Action center windows 10 history

Windows 10 activity history and your privacy

Activity history helps keep track of the things you do on your device, such as the apps and services you use, the files you open, and the websites you browse. Your activity history is stored locally on your device, and if you’ve signed in to your device with a Microsoft account and given your permission, Windows sends your activity history to Microsoft. Microsoft uses the activity history data to provide you with personalized experiences (such as ordering your activities based on duration of use) and relevant suggestions (such as anticipating what your needs might be based on your activity history).

The following Windows 10 features use your activity history. Be sure to refer back to this page following future releases and updates to Windows to learn what additional services and features use your activity history:

Timeline. See a timeline of activities and be able to resume those activities from your device. For example, let’s say that you were editing a Word document on your device, but you were unable to finish before you had to leave the office for the day. If you selected the Store my activity history on this device check box on the Activity history settings page, you would see that Word activity in your timeline the following day, and for the next several days, and from there, you could resume working on it. If you selected the Send my activity history to Microsoft check box and you were unable to finish before you had to leave the office for the day, not only would you see that Word activity in your timeline for up to 30 days, but you could also resume working on it later from another device.

Cortana. When collecting activity history only on your device, Cortana lets you pick up where you left off on that device. If you choose to send your activities to the cloud, you can pick up where you left off with activities you started on other devices. Cortana will notify you about those activities so you can resume them quickly on your device, and with sync turned on, across your other devices. Note that for the cross-device “Pick up where you left off” experience to work you need to have the Browsing history permission turned On in Cortana. To do this, open Cortana’s home from the search box on the taskbar, and then select Settings > Cortana > Permissions > Manage the information Cortana can access from this device > Browsing history.

Microsoft Edge. When you use Microsoft Edge, your browsing history will be included in your activity history. Activity history will not be saved when browsing with InPrivate tabs or windows.

If you’ve signed in to your device with a Microsoft account and enabled the setting to send Microsoft your activity history, Microsoft uses your activity history data to enable cross-device experiences. So even when you switch devices, you will be able to see notifications about your activities and resume them. For example, your activity history can also be sent to Microsoft when using another Windows 10 device or certain Microsoft apps on an iOS or Android device. You can continue activities that you started from those other devices on your Windows device. Initially, this will be limited to Microsoft Edge mobile, but will soon include Office mobile apps like Word, Excel, and PowerPoint.

Microsoft will also use your activity history to improve Microsoft products and services when the setting for sending your activity history to Microsoft is enabled. We do this by applying machine-learning techniques to better understand how customers in general use our products and services. We also diagnose where customers encounter errors and then help fix them.

Regarding multiple accounts: Activity history is collected and stored locally for each local account, personal Microsoft account (MSA), or work or school account (AAD) that you have associated with your device in Settings > Accounts > Email & accounts. When you choose to send your activity history to Microsoft, activities from the primary account on that device are sent to Microsoft. If you have more than one device, and you have multiple accounts on one or more of those devices, you can see activity history from your second device’s primary account on the first device (as a secondary account). You can also see these accounts under Settings > Privacy > Activity history, where you can filter out activities from specific accounts from showing in your timeline. Hiding an account does not delete the data on the device, nor in the cloud. See the following section for more details on managing your data.

To learn more about how Microsoft products and services use this data to personalize experiences while respecting your privacy, see the Privacy Statement.

Manage activity history settings

On your device

To stop saving activity history locally on your device, select Start , then select Settings > Privacy > Activity history. On this page, clear the Store my activity history on this device check box.
Open Activity history settings

If you turn this setting off, you won’t be able to use any of the on-device features that rely on activity history, such as your timeline or Cortana’s “Pick up where you left off” feature. You will still be able to see your browsing history in Microsoft Edge.

In previous versions of Windows, this setting was called Let Windows collect my activities from this PC.

To stop sending your activity history to Microsoft, select Start , then select Settings > Privacy > Activity history. On this page, clear the Send my activity history to Microsoft check box.

If you turn this setting off, you won’t be able to use a full 30 days in your timeline or get cross-device activity experiences.

In previous versions of Windows, this setting was called Let Windows sync my activities from this PC to the cloud.

Windows has additional privacy settings that control whether app activity and browsing history data is sent to Microsoft, such as the Diagnostic data setting.

If you have a personal Microsoft account (MSA), you can manage the activity history data that is associated with your Microsoft account in the cloud by selecting Manage my Microsoft account activity data. Once you’ve signed in to the privacy dashboard, select the Activity history tab, and then select the data you want to manage.

If you have a work or school account, you can clear and delete both the activity history stored on your device and sent to the Microsoft cloud. Select Start , then select Settings > Privacy > Activity history. Under Clear activity history, select Clear.

If you have multiple accounts, and your work or school account (AAD) is the primary account on the device, then clearing your activity history will delete any of your work and/or school (AAD) activity history that is synced to the cloud. To manage your personal Microsoft account (MSA) activity history data in the cloud, select Manage my Microsoft account activity data. If you have multiple accounts (MSA/AAD) but your personal account (MSA) is your primary account on the device, and you want to delete your AAD activities, go to your other device where your work/school (AAD) account is primary, and then clear your activity history on that device.

In your timeline, you can clear individual activities, or all activities from an individual day. To do so, right-click an activity and select the option you prefer.

On your mobile device (iOS and Android)

Some apps like Microsoft Edge mobile (iOS and Android) will let you turn off browser history sharing. For other apps like Microsoft Office, you can sign out of the app from which you no longer want to send activity history to Microsoft. You can manage activity history data that is stored in the cloud for your Microsoft account by selecting Manage my Microsoft account activity data.

Источник статьи: http://support.microsoft.com/en-us/windows/-windows-10-activity-history-and-your-privacy-2b279964-44ec-8c2f-e0c2-6779b07d2cbd

Просмотр подробных сведений и результатов автоматического исследования View details and results of automated investigations

Добро пожаловать в Microsoft Defender для конечной точки— новое имя для Advanced Threat Protection в защитнике Microsoft. Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Ознакомьтесь с дополнительными сведениями об этой и других обновлениях. Read more about this and other updates here. Мы будем обновлять названия в продуктах и в документах в ближайшем будущем. We’ll be updating names in products and in the docs in the near future.

В ходе автоматического исследования и после него можно идентифицировать некоторые действия по устранению неполадок. During and after an automated investigation, certain remediation actions can be identified. В зависимости от угрозы и того, как Microsoft Defender для конечной точки настроен для вашей организации, некоторые действия по исправлению выполняются автоматически. Depending on the threat and how Microsoft Defender for Endpoint is configured for your organization, some remediation actions are taken automatically.

Если вы являетесь участником группы операций безопасности Организации, вы можете просматривать ожидающие и завершенные действия по исправлению в центре уведомлений ( https://securitycenter.windows.com/action-center ). If you’re part of your organization’s security operations team, you can view pending and completed remediation actions in the Action center (https://securitycenter.windows.com/action-center). Вы также можете воспользоваться страницей расследования ( https://securitycenter.windows.com/investigations ), чтобы просмотреть подробные сведения о расследовании. You can also use the Investigations page (https://securitycenter.windows.com/investigations) to view details about an investigation.

Если ваша организация реализовала доступ на основе ролей для управления доступом к порталу, только авторизованные пользователи или группы пользователей, которые имеют разрешение на просмотр устройства или группы устройств, смогут просматривать весь расследованный курс. If your organization has implemented role-based access to manage portal access, only authorized users or user groups who have permission to view the device or device group will be able to view the entire investigation.

Центр уведомлений The Action center

Центр уведомлений состоит из двух основных вкладок: ожидающих действий и истории. The action center consists of two main tabs: Pending actions and History.

  • Ожидающие действия Отображает список текущих исследований, требующих внимания. Pending actions Displays a list of ongoing investigations that require attention. Рекомендуемые действия, которые могут быть утверждены командой с помощью функций безопасности. Recommended actions are presented that your security operations team can approve or reject. Вкладка «ожидающие» отображается только в том случае, если есть незавершенные действия, которые необходимо утвердить (или отклонить). The Pending tab appears only if there are pending actions to be approved (or rejected).
  • История Действует как журнал аудита для всех указанных ниже элементов. History Acts as an audit log for all of the following items:
    • Действия по исправлению, собранные в результате автоматического исследования Remediation actions that were taken as a result of an automated investigation
    • Действия по исправлению, которые были утверждены командой «операции безопасности» (некоторые действия, например Отправка файла в карантин, могут быть отменены) Remediation actions that were approved by your security operations team (some actions, such as sending a file to quarantine, can be undone)
    • Команды, которые были выполнены и действия по исправлению, примененные в сеансах Live Response (некоторые действия могут быть отменены) Commands that were run and remediation actions that were applied in Live Response sessions (some actions can be undone)
    • Действия по исправлению, которые были применены антивирусной программой Microsoft Defender Antivirus (некоторые действия могут быть отменены) Remediation actions that were applied by Microsoft Defender Antivirus (some actions can be undone)

С помощью меню » Настройка столбцов » можно выбрать столбцы, которые вы хотите отобразить или скрыть. Use the Customize columns menu to select columns that you’d like to show or hide.

Вы также можете скачать весь список в формате CSV, используя функцию экспорта , указать количество отображаемых на странице элементов и переход между страницами. You can also download the entire list in CSV format using the Export feature, specify the number of items to show per page, and navigate between pages.

Страница расследования The Investigations page

На странице расследования вы найдете список всех автоматических исследований. On the Investigations page, you’ll find a list of all automated investigations. Выберите элемент в списке, чтобы просмотреть дополнительные сведения об автоматическом расследовании. Select an item in the list to view additional information about that automated investigation.

По умолчанию в списке автоматического исследования отображается исследования, инициированные за последнюю неделю. By default, the automated investigations list displays investigations initiated in the last week. Кроме того, можно выбрать другой диапазон времени из раскрывающегося меню или задать настраиваемый диапазон. You can also choose to select other time ranges from the drop-down menu or specify a custom range.

С помощью меню » Настройка столбцов » можно выбрать столбцы, которые вы хотите отобразить или скрыть. Use the Customize columns menu to select columns that you’d like to show or hide.

В этом представлении можно также загрузить весь список в формате CSV с помощью функции экспорта , указать количество элементов, отображаемых на странице, и перемещаться между страницами. From this view, you can also download the entire list in CSV format using the Export feature, specify the number of items to show per page, and navigate between pages.

Фильтры для списка исследований Filters for the list of investigations

На странице расследования вы можете просмотреть подробные сведения и использовать фильтры, чтобы сосредоточиться на определенных данных. On the Investigations page, you can view details and use filters to focus on specific information. В следующей таблице перечислены доступные фильтры. The following table lists available filters:

Filter Filter Описание Description
Состояние Status (См.: Автоматическое состояние расследований) (See Automated investigation status)
Оповещение о запуске Triggering alert Оповещение, которое инициировало автоматическое исследование The alert that initiated the automated investigation
Источник обнаружения Detection source Источник оповещения, который инициировал автоматическое исследование. The source of the alert that initiated the automated investigation
Юр Entities Сущности могут включать устройства или устройства, а также группы устройств. Entities can include device or devices, and device groups. Вы можете отфильтровать список автоматического исследования в зону на конкретном устройстве, чтобы увидеть другие расследования, связанные с устройством, или просмотреть определенные группы устройств, которые были созданы. You can filter the automated investigations list to zone in a specific device to see other investigations related to the device, or to see specific device groups that were created.
Угроза Threat Категория угрозы, обнаруженная во время автоматического исследования The category of threat detected during the automated investigation
Теги Tags Фильтрация с использованием добавленных вручную тегов, которые захватывают контекст автоматического исследования Filter using manually added tags that capture the context of an automated investigation
Комментарии Comments Выбор между фильтрацией списка между автоматическим расследованиям с примечаниями и без них Select between filtering the list between automated investigations that have comments and those that don’t

Автоматическое состояние расследования Automated investigation status

Автоматическое исследование может иметь одно из следующих значений состояния: An automated investigation can have one of the following status values:

Состояние Status Описание Description
Running Running Процесс расследования запущен и выполняется. The investigation process has started and is underway. Обнаруженные вредоносные артефакты исправлены. Malicious artifacts that are found are remediated.
Частично изучено Partially investigated Были исследованы сущности, непосредственно связанные с оповещением. Entities directly related to the alert have been investigated. Тем не менее проблема была прекращена при исследовании сопутствующих сущностей. However, a problem stopped the investigation of collateral entities. Ознакомьтесь с https://securitycenter.windows.com/investigations подробными сведениями в журнале расследования (). Check the investigation log (https://securitycenter.windows.com/investigations) for specific details.
Угроз не обнаружено No threats found Исследование завершено, и угрозы не обнаружены. The investigation has finished and no threats were identified.
Если вы подозреваете, что что-то было пропущено (например, ложное отрицательное), вы можете использовать РасширенныйПоиск. If you suspect something was missed (such as a false negative), you can use advanced hunting.
Ожидающее действие Pending action В процессе исследования обнаружена угроза, и действие по исправлению этой угрозы ожидает утверждения. The investigation has found a threat, and an action to remediate that threat is awaiting approval. Состояние ожидающего действия инициируется, когда обнаруживается какая-либо угроза с соответствующим действием. The Pending Action state is triggered when any threat with a corresponding action is found. Тем не менее, список ожидающих действий может увеличиваться по мере выполнения расследования. However, the list of pending actions can increase as an investigation runs. Проверьте журнал расследований ( https://securitycenter.windows.com/investigations ), чтобы убедиться в том, что другие элементы по-прежнему не завершены. Check the investigation log (https://securitycenter.windows.com/investigations) to see if other items are still pending completion.
Исправить Remediated Исследование завершено, все действия были утверждены (полностью исправлено). The investigation finished and all actions were approved (fully remediated).
Частично исправлено Partially remediated Исследование привело к действиям по исправлению, а некоторые были утверждены и завершены. The investigation resulted in remediation actions, and some were approved and completed. Другие действия еще не завершены. Other actions are still pending.
Прекращено системой Terminated by system Исследование остановлено. The investigation stopped. Исследование может остановиться по нескольким причинам: An investigation can stop for several reasons:
— Срок действия ожидающих расследования истек. — The investigation’s pending actions expired. Ожидающие действия могут быть недоступными после того, как вы ожидаете утверждения в течение длительного периода времени. Pending actions can time out after awaiting approval for an extended period of time.
-В списке слишком много действий. — There are too many actions in the list.
Посетите центр действий ( https://securitycenter.windows.com/action-center ), чтобы просмотреть и утвердить все ожидающие действия. Visit the Action center (https://securitycenter.windows.com/action-center) to view and approve any pending actions.
Failed Failed По крайней мере один анализатор расследования столкнулся с проблемой, из-за которой ее не удалось выполнить надлежащим образом. At least one investigation analyzer ran into a problem where it could not complete properly.

Если исследование не проходит после того, как действия по исправлению были утверждены, действия по устранению могут быть выполнены успешно. If an investigation fails after remediation actions were approved, the remediation actions might still have succeeded. Просмотрите подробные результаты в журнале расследования ( https://securitycenter.windows.com/investigations ). Check the investigation log (https://securitycenter.windows.com/investigations) for detailed results.

Очереди Queued Исследование сохраняется в очереди. An investigation is being held in a queue. По завершении других исследований начинается расследование в очереди. When other investigations complete, queued investigations begin.
Ожидание устройства Waiting for device Исследование приостановлено. Investigation paused. Исследование будет продолжаться, как только устройство станет доступно. The investigation will resume as soon as the device is available.
Прекращено пользователем Terminated by user Пользователь остановил исследование до его завершения. A user stopped the investigation before it could complete.

Просмотр подробных сведений об автоматическом расследовании View details about an automated investigation

Вы можете просматривать сведения об автоматическом расследовании, чтобы просмотреть такие сведения, как диаграмма расследования, оповещения, связанные с исследованием, и другие сведения об устройстве, в котором они были исследованы. You can view the details of an automated investigation to see information such as the investigation graph, alerts associated with the investigation, the device that was investigated, and other information.

В этом представлении вы увидите название расследования, когда оно началось и завершило работу. In this view, you’ll see the name of the investigation, when it started and ended.

Диаграмма расследования Investigation graph

На графике расследования представлено графическое представление автоматического исследования. The investigation graph provides a graphical representation of an automated investigation. Вся информация, относящаяся к расследованию, упрощена и упорядочена в конкретных разделах. All investigation-related information is simplified and arranged in specific sections. Щелкните любой из значков, чтобы перейти к соответствующему разделу с дополнительными сведениями. Clicking on any of the icons brings you the relevant section where you can view more information.

В индикаторе выполнения отображаются два индикатора состояния: A progress ring shows two status indicators:

  • Оранжевый Звонок — показывает ожидающие части расследования. Orange ring — shows the pending portion of the investigation
  • Зеленый Звонок — показывает временную часть расследования. Green ring — shows the running time portion of the investigation

В примере образа автоматическое исследование началось на 10:26:59 AM и закончено в 10:56:26 AM. In the example image, the automated investigation started on 10:26:59 AM and ended on 10:56:26 AM. Таким образом, вся проводимая расследования была проведена в течение 29 минут и 27 секунд. Therefore, the entire investigation was running for 29 minutes and 27 seconds.

Время ожидания в 16 минут и 51 секунд соответствует двум возможным ожидающим состоянийм: ожидание для актива (например, устройство может быть отключено от сети) или ожидается для утверждения. The pending time of 16 minutes and 51 seconds reflects two possible pending states: pending for asset (for example, the device might have disconnected from the network) or pending for approval.

В этом представлении можно также просматривать и добавлять примечания и теги для расследования. From this view, you can also view and add comments and tags about the investigation.

Оповещения Alerts

На вкладке » оповещения » для автоматического исследования отображаются такие сведения, как краткое описание оповещения, которое инициировало автоматическое исследование, уровень серьезности, категория, устройство, связанное с оповещением, пользователь, время в очереди, состояние, состояние расследования и назначение расследований. The Alerts tab for an automated investigation shows details such as a short description of the alert that initiated the automated investigation, severity, category, the device associated with the alert, user, time in queue, status, investigation state, and to whom the investigation is assigned.

Дополнительные оповещения на устройстве могут быть добавлены в автоматическое исследование, пока не будет обработано это исследование. Additional alerts seen on a device can be added to an automated investigation as long as the investigation is ongoing.

При выборе оповещения с помощью флажка открывается область сведений о предупреждениях, в которой есть возможность открыть страницу оповещения, управлять оповещением, изменяя его состояние, ознакомьтесь с подробными сведениями об оповещении, сведения об автоматическом расследовании, связанном устройстве, пользователе, выполнившего вход, а также примечания и журнал. Selecting an alert using the check box brings up the alerts details pane where you have the option of opening the alert page, manage the alert by changing its status, see alert details, automated investigation details, related device, logged-on users, and comments and history.

При нажатии на заголовок оповещения открывается страница оповещения. Clicking on an alert title brings you the alert page.

Устройства Devices

На вкладке » устройства » отображаются имя устройства, IP-адрес, группа, пользователи, операционная система, уровень исправления, количество расследований и время его последнего исследования. The Devices tab Shows details the device name, IP address, group, users, operating system, remediation level, investigation count, and when it was last investigated.

Устройства, отображающие одну и ту же угрозу, могут быть добавлены в текущее исследование и отображаться на этой вкладке. Если в процессе развертывания из одной сущности будет найдено 10 или больше устройств, это действие развертывания потребует утверждения и будет отображаться в представлении » ожидающие действия «. Devices that show the same threat can be added to an ongoing investigation and will be displayed in this tab. If 10 or more devices are found during this expansion process from the same entity, then that expansion action will require an approval and will be seen in the Pending actions view.

При выборе устройства с помощью этого флажка открывается область сведений о устройстве, в которой можно просмотреть дополнительные сведения, такие как сведения о устройстве и пользователи, которые вошли в систему. Selecting a device using the checkbox brings up the device details pane where you can see more information such as device details and logged-on users.

Если щелкнуть имя устройства, откроется страница устройства. Clicking on a device name brings you the device page.

Доказательств Evidence

На вкладке evidence отображаются сведения, связанные с угрозами, связанными с этим исследованием. The Evidence tab shows details related to threats associated with this investigation.

Юр Entities

На вкладке » сущности » отображаются сведения о таких сущностях, как файлы, процессы, службы, диски и IP-адреса. The Entities tab shows details about entities such as files, process, services, drives, and IP addresses. Сведения о таблице, например количество проанализированных сущностей. The table details such as the number of entities that were analyzed. Вы получите подробные сведения о том, как часто устраняются, подозрительны или не нашли угрозы. You’ll gain insight into details such as how many are remediated, suspicious, or had no threats found.

Log Log

На вкладке log представлено хронологическая детальный анализ всех действий, выполненных в оповещении. The Log tab gives a chronological detailed view of all the investigation actions taken on the alert. Вы увидите тип действия, действие, состояние, имя устройства, описание действия, примечания, введенные аналитиками, которые могли проработали для расследования, время начала выполнения, продолжительность, ожидающие длительности. You’ll see the action type, action, status, device name, description of the action, comments entered by analysts who may have worked on the investigation, execution start time, duration, pending duration.

Как и другие разделы, можно настраивать столбцы, выбирать количество элементов, отображаемых на странице, и отфильтровать журнал. As with other sections, you can customize columns, select the number of items to show per page, and filter the log.

Доступные фильтры: тип действия, действие, состояние, имя устройства и описание. Available filters include action type, action, status, device name, and description.

Вы также можете щелкнуть действие, чтобы открыть область сведений, в которой отображаются такие сведения, как сводка по действию и введенным данным. You can also click on an action to bring up the details pane where you’ll see information such as the summary of the action and input data.

Ожидающие действия Pending actions

Если на автоматическом расследовании ожидаются действия, появится всплывающее окно, похожее на приведенное ниже изображение. If there are pending actions on an automated investigation, you’ll see a pop-up similar to the following image.

Если щелкнуть ссылку «ожидающие действия», вы будете перенаправлены в центр поддержки. When you click on the pending actions link, you’ll be taken to the Action center. Вы также можете перейти на страницу со страницы навигации, перейдя в automated investigation > центр действийавтоматического исследования. You can also navigate to the page from the navigation page by going to automated investigation > Action center.

Источник статьи: http://docs.microsoft.com/ru-ru/windows/security/threat-protection/microsoft-defender-atp/auto-investigation-action-center