Yleiskatsaus automatisoiduista tutkimuksista

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Haluatko nähdä, miten se toimii? Katso seuraava video:

Automatisoidun tutkinnan teknologia käyttää erilaisia tarkastusalgoritmeja ja perustuu suojausanalyytikoiden käyttämiin prosesseihin. AIR-ominaisuudet on suunniteltu tutkimaan hälytyksiä ja ryhtymään välittömiin toimiin tietomurtojen ratkaisemiseksi. AIR-ominaisuudet vähentävät merkittävästi hälytysten määrää, jolloin suojaustoiminnot voivat keskittyä kehittyneempiin uhkiin ja muihin korkean arvon aloitteisiin. Kaikkia korjaustoimintoja, olivatpa ne odottavia tai valmiita, seurataan toimintokeskuksessa. Toimintokeskuksessa odottavat toiminnot hyväksytään (tai hylätään), ja valmiit toiminnot voidaan tarvittaessa kumota.

Tässä artikkelissa on yleiskatsaus AIR-hakemistoon ja linkkejä seuraaviin vaiheisiin ja lisäresursseihin.

Vihje

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Miten automatisoitu tutkinta alkaa

Automaattinen tutkimus voi alkaa, kun hälytys käynnistyy tai kun suojausoperaattori käynnistää tutkinnan.

Tilanne Mitä tapahtuu
Hälytys käynnistyy Yleensä automatisoitu tutkimus käynnistyy, kun hälytys käynnistetään, ja luodaan tapaus . Oletetaan esimerkiksi, että haitallinen tiedosto sijaitsee laitteessa. Kun tiedosto havaitaan, ilmoitus käynnistyy ja tapahtuma luodaan. Laitteessa aloitetaan automatisoitu tutkintaprosessi. Koska muita ilmoituksia luodaan saman tiedoston vuoksi muissa laitteissa, ne lisätään liittyvään tapahtumaan ja automatisoituun tutkintaan.
Tutkimus aloitetaan manuaalisesti Tietoturvatiimisi voi aloittaa automatisoidun tutkinnan manuaalisesti. Oletetaan esimerkiksi, että suojausoperaattori tarkistaa laiteluetteloa ja huomaa, että laitteessa on suuri riskitaso. Suojausoperaattori voi valita laitteen luettelosta avatakseen sen pikaikkunan, ja valita sitten Aloita automatisoitu tutkinta.

Miten automatisoitu tutkimus laajentaa vaikutusaluettaan

Kun tutkimus on käynnissä, kaikki muut laitteesta luodut hälytykset lisätään meneillään olevaan automatisoituun tutkimukseen, kunnes tutkimus on valmis. Lisäksi jos sama uhka näkyy muissa laitteissa, nämä laitteet lisätään tutkintaan.

Jos syyllistä entiteettiä nähdään toisessa laitteessa, automatisoitu tutkimusprosessi laajentaa sen vaikutusaluetta kyseiseen laitteeseen, ja yleinen suojauksen toistokirja alkaa kyseisestä laitteesta. Jos tämän laajennusprosessin aikana löytyy vähintään 10 laitetta samasta entiteetistä, kyseinen laajennustoiminto edellyttää hyväksyntää ja näkyy Odottavat toiminnot -välilehdessä.

Uhkien korjaaminen

Kun hälytykset käynnistetään ja automatisoitu tutkinta suoritetaan, kullekin tutkitulle todisteelle luodaan tuomio. Tuomiot voivat olla:

  • Pahantahtoinen;
  • Epäilyttävä; Tai
  • Uhkia ei löytynyt.

Kun tuomiot on annettu, automaattiset tutkimukset voivat johtaa yhteen tai useampaan korjaustoimintoon. Korjaustoimintoja ovat esimerkiksi tiedoston lähettäminen karanteeniin, palvelun lopettaminen, ajoitetun tehtävän poistaminen ja paljon muuta. Lisätietoja on artikkelissa Korjaustoiminnot.

Korjaustoiminnot voidaan suorittaa automaattisesti tai vain suojaustoimintatiimin hyväksynnän jälkeen organisaatiollesi määritetyn automaation tason ja muiden suojausasetusten mukaan. Muita suojausasetuksia, jotka voivat vaikuttaa automaattiseen korjaukseen, ovat suojaus mahdollisesti ei-toivotuilta sovelluksilta (PUA).

Kaikkia korjaustoimintoja, olivatpa ne odottavia tai valmiita, seurataan toimintokeskuksessa. Suojaustoimintaryhmä voi tarvittaessa kumota korjaustoiminnon. Lisätietoja on artikkelissa Korjaamistoimintojen tarkistaminen ja hyväksyminen automatisoidun tutkimuksen jälkeen.

Vihje

Tutustu Microsoft Defender portaalin uuteen yhtenäiseen tutkimussivuun. Lisätietoja on unified investigation -sivulla.

ILMAN vaatimukset

Tilauksessa on oltava Defender for Endpoint tai Defender for Business.

Huomautus

Automaattinen tutkimus ja vastaus edellyttävät Microsoft Defender virustentorjuntaa toimiakseen passiivitilassa tai aktiivisessa tilassa. Jos Microsoft Defender virustentorjuntaohjelma poistetaan käytöstä tai sen asennus poistetaan, automaattinen tutkimus ja vastaus eivät toimi oikein.

Tällä hetkellä AIR tukee vain seuraavia käyttöjärjestelmäversioita:

  • Windows Server 2012 R2 (esikatselu)
  • Windows Server 2016 (esikatselu)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versio 1709 (käyttöjärjestelmän koontiversio 16299.1085 ja KB4493441) tai uudempi versio
  • Windows 10, versio 1803 (käyttöjärjestelmän koontiversio 17134.704 ja KB4493464) tai uudempi versio
  • Windows 10, versio 1803 tai uudempi
  • Windows 11

Huomautus

Automaattinen tutkinta ja reagointi Windows Server 2012 R2:ssa ja Windows Server 2016:ssa edellyttää Unified Agentin asentamista.

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.