רמות אוטומציה ביכולות חקירה ותיקון אוטומטיות

חל על:

• Microsoft Defender XDR
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

יכולות חקירה ותיקון אוטומטיות (AIR) Microsoft Defender for Business מוגדרות מראש ולא ניתן לקבוע את תצורתן. ב Microsoft Defender עבור נקודת קצה, באפשרותך להגדיר את AIR לאחת מתוך כמה רמות אוטומציה. רמת האוטומציה שלך משפיעה על ביצוע פעולות תיקון לאחר חקירות AIR באופן אוטומטי או רק בעת אישור.

• אוטומציה מלאה (מומלץ) פירושה שפעולות תיקון נלקחות באופן אוטומטי על ממצאים שנקבעו תוכנות זדוניות. (אוטומציה מלאה מוגדרת כברירת מחדל ב- Defender for Business.)
• אוטומציה למחצה פירושה שפעולות תיקון מסוימות מתבצעות באופן אוטומטי, אך פעולות תיקון אחרות ממתינות לאישור לפני ביצוען. (עיין בטבלה ברמות אוטומציה.)
• כל פעולות התיקון, בין אם ממתינות או שהושלמו, נמצאות במעקב במרכז הפעולות (https://security.microsoft.com).

עצה

לקבלת התוצאות הטובות ביותר, מומלץ להשתמש באוטומציה מלאה בעת קביעת התצורה של AIR. נתונים שנאספו ונותחו במהלך השנה האחרונה מציין שלקוחות המשתמשים באוטומציה מלאה הוסרו 40% דוגמאות של תוכנות זדוניות ברמת מהימנות גבוהה יותר מאשר לקוחות המשתמשים ברמת אוטומציה נמוכה יותר. אוטומציה מלאה יכולה לעזור לך לפנות את משאבי פעולות האבטחה שלך כדי להתמקד ביוזמות האסטרטגיות שלך.

הערה

יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

רמות אוטומציה

רמת אוטומציה	תיאור
מלא - תיקון איומים באופן אוטומטי (המכונה גם אוטומציה מלאה)	באמצעות אוטומציה מלאה, פעולות תיקון מבוצעות באופן אוטומטי בישויות הנחשנות זד זדוניות. ניתן להציג את כל פעולות התיקון שבוצעו במרכז הפעולות בכרטיסיה היסטוריה . במידת הצורך, ניתן לבטל פעולת תיקון. אוטומציה מלאה מומלצת והיא נבחרת כברירת מחדל עבור דיירים עם Defender for Endpoint שנוצרו ב- 16 באוגוסט 2020 או לאחר מכן, ללא קבוצות מכשירים מוגדרות עדיין. אוטומציה מלאה מוגדרת כברירת מחדל ב- Defender for Business.
חצי - דרוש אישור עבור כל התיקיות (המכונה גם אוטומציה למחצה)	עם רמה זו של אוטומציה למחצה, נדרש אישור עבור פעולות תיקון בכל הקבצים. ניתן להציג ולאשר פעולות ממתינות אלה במרכז הפעולות, בכרטיסיה ממתין. זמן קצוב לפעולות ממתינות הסתיים לאחר 7 ימים. אם תם הזמן שהוקצה לפעולה, אופן הפעולה זהה לפעולה שנדחה. רמה זו של אוטומציה למחצה נבחרת כברירת מחדל עבור דיירים שנוצרו לפני 16 באוגוסט, 2020 Microsoft Defender עבור נקודת קצה, ללא קבוצות מכשירים מוגדרות.
חצי - דרוש אישור לתיקון תיקיות ליבה (גם סוג של אוטומציה למחצה)	עם רמה זו של אוטומציה למחצה, נדרש אישור עבור כל פעולות התיקון הדרושות בקבצים או קבצי הפעלה הקיימים בתיקיות ליבה. תיקיות מרכזיות כוללות ספריות של מערכות הפעלה, כגון Windows (\windows\*). ניתן לבצע פעולות תיקון באופן אוטומטי בקבצים או בקובצי הפעלה בתיקיות אחרות (שאינן הליבה). ניתן להציג ולאשר פעולות ממתינות עבור קבצים או קבצי הפעלה בתיקיות ליבה במרכז הפעולות, בכרטיסיה ממתין. ניתן להציג במרכז הפעולות פעולות שבוצעו בקבצים או קבצי הפעלה בתיקיות אחרות, בכרטיסיההיסטוריה.
למחצה - דרוש אישור לתיקון תיקיות שאינן זמניות (גם סוג של אוטומציה למחצה)	עם רמה זו של אוטומציה למחצה, נדרש אישור עבור כל פעולות התיקון הדרושות בקבצים או קבצי הפעלה שאינם* בתיקיות זמניות. תיקיות זמניות יכולות לכלול את הדוגמאות הבאות: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* ניתן לבצע פעולות תיקון באופן אוטומטי בקבצים או קבצי הפעלה הקיימים בתיקיות זמניות. ניתן להציג ולאשר פעולות ממתינות עבור קבצים או קבצי הפעלה שאינם בתיקיות זמניות במרכז הפעולות, בכרטיסיה ממתין. ניתן להציג ולאשר פעולות שבוצעו בקבצים או קבצי הפעלה בתיקיות זמניות במרכז הפעולות, בכרטיסיה היסטוריה.
אין תגובה אוטומטית (המכונה גם 'אין אוטומציה')	ללא אוטומציה, חקירה אוטומטית אינה מופעלת במכשירים של הארגון שלך. כתוצאה מכך, לא ננקטות פעולות תיקון או ממתינות כתוצאה מחקירה אוטומטית. עם זאת, תכונות אחרות להגנה מפני איומים, כגון הגנה מפני יישומים שעלולים להיות בלתי רצויים , עשויות להיות בתוקף, בהתאם לאופן התצורה של תכונות ההגנה של האנטי-וירוס ושל הדור הבא. *השימוש באפשרות ללא אוטומציה אינו מומלץ, מכיוון שהוא מקטין את תציבת האבטחה של המכשירים של הארגון שלך. שקול להגדיר את רמת האוטומציה לאוטומציה מלאה (או לפחות אוטומציה למחצה).

נקודות חשובות לגבי רמות אוטומציה

• אוטומציה מלאה הוכחה כי היא מהימנה, יעילה ובטוחה, והיא מומלצת לכל הלקוחות. אוטומציה מלאה מ פינוי משאבי האבטחה הקריטיים שלך כדי שהם יוכלו להתמקד ביוזמות האסטרטגיות שלך.

• דיירים חדשים (הכוללים דיירים שנוצרו ב- 16 באוגוסט 2020 או לאחר מכן) עם Defender for Endpoint מוגדרים לאוטומציה מלאה כברירת מחדל.

• Defender for Business משתמש באוטומציה מלאה כברירת מחדל. Defender for Business אינו משתמש בקבוצות מכשירים באותו אופן כמו Defender for Endpoint. לכן, אוטומציה מלאה מופעלת המוחלת על כל המכשירים ב- Defender for Business.

• אם צוות האבטחה שלך הגדיר קבוצות מכשירים עם רמת אוטומציה, הגדרות אלה אינן משתנות על-ידי הגדרות ברירת המחדל החדשות שנפרסות.

• באפשרותך לשמור את הגדרות האוטומציה המוגדרות כברירת מחדל, או לשנות אותן בהתאם לצרכים הארגוניים שלך. כדי לשנות את ההגדרות, הגדר את רמת האוטומציה שלך.

הערה

Defender for Business תלוי בהגנה בזמן אמת עבור חקירה אוטומטית. יש להפוך הגנה בזמן אמת לזמינה ובמצב פעיל כדי לאפשר חקירה אוטומטית.

השלבים הבאים

• קביעת תצורה של יכולות חקירה ותיקון אוטומטיות ב- Defender for Endpoint
• בקר במרכז הפעולות

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.