Niveaux d’automatisation dans les fonctionnalités d’investigation et de correction automatisées

  • Article

S’applique à :

Les fonctionnalités d’investigation et de correction automatisées (AIR) dans Microsoft Defender pour entreprises sont préconfigurées et ne sont pas configurables. Dans Microsoft Defender pour point de terminaison, vous pouvez configurer AIR sur l’un des différents niveaux d’automatisation. Votre niveau d’automatisation détermine si les actions de correction qui suivent les investigations AIR sont effectuées automatiquement ou uniquement après approbation.

  • L’automatisation complète (recommandée) signifie que des actions de correction sont effectuées automatiquement sur les artefacts déterminés comme malveillants. (L’automatisation complète est définie par défaut dans Defender pour les entreprises.)
  • La semi-automatisation signifie que certaines actions de correction sont effectuées automatiquement, mais que d’autres actions de correction attendent l’approbation avant d’être effectuées. (Consultez le tableau dans Niveaux d’automatisation.)
  • Toutes les actions de correction, qu’elles soient en attente ou terminées, sont suivies dans le Centre de notifications (https://security.microsoft.com).

Conseil

Pour de meilleurs résultats, nous vous recommandons d’utiliser l’automatisation complète lorsque vous configurez AIR. Les données collectées et analysées au cours de la dernière année montrent que les clients qui utilisent l’automatisation complète ont été supprimés 40 % plus d’échantillons de programmes malveillants à haut niveau de confiance que les clients qui utilisent des niveaux d’automatisation inférieurs. L’automatisation complète peut vous aider à libérer vos ressources d’opérations de sécurité pour vous concentrer davantage sur vos initiatives stratégiques.

Remarque

La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

Niveaux d’automatisation

Niveau d’automatisation Description
Complet : corriger automatiquement les menaces
(également appelé automatisation complète)		 Avec l’automatisation complète, les actions de correction sont effectuées automatiquement sur les entités considérées comme malveillantes. Toutes les actions de correction effectuées peuvent être consultées dans le Centre de notifications sous l’onglet Historique . Si nécessaire, une action de correction peut être annulée.

L’automatisation complète est recommandée et est sélectionnée par défaut pour les locataires avec Defender pour point de terminaison qui ont été créés le ou après le 16 août 2020, sans aucun groupe d’appareils encore défini.

L’automatisation complète est définie par défaut dans Defender pour les entreprises.
Semi - exiger l’approbation de tous les dossiers
(également appelé semi-automatisation)		 Avec ce niveau de semi-automatisation, l’approbation est requise pour les actions de correction sur tous les fichiers. Ces actions en attente peuvent être consultées et approuvées dans le Centre de notifications, sous l’onglet En attente . Les actions en attente expirent après 7 jours. Si une action expire, le comportement est le même que si l’action était rejetée.

Ce niveau de semi-automatisation est sélectionné par défaut pour les locataires qui ont été créés avant le 16 août 2020 avec Microsoft Defender pour point de terminaison, sans aucun groupe d’appareils défini.
Semi - Nécessite une approbation pour la correction des dossiers principaux
(également un type de semi-automatisation)		 Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions de correction nécessaires sur les fichiers ou les exécutables qui se trouvent dans les dossiers principaux. Les dossiers principaux incluent des répertoires de système d’exploitation, tels que Windows (\windows\*).

Les actions de correction peuvent être effectuées automatiquement sur des fichiers ou des exécutables qui se trouvent dans d’autres dossiers (non principaux).

Les actions en attente pour les fichiers ou les exécutables dans les dossiers principaux peuvent être consultées et approuvées dans le Centre de notifications, sous l’onglet En attente .

Les actions effectuées sur des fichiers ou des exécutables dans d’autres dossiers peuvent être consultées dans le Centre de notifications, sous l’onglet Historique .
Semi - Nécessite une approbation pour la correction des dossiers non temporaires
(également un type de semi-automatisation)		 Avec ce niveau de semi-automatisation, l’approbation est requise pour toutes les actions de correction nécessaires sur les fichiers ou les exécutables qui ne sont pas* dans les dossiers temporaires.

Les dossiers temporaires peuvent inclure les exemples suivants :

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

Les actions de correction peuvent être effectuées automatiquement sur les fichiers ou les exécutables qui se trouvent dans des dossiers temporaires.

Les actions en attente pour les fichiers ou les exécutables qui ne se trouvent pas dans des dossiers temporaires peuvent être consultées et approuvées dans le Centre de notifications, sous l’onglet En attente .

Les actions effectuées sur des fichiers ou des exécutables dans des dossiers temporaires peuvent être consultées et approuvées dans le Centre de notifications, sous l’onglet Historique .
Aucune réponse automatisée
(également appelé aucune automatisation)		 Sans automatisation, l’investigation automatisée ne s’exécute pas sur les appareils de votre organization. Par conséquent, aucune action de correction n’est effectuée ou en attente à la suite d’une investigation automatisée. Toutefois, d’autres fonctionnalités de protection contre les menaces, telles que la protection contre les applications potentiellement indésirables, peuvent être appliquées, en fonction de la façon dont votre antivirus et les fonctionnalités de protection de nouvelle génération sont configurées.

*L’utilisation de l’option aucune automatisation n’est pas recommandée, car elle réduit la posture de sécurité des appareils de votre organization. Envisagez de configurer votre niveau d’automatisation pour une automatisation complète (ou au moins une semi-automatisation).

Points importants sur les niveaux d’automatisation

  • L’automatisation complète s’est avérée fiable, efficace et sûre, et est recommandée pour tous les clients. L’automatisation complète libère vos ressources de sécurité critiques afin qu’elles puissent se concentrer davantage sur vos initiatives stratégiques.

  • Les nouveaux locataires (qui incluent les locataires qui ont été créés à compter du 16 août 2020) avec Defender pour point de terminaison sont définis sur l’automatisation complète par défaut.

  • Defender pour les entreprises utilise l’automatisation complète par défaut. Defender entreprise n’utilise pas les groupes d’appareils de la même façon que Defender pour point de terminaison. Ainsi, l’automatisation complète est activée et appliquée à tous les appareils dans Defender pour les entreprises.

  • Si votre équipe de sécurité a défini des groupes d’appareils avec un niveau d’automatisation, ces paramètres ne sont pas modifiés par les nouveaux paramètres par défaut qui sont déployés.

  • Vous pouvez conserver vos paramètres d’automatisation par défaut ou les modifier en fonction des besoins de votre organisation. Pour modifier vos paramètres, définissez votre niveau d’automatisation.

Remarque

Defender pour les entreprises dépend de la protection en temps réel pour l’investigation automatique. La protection en temps réel doit être activée et en mode actif pour activer l’investigation automatique.

Prochaines étapes

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.