Přehled automatizovaných šetření

Platí pro:

Platformy

  • Windows

Chcete se podívat, jak to funguje? Podívejte se na následující video:

Technologie automatizovaného vyšetřování používá různé kontrolní algoritmy a je založená na procesech, které používají analytici zabezpečení. Funkce AIR jsou navržené tak, aby prověřily výstrahy a okamžitě řešily porušení zabezpečení. Funkce AIR výrazně snižují objem výstrah a umožňují operacím zabezpečení zaměřit se na sofistikovanější hrozby a další cenné iniciativy. Všechny akce nápravy, ať už čekající nebo dokončené, se sledují v Centru akcí. V Centru akcí se čekající akce schvalují (nebo zamítnou) a v případě potřeby je možné dokončené akce vrátit zpět.

Tento článek obsahuje přehled prostředí AIR a obsahuje odkazy na další kroky a další zdroje informací.

Tip

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Jak se zahájí automatizované šetření

Automatizované šetření může začít při aktivaci výstrahy nebo v případě, že šetření zahájí operátor zabezpečení.

Situaci Co se stane
Aktivuje se upozornění. Obecně platí, že automatizované vyšetřování se spustí, když se aktivuje výstraha a vytvoří se incident . Předpokládejme například, že se škodlivý soubor nachází na zařízení. Když se tento soubor zjistí, aktivuje se výstraha a vytvoří se incident. Na zařízení začíná automatizovaný proces šetření. Vzhledem k tomu, že se další výstrahy generují kvůli stejnému souboru na jiných zařízeních, přidají se do přidruženého incidentu a do automatizovaného vyšetřování.
Šetření se spustí ručně. Automatizované šetření může zahájit ručně váš tým pro operace zabezpečení. Předpokládejme například, že operátor zabezpečení kontroluje seznam zařízení a zjistí, že zařízení má vysokou úroveň rizika. Operátor zabezpečení může vybrat zařízení v seznamu, aby se otevřelo jeho vysouvací panel, a pak vybrat Zahájit automatizované šetření.

Jak automatizované šetření rozšiřuje svůj rozsah

Během vyšetřování se všechny další výstrahy vygenerované ze zařízení přidají do probíhajícího automatizovaného vyšetřování, dokud se šetření nedokončí. Pokud se navíc stejná hrozba zobrazí na jiných zařízeních, přidají se tato zařízení do vyšetřování.

Pokud se inkriminovaná entita zobrazí v jiném zařízení, proces automatizovaného vyšetřování rozšíří jeho rozsah tak, aby zahrnoval toto zařízení, a na zařízení se spustí playbook s obecným zabezpečením. Pokud se během tohoto procesu rozšíření ze stejné entity najde 10 nebo více zařízení, pak akce rozšíření vyžaduje schválení a je viditelná na kartě Čekající akce .

Jak se napravují hrozby

Při aktivaci upozornění a spuštění automatizovaného vyšetřování se pro každý prošetřovaný důkaz vygeneruje verdikt. Verdikty můžou být:

  • Škodlivý;
  • Podezřelé; Nebo
  • Nenašly se žádné hrozby.

Při dosažení verdiktů můžou automatizovaná šetření vést k jedné nebo více nápravných akcím. Mezi příklady nápravných akcí patří odeslání souboru do karantény, zastavení služby, odebrání naplánované úlohy a další. Další informace najdete v tématu Nápravné akce.

V závislosti na úrovni automatizace nastavené pro vaši organizaci a dalších nastaveních zabezpečení můžou nápravné akce probíhat automaticky nebo pouze po schválení vaším týmem pro operace zabezpečení. Mezi další nastavení zabezpečení, která můžou mít vliv na automatickou nápravu, patří ochrana před potenciálně nežádoucími aplikacemi (PUA).

Všechny akce nápravy, ať už čekající nebo dokončené, se sledují v Centru akcí. V případě potřeby může váš tým pro operace zabezpečení akci nápravy vrátit zpět. Další informace najdete v tématu Kontrola a schválení nápravných akcí po automatizovaném šetření.

Tip

Podívejte se na novou sjednocenou stránku šetření na portálu Microsoft Defender. Další informace najdete na stránce Sjednocené šetření.

Požadavky na AIR

Vaše předplatné musí zahrnovat Defender for Endpoint nebo Defender pro firmy.

Poznámka

Automatizované šetření a reakce vyžadují Microsoft Defender Antivirus pro spuštění v pasivním nebo aktivním režimu. Pokud je Microsoft Defender Antivirus zakázaný nebo odinstalovaný, automatizované prověřování a reakce nebudou fungovat správně.

V současné době air podporuje pouze následující verze operačního systému:

  • Windows Server 2012 R2 (Preview)
  • Windows Server 2016 (Preview)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10 verze 1709 (build operačního systému 16299.1085 s KB4493441) nebo novější
  • Windows 10 verze 1803 (build operačního systému 17134.704 s KB4493464) nebo novější
  • Windows 10 verze 1803 nebo novější
  • Windows 11

Poznámka

Automatizované prověřování a reakce na Windows Server 2012 R2 a Windows Server 2016 vyžadují instalaci sjednoceného agenta.

Další kroky

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.