Automatisointitasot automatisoiduissa tutkinta- ja korjaustoiminnoissa

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Microsoft Defender for Business automaattiset tutkimus- ja korjaustoiminnot (AIR) on esimääritetty, eikä niitä voi määrittää. Microsoft Defender for Endpoint:ssä voit määrittää AIR-määrityksen yhteen useista automaatiotasoista. Automaatiotasosi vaikuttaa siihen, suoritetaanko AIR-tutkimusten jälkeen korjaustoimet automaattisesti vai vain hyväksynnän jälkeen.

• Täysi automaatio (suositus) tarkoittaa, että korjaustoimet suoritetaan automaattisesti haitallisiksi määritetyille artefakteille. (Täydellinen automaatio määritetään oletusarvoisesti Defender for Businessissa.)
• Puoliautomaatio tarkoittaa, että jotkin korjaustoiminnot suoritetaan automaattisesti, mutta muut korjaustoiminnot odottavat hyväksyntää ennen kuin ne tehdään. (Katso taulukko kohdasta Automaation tasot.)
• Kaikkia korjaustoimintoja, olivatpa ne odottavia tai valmiita, seurataan toimintokeskuksessa (https://security.microsoft.com).

Vihje

Suosittelemme, että käytät täydellistä automaatiota, kun määrität AIR-parametrin. Viime vuoden aikana kerätyt ja analysoidut tiedot osoittavat, että täyttä automaatiota käyttäviltä asiakkailta poistettiin 40 % luotettavammat haittaohjelmanäytteet kuin asiakkailta, jotka käyttävät alhaisempia automaatiotasoja. Täysi automaatio voi auttaa vapauttamaan suojaustoimintojen resursseja, jotta voit keskittyä enemmän strategisiin aloitteisiin.

Huomautus

Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Automaation tasot

Automaatiotaso	Kuvaus
Täysi - korjaa uhat automaattisesti (kutsutaan myös täydelliseksi automaatioksi)	Täyden automaation ansiosta korjaustoiminnot suoritetaan automaattisesti entiteeteille, joita pidetään haitallisina. Kaikki suoritettavat korjaustoiminnot voidaan tarkastella Historia-välilehden toimintokeskuksessa. Tarvittaessa korjaustoiminto voidaan kumota. Täysi automaatio on suositeltavaa , ja se on oletusarvoisesti valittu vuokraajille, joilla on Defender for Endpoint ja jotka luotiin 16. elokuuta 2020 tai sen jälkeen, eikä laiteryhmiä ole vielä määritetty. Defender for Business määrittää oletusarvoisesti täyden automaation.
Semi – edellytä hyväksyntää kaikille kansioille (kutsutaan myös puoliautomaatioksi)	Tämän puoliautomaatiotason vuoksi hyväksyntä vaaditaan kaikkien tiedostojen korjaustoimille. Tällaisia odottavia toimintoja voi tarkastella ja hyväksyä Toimintokeskuksessa Odottaa-välilehdessä. Odottavat toiminnot aikakatkaistiin 7 päivän kuluttua. Jos toiminto aikakatkaistaan, toiminta on sama kuin jos toiminto hylätään. Tämä puoliautomaatiotaso valitaan oletusarvoisesti vuokraajille, jotka on luotu ennen 16.8.2020 Microsoft Defender for Endpoint ilman laiteryhmiä.
Semi – edellytä ydinkansioiden korjauksen hyväksyntää (myös puoliautomaatiotyyppi)	Tämän puoliautomaatiotason kanssa vaaditaan hyväksyntä kaikille korjaustoiminnoille, joita tarvitaan ydinkansioissa olevissa tiedostoissa tai suoritettavissa tiedostoissa. Ydinkansioihin kuuluvat käyttöjärjestelmähakemistot, kuten Windows (\windows\*). Korjaustoimintoja voidaan suorittaa automaattisesti tiedostoille tai tiedostoille, jotka ovat muissa (muissa kuin ydinkansioissa). Ydinkansioiden tiedostojen tai suoritettavien tiedostojen odottavat toiminnot voidaan tarkastella ja hyväksyä Toimintokeskuksessa Odottaa-välilehdessä. Muiden kansioiden tiedostoille tai tiedostoille suoritettuja toimintoja voi tarkastella ToimintokeskuksessaHistoria-välilehdessä .
Semi – edellyttää hyväksyntää muille kuin väliaikaisille kansioiden korjauksille (myös puoliautomaatiotyyppi)	Tämän puoliautomaattisen automaation taso edellyttää hyväksyntää kaikille korjaustoiminnoille, joita tarvitaan tiedostoissa tai tiedostoissa, jotka eivät ole* tilapäisissä kansioissa. Väliaikaiset kansiot voivat sisältää seuraavia esimerkkejä: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Korjaustoimintoja voidaan suorittaa automaattisesti väliaikaisissa kansioissa oleviin tiedostoihin tai tiedostoihin. Odottavia toimintoja tiedostoille tai tiedostoille, jotka eivät ole väliaikaisissa kansioissa, voidaan tarkastella ja hyväksyä Toimintokeskuksessa Odottaa-välilehdessä. Väliaikaisten kansioiden tiedostoille tai tiedostoille suoritettuja toimintoja voi tarkastella ja hyväksyä ToimintokeskuksessaHistoria-välilehdessä .
Ei automaattista vastausta (kutsutaan myös ei automaatioksi)	Ilman automaatiota automatisoitua tutkintaa ei suoriteta organisaatiosi laitteissa. Tämän seurauksena mitään korjaustoimia ei toteuteta tai ne odottavat automaattisen tutkimuksen tuloksena. Muut uhkien suojausominaisuudet, kuten suojaus mahdollisesti ei-toivotuilta sovelluksilta, voivat kuitenkin olla käytössä sen mukaan, miten virustentorjuntaohjelmasi ja seuraavan sukupolven suojausominaisuudet on määritetty. *Ei automaatiota -asetuksen käyttämistä ei suositella, koska se vähentää organisaatiosi laitteiden suojausasennosta. Harkitse automaatiotason määrittämistä täyteen automaatioon (tai vähintään puoliautomaatioon).

Tärkeitä automaatiotasoja koskevat pisteet

• Täydellinen automaatio on osoittautunut luotettavaksi, tehokkaaksi ja turvalliseksi, ja sitä suositellaan kaikille asiakkaille. Täysi automaatio vapauttaa kriittisiä suojausresursseja, jotta ne voivat keskittyä enemmän strategisiin aloitteisiin.

• Uudet vuokraajat (jotka sisältävät vuokraajat, jotka on luotu 16. elokuuta 2020 tai sen jälkeen) Defender for Endpointin kanssa on oletusarvoisesti asetettu täyteen automaatioon.

• Defender for Business käyttää oletusarvoisesti täyttä automaatiota. Defender for Business ei käytä laiteryhmiä samalla tavalla kuin Defender for Endpoint. Täten täysi automaatio otetaan käyttöön kaikissa Defender for Businessin laitteissa.

• Jos suojaustiimisi on määrittänyt laiteryhmiä, joissa on automaatiotaso, uudet käyttöönotettavat oletusasetukset eivät muuta näitä asetuksia.

• Voit säilyttää automaation oletusasetukset tai muuttaa niitä organisaatiosi tarpeiden mukaan. Jos haluat muuttaa asetuksia, määritä automaation taso.

Huomautus

Defender for Business on riippuvainen automaattisen tutkinnan reaaliaikaisen suojauksen varassa. Reaaliaikainen suojaus on otettava käyttöön ja aktiivisessa tilassa automaattisen tutkinnan mahdollistamiseksi.

Seuraavat vaiheet

• Automaattisten tutkimus- ja korjausominaisuuksien määrittäminen Defender for Endpointissa
• Siirry toimintokeskukseen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.