft die Liste der zugehörigen Computer bestimmter erkennbarer Elemente ab.