Automatizálási szintek az automatizált vizsgálati és javítási képességekben

Érintett szolgáltatás:

• Microsoft Defender XDR
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

A Microsoft Defender Vállalati verzió automatizált vizsgálati és szervizelési (AIR) képességei előre vannak konfigurálva, és nem konfigurálhatók. A Végponthoz készült Microsoft Defender több automatizálási szint egyikére konfigurálhatja az AIR-t. Az automatizálási szint hatással van arra, hogy az AIR-vizsgálatokat követő szervizelési műveletek automatikusan vagy csak jóváhagyás után kerülnek-e sor.

• A teljes automatizálás (ajánlott) azt jelenti, hogy a rendszer automatikusan elvégzi a javítási műveleteket a kártékonynak ítélt összetevőkön. (A teljes automatizálás alapértelmezés szerint be van állítva a Defender for Businessben.)
• A félautomatizálás azt jelenti, hogy egyes szervizelési műveletek automatikusan, más szervizelési műveletek azonban jóváhagyásra várnak a művelet végrehajtása előtt. (Lásd az Automatizálás szintjei című táblázatot.)
• A műveletközponthttps://security.microsoft.com () nyomon követi az összes szervizelési műveletet, akár függőben, akár befejeződött.

Tipp

A legjobb eredmény érdekében javasoljuk, hogy az AIR konfigurálásakor teljes automatizálást használjon. Az elmúlt évben gyűjtött és elemzett adatok azt mutatják, hogy a teljes automatizálást használó ügyfelek 40%-kal több megbízható kártevőmintát távolítottak el, mint az alacsonyabb szintű automatizálást használó ügyfelek. A teljes automatizálással felszabadíthatja a biztonsági üzemeltetési erőforrásokat, hogy jobban összpontosíthasson a stratégiai kezdeményezésekre.

Megjegyzés:

Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Automatizálási szintek

Automatizálási szint	Leírás
Teljes – a fenyegetések automatikus elhárítása (más néven teljes automatizálás)	A teljes automatizálással a szervizelési műveleteket a rendszer automatikusan végrehajtja a kártékonynak ítélt entitásokon. Az összes elvégzett szervizelési művelet megtekinthető az Előzmények lap Műveletközpontjában. Ha szükséges, a szervizelési művelet visszavonható. A teljes automatizálás használata ajánlott , és alapértelmezés szerint a végponthoz készült Defenderrel rendelkező bérlők esetében van kiválasztva, amelyek 2020. augusztus 16-án vagy azt követően lettek létrehozva, és még nincsenek meghatározva eszközcsoportok. A teljes automatizálás alapértelmezés szerint be van állítva a Defender for Businessben.
Részben – jóváhagyás szükséges az összes mappához (más néven félautomatizálás)	Az ilyen szintű félautomatizálás esetén jóváhagyásra van szükség az összes fájl szervizelési műveleteihez. Az ilyen függőben lévő műveletek megtekinthetők és jóváhagyhatók a MűveletközpontFüggőben lapján. A függőben lévő műveletek 7 nap után időtúllépést hajtanak végre. Ha egy művelet túllépi az időkorlátot, a viselkedés ugyanaz, mintha a műveletet elutasítanák. Ez a félautomatizálási szint alapértelmezés szerint a 2020. augusztus 16. előtt létrehozott, Végponthoz készült Microsoft Defender, eszközcsoportok nélküli bérlők esetében van kiválasztva.
Részben – jóváhagyás szükséges az alapvető mappák szervizeléséhez (a félautomatizálás egyik típusa)	A félautomatizálás ezen szintjével jóváhagyásra van szükség az alapmappákban található fájlokon vagy végrehajtható fájlokon szükséges szervizelési műveletekhez. Az alapvető mappák közé tartoznak az operációs rendszer könyvtárai, például a Windows (\windows\*). A szervizelési műveletek automatikusan elvégezhetők más (nem központi) mappákban lévő fájlokon vagy végrehajtható fájlokon. Az alapvető mappákban lévő fájlok vagy végrehajtható fájlok függőben lévő műveletei megtekinthetők és jóváhagyhatók a MűveletközpontFüggőben lapján. A más mappákban lévő fájlokon vagy végrehajtható fájlokon végrehajtott műveleteket a MűveletközpontElőzmények lapján tekintheti meg.
Részben – jóváhagyás szükséges a nem ideiglenes mappák szervizeléséhez (a félautomatizálás egyik típusa)	Az ilyen szintű félautomatizálás esetén jóváhagyásra van szükség az ideiglenes mappákban található fájlokon vagy végrehajtható fájlokon vagy végrehajtható fájlokon szükséges szervizelési műveletekhez. Az ideiglenes mappák az alábbi példákat tartalmazhatják: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* A szervizelési műveletek automatikusan elvégezhetők az ideiglenes mappákban lévő fájlokon vagy végrehajtható fájlokon. Az ideiglenes mappákban nem található fájlok vagy végrehajtható fájlok függőben lévő műveletei megtekinthetők és jóváhagyhatók a MűveletközpontFüggőben lapján. Az ideiglenes mappákban lévő fájlokon vagy végrehajtható fájlokon végrehajtott műveletek megtekinthetők és jóváhagyhatók a MűveletközpontElőzmények lapján.
Nincs automatizált válasz (más néven nincs automatizálás)	Automatizálás nélkül az automatizált vizsgálat nem fut a szervezet eszközein. Ennek eredményeképpen az automatizált vizsgálat eredményeként nem hajtanak végre vagy várnak szervizelési műveleteket. A veszélyforrások elleni védelem egyéb funkciói, például a potenciálisan nemkívánatos alkalmazások elleni védelem azonban érvényben lehet attól függően, hogy a víruskereső és a következő generációs védelmi funkciók hogyan vannak konfigurálva. * A Nincs automatizálás lehetőség használata nem ajánlott, mert csökkenti a szervezet eszközeinek biztonsági helyzetét. Fontolja meg az automatizálási szint beállítását teljes automatizálásra (vagy legalább részben automatizálásra).

Fontos szempontok az automatizálási szintekről

• A teljes automatizálás megbízhatónak, hatékonynak és biztonságosnak bizonyult, és minden ügyfél számára ajánlott. A teljes automatizálás felszabadítja a kritikus fontosságú biztonsági erőforrásokat, így jobban összpontosíthatnak a stratégiai kezdeményezésekre.

• A Végponthoz készült Defenderrel létrehozott új bérlők (amelyek tartalmazzák a 2020. augusztus 16-án vagy azt követően létrehozott bérlőket) alapértelmezés szerint teljes automatizálásra vannak beállítva.

• A Defender for Business alapértelmezés szerint teljes automatizálást használ. A Defender for Business nem ugyanúgy használja az eszközcsoportokat, mint a Végponthoz készült Defendert. Így a teljes automatizálás be van kapcsolva, és minden eszközre alkalmazva van a Defender for Businessben.

• Ha a biztonsági csapat automatizálási szintű eszközcsoportokat definiált, ezeket a beállításokat a bevezetett új alapértelmezett beállítások nem módosítják.

• Megtarthatja az alapértelmezett automatizálási beállításokat, vagy a szervezeti igényeknek megfelelően módosíthatja őket. A beállítások módosításához állítsa be az automatizálás szintjét.

Megjegyzés:

A Defender vállalati verzió az automatikus vizsgálat valós idejű védelmétől függ. Az automatikus vizsgálat engedélyezéséhez engedélyezni kell a valós idejű védelmet, és aktív módban kell lennie.

Következő lépések

• Automatizált vizsgálati és javítási képességek konfigurálása a Végponthoz készült Defenderben
• Keresse fel a Műveletközpontot

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.