Automatizált vizsgálatok kezelése

  • 3 perc

Automatizált vizsgálatok kezelése

A biztonsági műveleti csapat riasztást kap, amikor a Microsoft Defender rosszindulatú vagy gyanús összetevőt észlel egy végpontról. A biztonsági üzemeltetési csapatok kihívásokkal szembesülnek a fenyegetések látszólag soha véget nem érő áramlásából eredő számos riasztás kezelése során. Végponthoz készült Microsoft Defender automatizált vizsgálati és szervizelési (AIR) képességeket tartalmaz, amelyekkel a biztonsági műveleti csapat hatékonyabban és hatékonyabban kezelheti a fenyegetéseket.

Az automatizált vizsgálat technológiája különböző vizsgálati algoritmusokat használ, és a biztonsági elemzők által használt folyamatokon alapul. Az AIR-képességek a riasztások vizsgálatára és a szabálysértések elhárítására szolgáló azonnali lépések végrehajtására szolgálnak. Az AIR képességei jelentősen csökkentik a riasztások mennyiségét, így a biztonsági műveletek a kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. A Műveletközpont nyomon követi az automatikusan indított összes vizsgálatot, valamint a részleteket, például a vizsgálat állapotát, az észlelési forrást és a függőben lévő vagy befejezett műveleteket.

Az automatizált vizsgálat indítása

Riasztás aktiválásakor egy biztonsági forgatókönyv lép érvénybe. A biztonsági forgatókönyvtől függően egy automatizált vizsgálat is elindulhat. Tegyük fel például, hogy egy rosszindulatú fájl egy eszközön található. A fájl észlelésekor egy riasztás aktiválódik, és megkezdődik az automatizált vizsgálati folyamat. Végponthoz készült Microsoft Defender ellenőrzi, hogy a rosszindulatú fájl megtalálható-e a szervezet bármely más eszközén. A vizsgálat részletei, beleértve az ítéleteket (rosszindulatú, gyanús és nem észlelt fenyegetések) az automatizált vizsgálat során és után is elérhetők. Ha többet szeretne megtudni arról, hogy mi történik az ítélet elérése után, tekintse meg az automatizált vizsgálati eredményeket és a szervizelési műveleteket.

Automatizált vizsgálat részletei

Az automatizált vizsgálat során és után megtekintheti a vizsgálat részleteit. Válassza ki az eseményindító riasztást a vizsgálat részleteinek megtekintéséhez. Innen megnyithatja a Vizsgálati gráfot, a Riasztásokat, az Eszközöket, a Bizonyítékokat, az Entitásokat és a Napló lapokat.

  • Riasztások – A vizsgálatot megkezdő riasztás(ok).

  • Eszközök – Az eszköz(ek), ahol a fenyegetést észlelték.

  • Bizonyíték – A vizsgálat során rosszindulatúnak talált entitások.

  • Entitások – Az egyes elemzett entitások részletei, beleértve az egyes entitástípusok meghatározását (rosszindulatú, gyanús vagy nem észlelt fenyegetések).

  • Napló – A riasztáson végrehajtott összes vizsgálati művelet időrendi, részletes nézete.

  • Függőben lévő műveletek – Ha a vizsgálat eredményeként jóváhagyásra váró műveletek vannak, megjelenik a Függőben lévő műveletek lap. A Függőben lévő műveletek lapon minden műveletet jóváhagyhat vagy elutasíthat.

Hogyan bővíti ki az automatizált vizsgálat hatókörét?

Amíg egy vizsgálat fut, az eszközről generált egyéb riasztások hozzáadódnak egy folyamatban lévő automatizált vizsgálathoz, amíg a vizsgálat be nem fejeződik. Emellett, ha ugyanez a fenyegetés más eszközökön is látható, akkor ezek az eszközök hozzá lesznek adva a vizsgálathoz.

Ha egy inkriminált entitás egy másik eszközön jelenik meg, az automatizált vizsgálati folyamat kibővíti a hatókörét, hogy belefoglalja az adott eszközt, és egy általános biztonsági forgatókönyv indul el az eszközön. Ha a bővítési folyamat során tíz vagy több eszköz található ugyanabból az entitásból, akkor a bővítési művelet jóváhagyást igényel, és látható a Függőben lévő műveletek lapon.

A fenyegetések elhárítása

Mivel a riasztások aktiválódnak, és automatizált vizsgálat fut, a rendszer ítéletet hoz létre minden vizsgált bizonyítékhoz. Az ítéletek lehetnek rosszindulatúak, gyanúsak vagy nem találhatók fenyegetések.

Az ítéletek elérésekor az automatizált vizsgálatok egy vagy több szervizelési művelethez vezethetnek. A szervizelési műveletek közé tartozik például egy fájl karanténba küldése, egy szolgáltatás leállítása, egy ütemezett feladat eltávolítása stb. (Lásd: Szervizelési műveletek.)

A szervezetéhez beállított automatizálási szinttől és egyéb biztonsági beállításoktól függően a szervizelési műveletek automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával végezhetők el. Az automatikus szervizelést befolyásoló egyéb biztonsági beállítások közé tartozik a potenciálisan nemkívánatos alkalmazások (PUA) elleni védelem.

Az összes szervizelési művelet megtekinthető a Műveletközpontban https://security.microsoft.com, függetlenül attól, hogy függőben van-e vagy befejeződött. Szükség esetén a biztonsági műveleti csapat visszavonhat egy szervizelési műveletet.

Automatizálási szintek az automatizált vizsgálati és szervizelési képességekben

Az automatizált vizsgálati és szervizelési (AIR) képességek Végponthoz készült Microsoft Defender több automatizálási szint egyikére konfigurálhatók. Az automatizálási szint befolyásolja, hogy az AIR-vizsgálatot követő szervizelési műveletek automatikusan vagy csak jóváhagyáskor kerülnek-e sor.

  • A teljes automatizálás (ajánlott) azt jelenti, hogy a rendszer automatikusan elvégzi a javítási műveleteket a rosszindulatúnak vélt összetevőkön.

  • A félautomatizálás azt jelenti, hogy a szervizelési műveletek egy része automatikusan történik, más szervizelési műveletek azonban jóváhagyásra várnak a művelet végrehajtása előtt. (Lásd a táblázatot az automatizálási szintekben.)

  • A műveletközpontban minden szervizelési művelet nyomon követhető, legyen az függőben vagy befejezve

Automatizálási szintek

Teljes – fenyegetések automatikus elhárítása (más néven teljes automatizálás)

A teljes automatizálással a szervizelési műveletek automatikusan el lesznek végezve. Az összes elvégzett szervizelési művelet megtekinthető az Előzmények lap Műveletközpontjában. Szükség esetén a szervizelési művelet visszavonható.

Semi – jóváhagyást igényel minden szervizeléshez (más néven félautomatizáláshoz)

Ilyen szintű félautomatizálás esetén minden szervizelési művelethez jóváhagyásra van szükség. Az ilyen függőben lévő műveletek megtekinthetők és jóváhagyhatók a MűveletközpontBan, a Függőben lapon.

Semi – jóváhagyást igényel az alapvető mappák szervizeléséhez (szintén egyfajta félautomatizáláshoz)

A félautomatizálás ezen szintjével jóváhagyásra van szükség az alapvető mappákban lévő fájlokon vagy végrehajtható fájlokon szükséges szervizelési műveletekhez. Az alapvető mappák közé tartoznak az operációsrendszer-könyvtárak, például a Windows (\windows*).

A szervizelési műveletek automatikusan végrehajthatók olyan fájlokon vagy végrehajtható fájlokon, amelyek más (nem központi) mappákban találhatók.

Az alapvető mappákban lévő fájlok vagy végrehajtható műveletek függőben lévő műveletei a Műveletközpont Függőben lapon tekinthetők meg és hagyhatók jóvá.

A más mappákban lévő fájlokon vagy végrehajtható műveleteken végrehajtott műveletek a Műveletközpont Előzmények lapján tekinthetők meg.

Semi – jóváhagyást igényel a nem ideiglenes mappák szervizeléséhez (szintén egyfajta félautomatizáláshoz)

A félautomatizálás ezen szintje esetén jóváhagyásra van szükség az ideiglenes mappákban nem található fájlokon vagy végrehajtható fájlokon szükséges szervizelési műveletekhez.

Az ideiglenes mappák a következő példákat tartalmazhatják:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \programfájlok\

  • \programfájlok (x86)*

  • \dokumentumok és beállítások*\felhasználók*

A szervizelési műveletek automatikusan végrehajthatók ideiglenes mappákban lévő fájlokon vagy végrehajtható fájlokon.

Az ideiglenes mappákban nem található fájlok vagy végrehajtható fájlok függőben lévő műveletei megtekinthetők és jóváhagyhatók a Műveletközpont Függőben lapon.

Az ideiglenes mappákban lévő fájlokon vagy végrehajtható műveletek az Előzmények lap Műveletközpontjában tekinthetők meg és hagyhatók jóvá.

Nincs automatizált válasz (más néven nincs automatizálás)

Automatizálás nélkül az automatizált vizsgálat nem fut a szervezet eszközein. Ennek eredményeképpen egy automatizált vizsgálat eredményeként nem hajtanak végre vagy függőben lévő szervizelési műveleteket. Más veszélyforrások elleni védelem azonban, például a potenciálisan nemkívánatos alkalmazások elleni védelem, a víruskereső és a következő generációs védelmi funkciók konfigurálásának módjától függően lehet érvényben.

A nincs automatizálási lehetőség használata nem ajánlott, mert csökkenti a szervezet eszközeinek biztonsági állapotát. Fontolja meg az automatizálási szint beállítását teljes automatizálásra (vagy legalább félautomatizálásra).

Fontos szempontok az automatizálási szintekről

A teljes automatizálás megbízhatónak, hatékonynak és biztonságosnak bizonyult, és minden ügyfél számára ajánlott. A teljes automatizálás felszabadítja a kritikus fontosságú biztonsági erőforrásokat, hogy jobban összpontosítsanak a stratégiai kezdeményezésekre. Ha a biztonsági csapat automatizálási szintű eszközcsoportokat definiált, ezeket a beállításokat az újonnan bevezetett alapértelmezett beállítások nem módosítják.