Übersicht über automatisierte Untersuchungen

Gilt für:

Plattformen

  • Windows

Möchten Sie sehen, wie das funktioniert? Sehen Sie sich das folgende Video an:

Die Technologie bei der automatisierten Untersuchung verwendet verschiedene Inspektionsalgorithmen und basiert auf Prozessen, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen sind so konzipiert, dass Sie Warnungen untersuchen und sofortige Maßnahmen ergreifen, um Sicherheitsverletzungen zu beheben. Air-Funktionen reduzieren das Warnungsvolumen erheblich, sodass sich Sicherheitsvorgänge auf komplexere Bedrohungen und andere hochwertige Initiativen konzentrieren können. Alle ausstehenden oder abgeschlossenen Wiederherstellungsaktionen werden im Info-Center nachverfolgt. Im Info-Center werden ausstehende Aktionen genehmigt (oder abgelehnt), und abgeschlossene Aktionen können bei Bedarf rückgängig werden.

Dieser Artikel bietet eine Übersicht über AIR und enthält Links zu den nächsten Schritten und zusätzlichen Ressourcen.

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Wie die automatisierte Untersuchung beginnt

Eine automatisierte Untersuchung kann beginnen, wenn eine Warnung ausgelöst wird oder wenn ein Sicherheitsoperator die Untersuchung initiiert.

Situation Folge
Eine Warnung wird ausgelöst. Im Allgemeinen beginnt eine automatisierte Untersuchung, wenn eine Warnung ausgelöst und ein Incident erstellt wird. Angenommen, eine schädliche Datei befindet sich auf einem Gerät. Wenn diese Datei erkannt wird, wird eine Warnung ausgelöst, und ein Incident wird erstellt. Ein automatisierter Untersuchungsprozess beginnt auf dem Gerät. Da andere Warnungen aufgrund derselben Datei auf anderen Geräten generiert werden, werden sie dem zugehörigen Incident und der automatisierten Untersuchung hinzugefügt.
Eine Untersuchung wird manuell gestartet Eine automatisierte Untersuchung kann manuell von Ihrem Sicherheitsteam gestartet werden. Angenommen, ein Sicherheitsoperator überprüft eine Liste von Geräten und stellt fest, dass ein Gerät ein hohes Risiko aufweist. Der Sicherheitsoperator kann das Gerät in der Liste auswählen, um das Flyout zu öffnen, und dann automatisierte Untersuchung initiieren auswählen.

Wie eine automatisierte Untersuchung ihren Umfang erweitert

Während eine Untersuchung ausgeführt wird, werden alle anderen vom Gerät generierten Warnungen einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn die gleiche Bedrohung auch auf anderen Geräten angezeigt wird, werden diese Geräte der Untersuchung hinzugefügt.

Wenn eine inkriminierte Entität auf einem anderen Gerät angezeigt wird, erweitert der automatisierte Untersuchungsprozess seinen Bereich um dieses Gerät, und auf diesem Gerät wird ein allgemeines Sicherheitsplaybook gestartet. Wenn während dieses Erweiterungsvorgangs 10 oder mehr Geräte von derselben Entität gefunden werden, erfordert diese Erweiterungsaktion eine Genehmigung und ist auf der Registerkarte Ausstehende Aktionen sichtbar.

Wie Bedrohungen behoben werden

Wenn Warnungen ausgelöst werden und eine automatisierte Untersuchung ausgeführt wird, wird für jeden untersuchten Beweisabschnitt ein Urteil generiert. Urteile können wie folgt sein:

  • Böswillig;
  • Verdächtig; Oder
  • Keine Bedrohungen gefunden.

Wenn Urteile getroffen werden, können automatisierte Untersuchungen zu einer oder mehreren Korrekturaktionen führen. Beispiele für Korrekturaktionen sind das Senden einer Datei in die Quarantäne, das Beenden eines Diensts, das Entfernen einer geplanten Aufgabe und vieles mehr. Weitere Informationen finden Sie unter Wartungsaktionen.

Abhängig von der für Ihre Organisation festgelegten Automatisierungsebene und anderen Sicherheitseinstellungen können Korrekturaktionen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsbetriebsteam erfolgen. Zusätzliche Sicherheitseinstellungen, die sich auf die automatische Wartung auswirken können, umfassen den Schutz vor potenziell unerwünschten Anwendungen (PUA).

Alle ausstehenden oder abgeschlossenen Wiederherstellungsaktionen werden im Info-Center nachverfolgt. Bei Bedarf kann Ihr Sicherheitsbetriebsteam eine Korrekturaktion rückgängigmachen. Weitere Informationen finden Sie unter Überprüfen und Genehmigen von Wartungsaktionen nach einer automatisierten Untersuchung.

Tipp

Sehen Sie sich die neue, einheitliche Untersuchungsseite im Microsoft 365 Defender-Portal an. Weitere Informationen finden Sie auf der Seite "Einheitliche Untersuchung".

Anforderungen für AIR

Ihr Abonnement muss Defender für Endpunkt oder Defender for Business enthalten.

Hinweis

Die automatisierte Untersuchung und Reaktion erfordert Microsoft Defender Antivirus für die Ausführung im passiven oder aktiven Modus. Wenn Microsoft Defender Antivirus deaktiviert oder deinstalliert ist, funktioniert die automatisierte Untersuchung und Reaktion nicht ordnungsgemäß.

Derzeit unterstützt AIR nur die folgenden Betriebssystemversionen:

  • Windows Server 2012 R2 (Vorschau)
  • Windows Server 2016 (Vorschau)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, Version 1709 (Betriebssystembuild 16299.1085 mit KB4493441) oder höher
  • Windows 10, Version 1803 (Betriebssystembuild 17134.704 mit KB4493464) oder höher
  • Windows 10, Version 1803 oder höher
  • Windows 11

Hinweis

Für die automatisierte Untersuchung und Reaktion auf Windows Server 2012 R2 und Windows Server 2016 muss der Einheitliche Agent installiert sein.

Nächste Schritte

Siehe auch