מבט כולל על חקירות אוטומטיות

  • מאמר

חל על:

פלטפורמות

  • Windows

רוצה לראות איך זה עובד? צפה בסרטון הווידאו הבא:

הטכנולוגיה בחקירה האוטומטית משתמשת באלגוריתמים שונים לבדיקה, והיא מבוססת על תהליכים המשמשים את אנליסטי האבטחה. יכולות AIR מיועדות לבחון התראות ולבצע פעולה מיידית כדי לפתור הפרות. יכולות AIR מפחיתות באופן משמעותי את עוצמת הקול של ההתראה, ומאפשרות לפעולות אבטחה להתמקד באיומים מתוחכמים יותר וב היוזמות האחרות בעלי הערך הגבוה. מתבצע מעקב אחר כל פעולות התיקון, בין אם ממתינות או שהושלמו, במרכז הפעולות. במרכז הפעולות, פעולות ממתינות מאושרות (או נדחות), ופעולות שהושלמו נותנות לביטול במידת הצורך.

מאמר זה מספק מבט כולל על AIR וכולל קישורים לשלבים הבאים ומשאבים נוספים.

עצה

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

כיצד מתחילה החקירה האוטומטית

חקירה אוטומטית יכולה להתחיל כאשר התראה מופעלת או כאשר מפעיל אבטחה יוזם את החקירה.

המצב מה קורה
התראה מופעלת באופן כללי, חקירה אוטומטית מתחילה כאשר מופעלת התראה, ותקרית נוצרת. לדוגמה, נניח שקובץ זדוני נמצא במכשיר. כאשר קובץ זה מזוהה, מופעלת התראה ותיווצר תקרית. תהליך חקירה אוטומטי מתחיל במכשיר. כאשר התראות אחרות נוצרות עקב אותו קובץ במכשירים אחרים, הן מתווספות לתקרית המשויכת ולחקירה האוטומטית.
חקירה מופעלת באופן ידני צוות פעולות האבטחה יכול להפעיל חקירה אוטומטית באופן ידני. לדוגמה, נניח שמפעיל אבטחה סוקר רשימה של מכשירים ומבחין כי למכשיר יש רמת סיכון גבוהה. מפעיל האבטחה יכול לבחור את המכשיר ברשימה כדי לפתוח את התפריט הנשלף שלו ולאחר מכן לבחור באפשרות הפעל חקירה אוטומטית.

כיצד חקירה אוטומטית מרחיבה את הטווח שלה

בזמן שחקירה פועלת, כל התראה אחרת שנוצרת מהמכשיר מתווספת לחקירה אוטומטית מתמשכת עד להשלמת חקירה זו. בנוסף, אם אותו איום מוצג במכשירים אחרים, מכשירים אלה נוספים לחקירה.

אם הישות המוטעה מוצגת במכשיר אחר, תהליך החקירה האוטומטי מרחיב את הטווח שלה כדי לכלול מכשיר זה, וספר הפעלות אבטחה כללי מופעל במכשיר זה. אם נמצאו 10 מכשירים או יותר במהלך תהליך הרחבה זה מאותה ישות, פעולת הרחבה זו דורשת אישור, והיא גלויה בכרטיסיה פעולות ממתינות .

כיצד איומים מתווקווים

כאשר מופעלות התראות, וחקירה אוטומטית מופעלת, נוצרת גזר דין עבור כל פיסת ראיה שנחקרת. גזרי דין יכולים להיות:

  • זדוני;
  • חשוד;חשוד;חשוד;חשוד; או
  • לא נמצאו איומים.

עם הגעתם של גזרי דין, חקירות אוטומטיות עלולות להוביל לפעולות תיקון אחד או יותר. דוגמאות לפעולות תיקון כוללות שליחת קובץ להסגר, הפסקת שירות, הסרת משימה מתוזמנת ועוד. לקבלת מידע נוסף, ראה פעולות תיקון.

בהתאם לרמת ערכת האוטומציה עבור הארגון שלך, וכן להגדרות אבטחה אחרות, פעולות תיקון יכולות להתרחש באופן אוטומטי או רק בעת אישור של צוות פעולות האבטחה שלך. הגדרות אבטחה נוספות שעשויות להשפיע על תיקון אוטומטי כוללות הגנה מפני יישומים שעלולים להיות בלתי רצויים (PUA).

מתבצע מעקב אחר כל פעולות התיקון, בין אם ממתינות או שהושלמו, במרכז הפעולות. במידת הצורך, צוות פעולות האבטחה שלך יכול לבטל פעולת תיקון. לקבלת מידע נוסף, ראה סקירה ואישור של פעולות תיקון לאחר חקירה אוטומטית.

עצה

עיין בדף החקירה המאוחד החדש בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה דף חקירה מאוחדת.

דרישות AIR

המנוי שלך חייב לכלול את Defender for Endpoint או את Defender for Business.

הערה

חקירה ותגובה אוטומטיות דורשות Microsoft Defender אנטי-וירוס להפעלה במצב פאסיבי או במצב פעיל. אם Microsoft Defender האנטי-וירוס אינו זמין או שההתקנה שלו הוסרה, 'חקירה אוטומטית' ו'תגובה' לא יפעלו כראוי.

בשלב זה, AIR תומכת רק בגירסאות הבאות של מערכת ההפעלה:

  • Windows Server 2012 R2 (תצוגה מקדימה)
  • Windows Server 2016 (תצוגה מקדימה)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, גירסה 1709 (גירסת Build של מערכת ההפעלה 16299.1085 עם KB4493441) ואילך
  • Windows 10, גירסה 1803 (גירסת Build של מערכת ההפעלה 17134.704 עם KB4493464) ואילך
  • Windows 10 גירסה 1803 ואילך
  • Windows 11

הערה

חקירה ותגובה אוטומטיות ב- Windows Server 2012 R2 וב- Windows Server 2016 דורשות התקנה של הסוכן המאוחד.

השלבים הבאים

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.