Del via


Oversikt over automatiserte undersøkelser

Gjelder for:

Plattformer

  • Windows

Vil du se hvordan det fungerer? Se følgende video:

Teknologien i automatisert undersøkelse bruker ulike inspeksjonsalgoritmer og er basert på prosesser som brukes av sikkerhetsanalytikere. AIR-funksjoner er utformet for å undersøke varsler og iverksette umiddelbare tiltak for å løse brudd. AIR-funksjoner reduserer varslingsvolumet betydelig, slik at sikkerhetsoperasjoner kan fokusere på mer sofistikerte trusler og andre høyverdiinitiativer. Alle utbedringshandlinger, enten ventende eller fullførte, spores i handlingssenteret. Ventende handlinger godkjennes (eller avvises) i handlingssenteret, og fullførte handlinger kan angres om nødvendig.

Denne artikkelen gir en oversikt over AIR og inneholder koblinger til de neste trinnene og flere ressurser.

Tips

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Slik starter den automatiserte undersøkelsen

En automatisert undersøkelse kan starte når et varsel utløses, eller når en sikkerhetsoperatør starter undersøkelsen.

Situasjonen Hva som skjer
Et varsel utløses Generelt starter en automatisert undersøkelse når et varsel utløses, og det opprettes en hendelse . Anta for eksempel at en ondsinnet fil befinner seg på en enhet. Når filen oppdages, utløses et varsel, og hendelsen opprettes. En automatisert undersøkelsesprosess begynner på enheten. Ettersom andre varsler genereres på grunn av den samme filen på andre enheter, legges de til i den tilknyttede hendelsen og til den automatiserte undersøkelsen.
En undersøkelse startes manuelt En automatisert undersøkelse kan startes manuelt av sikkerhetsoperasjonsteamet. Anta for eksempel at en sikkerhetsoperatør ser gjennom en liste over enheter og legger merke til at en enhet har et nivå med høy risiko. Sikkerhetsoperatøren kan velge enheten i listen for å åpne undermenyen, og deretter velge Start automatisert undersøkelse.

Hvordan en automatisert undersøkelse utvider omfanget

Mens en undersøkelse kjører, legges eventuelle andre varsler generert fra enheten til en pågående automatisert undersøkelse til den undersøkelsen er fullført. I tillegg, hvis den samme trusselen vises på andre enheter, legges disse enhetene til i undersøkelsen.

Hvis en inkriminert enhet vises på en annen enhet, utvider den automatiserte undersøkelsesprosessen omfanget til å inkludere denne enheten, og en generell sikkerhetsspillebok starter på den enheten. Hvis 10 eller flere enheter blir funnet under denne utvidelsesprosessen fra samme enhet, krever denne utvidelseshandlingen en godkjenning og er synlig på fanen Ventende handlinger .

Hvordan trusler utbedres

Etter hvert som varsler utløses, og en automatisert undersøkelse kjøres, genereres det en dom for hvert bevis som undersøkes. Dommer kan være:

  • Ondsinnet;
  • Mistenkelig; Eller
  • Finner ingen trusler.

Etter hvert som dommene nås, kan automatiserte undersøkelser resultere i én eller flere utbedringshandlinger. Eksempler på utbedringshandlinger er å sende en fil til karantene, stoppe en tjeneste, fjerne en planlagt oppgave og mer. Hvis du vil ha mer informasjon, kan du se Utbedringshandlinger.

Avhengig av nivået på automatiseringssettet for organisasjonen, i tillegg til andre sikkerhetsinnstillinger, kan utbedringshandlinger forekomme automatisk eller bare ved godkjenning av sikkerhetsoperasjonsteamet. Flere sikkerhetsinnstillinger som kan påvirke automatisk utbedring inkluderer beskyttelse mot potensielt uønskede programmer (PUA).

Alle utbedringshandlinger, enten ventende eller fullførte, spores i handlingssenteret. Hvis det er nødvendig, kan sikkerhetsoperasjonsteamet angre en utbedringshandling. Hvis du vil ha mer informasjon, kan du se Se gjennom og godkjenne utbedringshandlinger etter en automatisert undersøkelse.

Tips

Sjekk ut den nye, enhetlige undersøkelsessiden i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se siden Enhetlig undersøkelse.

Krav til AIR

Abonnementet må inneholde Defender for Endpoint eller Defender for Business.

Obs!

Automatisert undersøkelse og svar krever Microsoft Defender Antivirus for å kjøre i passiv modus eller aktiv modus. Hvis Microsoft Defender Antivirus er deaktivert eller avinstallert, fungerer ikke automatisert undersøkelse og svar på riktig måte.

AIR støtter for øyeblikket bare følgende OS-versjoner:

  • Windows Server 2012 R2 (forhåndsversjon)
  • Windows Server 2016 (forhåndsversjon)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versjon 1709 (OS-bygg 16299.1085 med KB4493441) eller nyere
  • Windows 10, versjon 1803 (OS-bygg 17134.704 med KB4493464) eller nyere
  • Windows 10, versjon 1803 eller nyere
  • Windows 11

Obs!

Automatisert undersøkelse og svar på Windows Server 2012 R2 og Windows Server 2016 krever at Unified Agent er installert.

Neste trinn

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.