Sdílet prostřednictvím


Úrovně automatizace v automatizovaných možnostech šetření a nápravy

Platí pro:

Funkce automatizovaného vyšetřování a nápravy (AIR) v Microsoft Defender pro firmy jsou předkonfigurované a nedají se konfigurovat. V Microsoft Defender for Endpoint můžete air nakonfigurovat na jednu z několika úrovní automatizace. Vaše úroveň automatizace má vliv na to, jestli se nápravné akce po vyšetřování air provádí automaticky, nebo pouze po schválení.

  • Úplná automatizace (doporučeno) znamená, že nápravné akce se provedou automaticky u artefaktů, u kterých se zjistí, že jsou škodlivé. (Úplná automatizace je ve výchozím nastavení v Defenderu pro firmy nastavená.)
  • Poloviční automatizace znamená, že některé nápravné akce se provedou automaticky, ale jiné nápravné akce čekají na schválení před provedením. (Viz tabulka v části Úrovně automatizace.)
  • Všechny akce nápravy, ať už čekající nebo dokončené, se sledují v Centru akcí (https://security.microsoft.com).

Tip

Pokud chcete dosáhnout nejlepších výsledků, doporučujeme při konfiguraci prostředí AIR použít úplnou automatizaci. Data shromážděná a analyzovaná za poslední rok ukazují, že zákazníci, kteří používají úplnou automatizaci, měli o 40 % více vzorků vysoce důvěryhodného malwaru odebraných než zákazníci, kteří používají nižší úroveň automatizace. Úplná automatizace vám může pomoct uvolnit prostředky operací zabezpečení, abyste se mohli více zaměřit na strategické iniciativy.

Poznámka

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Úrovně automatizace

Úroveň automatizace Popis
Úplná – automatická náprava hrozeb
(označuje se také jako úplná automatizace)
Při úplné automatizaci se akce nápravy provádějí automaticky u entit, které jsou považovány za škodlivé. Všechny provedené nápravné akce můžete zobrazit v Centru akcí na kartě Historie . V případě potřeby je možné nápravnou akci vrátit zpět.

Doporučuje se úplná automatizace , která je ve výchozím nastavení vybraná pro tenanty s Defenderem for Endpoint, kteří byli vytvořeni 16. srpna 2020 nebo později, a zatím nejsou definované žádné skupiny zařízení.

Úplná automatizace je ve výchozím nastavení nastavená v Defenderu pro firmy.

Semi – vyžadování schválení pro všechny složky
(označované také jako poloautomatiky)
U této úrovně poloautomatiky se vyžaduje schválení pro nápravné akce u všech souborů. Tyto čekající akce je možné zobrazit a schválit v Centru akcí na kartě Čekající . Po 7 dnech vyprší časový limit čekajících akcí. Pokud vyprší časový limit akce, chování je stejné, jako kdyby byla akce odmítnuta.

Tato úroveň poloautomatiky je ve výchozím nastavení vybraná pro tenanty vytvořené před 16. srpnem 2020 s Microsoft Defender for Endpoint bez definovaných skupin zařízení.

Semi – vyžadování schválení pro nápravu základních složek
(také typ poloautomatiky)
S touto úrovní poloautomatiky se vyžaduje schválení pro všechny nápravné akce potřebné u souborů nebo spustitelných souborů, které jsou v základních složkách. Mezi základní složky patří adresáře operačního systému, například Windows (\windows\*).

Nápravné akce je možné provádět automaticky u souborů nebo spustitelných souborů, které jsou v jiných (jiných než základních) složkách.

Čekající akce pro soubory nebo spustitelné soubory v základních složkách je možné zobrazit a schválit v Centru akcí na kartě Čeká na vyřízení .

Akce provedené se soubory nebo spustitelnými soubory v jiných složkách můžete zobrazit v Centru akcí na kartě Historie .

Střední – vyžadování schválení pro nápravu jiných než dočasných složek
(také typ poloautomatiky)
S touto úrovní poloautomatiky se vyžaduje schválení všech nápravných akcí potřebných pro soubory nebo spustitelné soubory, které nejsou* v dočasných složkách.

Dočasné složky můžou obsahovat následující příklady:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

Nápravné akce je možné provádět automaticky u souborů nebo spustitelných souborů, které jsou v dočasných složkách.

Čekající akce pro soubory nebo spustitelné soubory, které nejsou v dočasných složkách, můžete zobrazit a schválit v Centru akcí na kartě Čeká na vyřízení .

Akce provedené se soubory nebo spustitelnými soubory v dočasných složkách je možné zobrazit a schválit v Centru akcí na kartě Historie .

Žádná automatizovaná odpověď
(označuje se také jako žádná automatizace)
Bez automatizace se automatizované vyšetřování nespustí na zařízeních vaší organizace. V důsledku toho se v důsledku automatizovaného vyšetřování neprovedou žádné nápravné akce ani neprovedou. V závislosti na konfiguraci antivirových a dalších funkcí ochrany před hrozbami, jako je ochrana před potenciálně nežádoucími aplikacemi, ale můžou platit i další funkce ochrany.

* Použití možnosti Žádná automatizace se nedoporučuje, protože snižuje stav zabezpečení zařízení vaší organizace. Zvažte nastavení úrovně automatizace na plnou automatizaci (nebo alespoň na poloautomatii).

Důležité body týkající se úrovní automatizace

  • Úplná automatizace se ukázala jako spolehlivá, efektivní a bezpečná a doporučuje se všem zákazníkům. Úplná automatizace uvolní důležité prostředky zabezpečení, aby se mohly více soustředit na vaše strategické iniciativy.

  • Noví tenanti (včetně tenantů vytvořených 16. srpna 2020 nebo později) s Defenderem for Endpoint jsou ve výchozím nastavení nastaveni na úplnou automatizaci.

  • Defender pro firmy používá ve výchozím nastavení úplnou automatizaci. Defender pro firmy nepoužívá skupiny zařízení stejným způsobem jako Defender for Endpoint. Proto je úplná automatizace zapnutá a použitá pro všechna zařízení v Defenderu pro firmy.

  • Pokud váš bezpečnostní tým definoval skupiny zařízení s úrovní automatizace, nezmění se tato nastavení novým výchozím nastavením, která se zavádějí.

  • Můžete si ponechat výchozí nastavení automatizace nebo je změnit podle potřeb vaší organizace. Pokud chcete změnit nastavení, nastavte úroveň automatizace.

Poznámka

Defender pro firmy závisí při automatickém vyšetřování na ochraně v reálném čase. Aby bylo možné automatické šetření povolit, musí být povolená ochrana v reálném čase a v aktivním režimu.

Další kroky

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.