Správa automatizovaných šetření
Správa automatizovaných šetření
Váš provozní tým zabezpečení obdrží upozornění pokaždé, když Microsoft Defender zjistí škodlivý nebo podezřelý artefakt z koncového bodu. Provozní týmy zabezpečení čelí výzvám při řešení velkého množství výstrah, které vznikají z zdánlivě nikdy nekončícího toku hrozeb. Microsoft Defender for Endpoint zahrnuje funkce automatizovaného vyšetřování a nápravy (AIR), které můžou vašemu provoznímu týmu zabezpečení pomoct efektivněji a efektivněji řešit hrozby.
Technologie automatizovaného vyšetřování používá různé kontrolní algoritmy a je založená na procesech, které používají bezpečnostní analytici. Funkce AIR jsou navržené tak, aby prozkoumaly výstrahy a přijaly okamžitou akci k vyřešení porušení zabezpečení. Funkce AIR výrazně snižují objem výstrah, což umožňuje operacím zabezpečení zaměřit se na sofistikovanější hrozby a další vysoce hodnotné iniciativy. Centrum akcí sleduje všechna šetření, která byla zahájena automaticky, spolu s podrobnostmi, jako je stav šetření, zdroj detekce a všechny čekající nebo dokončené akce.
Jak se zahájí automatizované šetření
Když se aktivuje výstraha, aktivuje se playbook zabezpečení. V závislosti na playbooku zabezpečení může zahájit automatizované šetření. Předpokládejme například, že se na zařízení nachází škodlivý soubor. Když se tento soubor zjistí, aktivuje se výstraha a zahájí se proces automatizovaného šetření. Microsoft Defender for Endpoint kontroluje, jestli se škodlivý soubor nachází na jiných zařízeních v organizaci. Podrobnosti z vyšetřování, včetně verdiktů (škodlivých, podezřelých a nezjištěných hrozeb), jsou k dispozici během automatizovaného vyšetřování a po jeho provedení. Další informace o tom, co se stane po dosažení verdiktu, najdete v tématu Výsledky automatizovaného šetření a akce nápravy.
Podrobnosti o automatizovaném šetření
Během automatizovaného šetření a po něm můžete zobrazit podrobnosti o šetření. Výběrem aktivační výstrahy zobrazíte podrobnosti šetření. Odtud můžete přejít na kartu Šetření, výstrahy, zařízení, důkazy, entity a protokoly.
Výstrahy – výstrahy, které zahájily šetření
Zařízení – zařízení , na kterých byla hrozba zobrazena.
Důkazy – entity, které byly během vyšetřování škodlivé.
Entity – podrobnosti o každé analyzované entitě, včetně určení pro každý typ entity (škodlivé, podezřelé nebo nenalezené žádné hrozby).
Protokol – chronologické, podrobné zobrazení všech provedených akcí šetření u výstrahy.
Čekající akce – Pokud v důsledku šetření čekají nějaké akce čekající na schválení, zobrazí se karta Čekající akce. Na kartě Čekající akce můžete každou akci schválit nebo odmítnout.
Rozšíření rozsahu automatizovaného šetření
Během běhu šetření se do probíhajícího automatizovaného vyšetřování přidávají všechny další výstrahy vygenerované ze zařízení, dokud se toto šetření nedokončí. Kromě toho platí, že pokud se stejná hrozba zobrazí na jiných zařízeních, tato zařízení se přidají do šetření.
Pokud se nekritická entita zobrazí v jiném zařízení, proces automatizovaného šetření rozšíří jeho rozsah tak, aby zahrnoval toto zařízení, a na daném zařízení se spustí obecný playbook zabezpečení. Pokud se během tohoto procesu rozšíření najde deset nebo více zařízení ze stejné entity, tato akce rozšíření vyžaduje schválení a je viditelná na kartě Čekající akce.
Způsob nápravy hrozeb
Při aktivaci výstrah a spuštění automatizovaného vyšetřování se pro každou část prošetřených důkazů vygeneruje verdikt. Verdikty můžou být škodlivé, podezřelé nebo žádné nalezené hrozby.
Při dosažení verdiktů můžou automatizované vyšetřování vést k jedné nebo několika akcím nápravy. Mezi příklady nápravných akcí patří odeslání souboru do karantény, zastavení služby, odebrání naplánované úlohy a další. (Viz Akce nápravy.)
V závislosti na úrovni automatizace nastavené pro vaši organizaci a dalších nastavení zabezpečení se nápravné akce můžou provádět automaticky nebo jenom po schválení provozním týmem zabezpečení. Další nastavení zabezpečení, která můžou ovlivnit automatickou nápravu, zahrnují ochranu před potenciálně nežádoucími aplikacemi (PUA).
Všechny akce nápravy, ať už čekající nebo dokončené, lze zobrazit v Centru https://security.microsoft.comakcí . V případě potřeby může provozní tým zabezpečení vrátit zpět nápravnou akci.
Úrovně automatizace v automatizovaných možnostech šetření a nápravy
Funkce automatizovaného vyšetřování a nápravy (AIR) v programu Microsoft Defender for Endpoint je možné nakonfigurovat na jednu z několika úrovní automatizace. Úroveň automatizace ovlivňuje, jestli se nápravné akce po šetření air provádějí automaticky nebo pouze po schválení.
Úplná automatizace (doporučeno) znamená, že akce nápravy se provádějí automaticky u artefaktů určených jako škodlivé.
Poloautomatizace znamená, že některé nápravné akce se provádějí automaticky, ale jiné akce nápravy čekají na schválení před provedením. (Viz tabulka v úrovních automatizace.)
Všechny akce nápravy, ať už čekající nebo dokončené, se sledují v Centru akcí.
Úrovně automatizace
Úplné – automatické nápravy hrozeb (označované také jako úplná automatizace)
Při úplné automatizaci se akce nápravy provádějí automaticky. Všechny provedené akce nápravy se dají zobrazit v Centru akcí na kartě Historie. V případě potřeby lze akci nápravy vrátit zpět.
Semi – vyžadování schválení pro každou nápravu (označované také jako poloautomatizace)
S touto úrovní částečně automatizace se schválení vyžaduje pro jakoukoli nápravnou akci. Takové čekající akce je možné zobrazit a schválit v Centru akcí na kartě Čeká na vyřízení.
Semi – vyžadování schválení pro nápravu základních složek (také typ poloautomatizace)
S touto úrovní částečně automatizace se schválení vyžaduje pro všechny akce nápravy potřebné u souborů nebo spustitelných souborů, které jsou v základních složkách. Mezi základní složky patří adresáře operačního systému, například Windows (\windows*).
Akce nápravy lze provádět automaticky u souborů nebo spustitelných souborů, které jsou v jiných (nejádrových) složkách.
Čekající akce pro soubory nebo spustitelné soubory v základních složkách je možné zobrazit a schválit v Centru akcí na kartě Čeká na vyřízení.
Akce provedené u souborů nebo spustitelných souborů v jiných složkách se dají zobrazit v Centru akcí na kartě Historie.
Semi – vyžadování schválení pro nápravu složek, které nejsou tempem (také typ částečně automatizace)
S touto úrovní částečně automatizace se schválení vyžaduje pro všechny akce nápravy potřebné u souborů nebo spustitelných souborů, které nejsou v dočasných složkách.
Dočasné složky můžou obsahovat následující příklady:
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
Akce nápravy lze provádět automaticky u souborů nebo spustitelných souborů, které jsou v dočasných složkách.
Čekající akce pro soubory nebo spustitelné soubory, které nejsou v dočasných složkách, se dají zobrazit a schválit v Centru akcí na kartě Čeká na vyřízení.
Akce provedené u souborů nebo spustitelných souborů v dočasných složkách lze zobrazit a schválit v Centru akcí na kartě Historie.
Žádná automatizovaná odpověď (označovaná také jako žádná automatizace)
Bez automatizace se automatizované šetření nespustí na zařízeních vaší organizace. V důsledku toho se v důsledku automatizovaného šetření neprovedou žádné nápravné akce ani čekají na vyřízení. Jiné funkce ochrany před hrozbami, jako je ochrana před potenciálně nežádoucími aplikacemi, se ale můžou projevit v závislosti na tom, jak je nakonfigurovaný antivirový program a funkce ochrany nové generace.
Použití žádné možnosti automatizace se nedoporučuje, protože snižuje stav zabezpečení zařízení vaší organizace. Zvažte nastavení úrovně automatizace na plnou automatizaci (nebo alespoň na částečně automatizaci).
Důležité body týkající se úrovní automatizace
Úplná automatizace se osvědčila jako spolehlivá, efektivní a bezpečná a doporučuje se pro všechny zákazníky. Úplná automatizace uvolní důležité prostředky zabezpečení, aby se mohly více zaměřit na vaše strategické iniciativy. Pokud váš bezpečnostní tým nadefinoval skupiny zařízení s úrovní automatizace, nebudou tato nastavení změněna novými výchozími nastaveními, která se zpřístupní.