Az automatizált vizsgálatok áttekintése
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
Platformok
- A Windows
Szeretné látni, hogyan működik? Tekintse meg a következő videót:
Az automatizált vizsgálat technológiája különböző vizsgálati algoritmusokat használ, és a biztonsági elemzők által használt folyamatokon alapul. Az AIR képességeinek célja a riasztások vizsgálata és a biztonsági incidensek elhárítását célzó azonnali lépések végrehajtása. Az AIR képességei jelentősen csökkentik a riasztások mennyiségét, így a biztonsági műveletek kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. A műveletközpontban minden szervizelési művelet nyomon követhető, akár függőben van, akár befejeződött. A Műveletközpontban a függőben lévő műveletek jóváhagyásra (vagy elutasításra) kerülnek, és a végrehajtott műveletek szükség esetén visszavonhatók.
Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.
Tipp
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Az automatizált vizsgálat indítása
Az automatizált vizsgálat akkor indulhat el, amikor egy riasztás aktiválódik, vagy amikor egy biztonsági operátor kezdeményezi a vizsgálatot.
| Helyzet | Eredmény |
|---|---|
| Riasztás aktiválódik | Általában egy automatikus vizsgálat akkor kezdődik, amikor egy riasztás aktiválódik, és egy incidens jön létre. Tegyük fel például, hogy egy rosszindulatú fájl egy eszközön található. A fájl észlelésekor a rendszer riasztást aktivál, és incidenst hoz létre. Egy automatizált vizsgálati folyamat kezdődik az eszközön. Mivel más riasztások ugyanazon fájl miatt jönnek létre más eszközökön, a rendszer hozzáadja őket a társított incidenshez és az automatizált vizsgálathoz. |
| A vizsgálatot manuálisan indítják el | Az automatizált vizsgálatot manuálisan indíthatja el a biztonsági üzemeltetési csapat. Tegyük fel például, hogy egy biztonsági operátor áttekinti az eszközök listáját, és észreveszi, hogy egy eszköz magas kockázattal rendelkezik. A biztonsági operátor kiválaszthatja az eszközt a listában az úszó panel megnyitásához, majd kiválaszthatja az Automatikus vizsgálat kezdeményezése lehetőséget. |
Hogyan bővíti ki az automatizált vizsgálat a hatókörét?
Amíg egy vizsgálat fut, az eszközről generált egyéb riasztásokat a rendszer hozzáadja egy folyamatban lévő automatizált vizsgálathoz, amíg a vizsgálat be nem fejeződik. Emellett ha ugyanezt a fenyegetést más eszközökön is észlelik, a rendszer hozzáadja ezeket az eszközöket a vizsgálathoz.
Ha egy inkriminált entitást lát egy másik eszközön, az automatizált vizsgálati folyamat kiterjeszti a hatókörét az adott eszközre, és elindul egy általános biztonsági forgatókönyv az adott eszközön. Ha a bővítési folyamat során 10 vagy több eszköz található ugyanabból az entitásból, akkor a bővítési művelet jóváhagyást igényel, és megjelenik a Függőben lévő műveletek lapon.
A fenyegetések elhárítása
A riasztások aktiválásakor és az automatizált vizsgálat lefuttatásakor minden vizsgált bizonyítékhoz létre lesz hozva egy ítélet. Az ítéletek a következőek lehetnek:
- Rosszindulatú;
- Gyanús; Vagy
- Nem találhatók fenyegetések.
Az ítéletek elérésekor az automatizált vizsgálatok egy vagy több javítási műveletet eredményezhetnek. A szervizelési műveletek közé tartozik például egy fájl karanténba helyezése, egy szolgáltatás leállítása, egy ütemezett feladat eltávolítása stb. További információ: Szervizelési műveletek.
A szervezet számára beállított automatizálási szinttől és más biztonsági beállításoktól függően a szervizelési műveletek automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajthatók végre. Az automatikus szervizelést befolyásoló további biztonsági beállítások közé tartozik a potenciálisan nemkívánatos alkalmazások ( PUA) elleni védelem.
A műveletközpontban minden szervizelési művelet nyomon követhető, akár függőben van, akár befejeződött. Ha szükséges, a biztonsági üzemeltetési csapat visszavonhatja a javítási műveletet. További információ: Javítási műveletek áttekintése és jóváhagyása automatizált vizsgálatot követően.
Tipp
Tekintse meg az új, egységesített vizsgálati oldalt a Microsoft Defender portálon. További információ: Egyesített vizsgálat lap.
Az AIR követelményei
Az előfizetésnek tartalmaznia kell a Végponthoz készült Defendert vagy a Defender vállalati verziót.
Megjegyzés:
Az automatizált vizsgálathoz és reagáláshoz Microsoft Defender víruskeresőre van szükség a passzív vagy aktív módban való futtatáshoz. Ha Microsoft Defender víruskereső le van tiltva vagy eltávolítva, az automatikus vizsgálat és válasz nem fog megfelelően működni.
Az AIR jelenleg csak a következő operációsrendszer-verziókat támogatja:
- Windows Server 2012 R2 (előzetes verzió)
- Windows Server 2016 (előzetes verzió)
- Windows Server 2019
- Windows Server 2022
- Windows 10, 1709-es verzió (operációs rendszer: 16299.1085-ös build KB4493441) vagy újabb
- Windows 10, 1803-es verzió (operációs rendszer: 17134.704-es build KB4493464) vagy újabb
- Windows 10, 1803-es vagy újabb verzió
- Windows 11
Megjegyzés:
Az R2 és Windows Server 2016 Windows Server 2012 automatikus vizsgálatához és válaszához telepíteni kell az egyesített ügynököt.
Következő lépések
- További információ az automatizálási szintekről
- Tekintse meg az interaktív útmutatót: Fenyegetések vizsgálata és elhárítása Végponthoz készült Microsoft Defender
- Automatizált vizsgálati és szervizelési képességek konfigurálása a Végponthoz készült Microsoft Defender
Lásd még
- PUA-védelem
- Automatizált vizsgálat és reagálás a Office 365-höz készült Microsoft Defender
- Automatizált vizsgálat és reagálás a Microsoft Defender XDR
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.