Automatiseringsnivåer i automatiserte undersøkelses- og utbedringsfunksjoner

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business

Automatiserte undersøkelses- og utbedringsfunksjoner (AIR) i Microsoft Defender for bedrifter er forhåndskonfigurert og kan ikke konfigureres. I Microsoft Defender for endepunkt kan du konfigurere AIR til ett av flere automatiseringsnivåer. Automatiseringsnivået påvirker om utbedringshandlinger etter AIR-undersøkelser utføres automatisk eller bare ved godkjenning.

• Full automatisering (anbefales) betyr at utbedringshandlinger utføres automatisk på artefakter som er funnet å være skadelige. (Full automatisering angis som standard i Defender for Business.)
• Halvautomatisering betyr at noen utbedringshandlinger utføres automatisk, men andre utbedringshandlinger venter på godkjenning før de utføres. (Se tabellen i automatiseringsnivåer.)
• Alle utbedringshandlinger, enten ventende eller fullførte, spores i handlingssenteret (https://security.microsoft.com).

Tips

For best resultat anbefaler vi at du bruker full automatisering når du konfigurerer AIR. Data som er samlet inn og analysert det siste året, viser at kunder som bruker full automatisering, hadde 40 % flere eksempler på skadelig programvare med høy visshet fjernet enn kunder som bruker lavere automatiseringsnivåer. Full automatisering kan bidra til å frigjøre ressurser for sikkerhetsoperasjoner for å fokusere mer på dine strategiske initiativer.

Obs!

Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

Automatiseringsnivåer

Automatiseringsnivå	Beskrivelse
Full – utbedr trusler automatisk (kalles også full automatisering)	Med full automatisering utføres utbedringshandlinger automatisk på enheter som anses å være skadelige. Alle utbedringshandlinger som utføres, kan vises i Handlingssenter på Logg-fanen . Om nødvendig kan en utbedringshandling angres. Full automatisering anbefales og velges som standard for leiere med Defender for Endpoint som ble opprettet 16. august 2020, uten definerte enhetsgrupper ennå. Full automatisering er angitt som standard i Defender for Business.
Semi – krev godkjenning for alle mapper (kalles også halvautomatisering)	Med dette nivået av halvautomatisering kreves godkjenning for utbedringshandlinger på alle filer. Slike ventende handlinger kan vises og godkjennes i handlingssenteret på Ventende-fanen . Ventende handlinger blir tidsavbrutt etter sju dager. Hvis en handling blir tidsavbrutt, er virkemåten den samme som om handlingen avvises. Dette nivået av halvautomatisering velges som standard for leiere som ble opprettet før 16. august 2020 med Microsoft Defender for endepunkt, uten definerte enhetsgrupper.
Semi – krev godkjenning for utbedring av kjernemapper (også en type semiautomatisering)	Med dette nivået av halvautomatisering kreves godkjenning for eventuelle utbedringshandlinger som kreves på filer eller kjørbare filer som er i kjernemapper. Kjernemapper inkluderer kataloger for operativsystemet, for eksempel Windows (\windows\*). Utbedringshandlinger kan utføres automatisk på filer eller kjørbare filer som er i andre (ikke-kjerne) mapper. Ventende handlinger for filer eller kjørbare filer i kjernemapper kan vises og godkjennes i handlingssenteret på Ventende-fanen . Handlinger som ble utført på filer eller kjørbare filer i andre mapper, kan vises i handlingssenteret på Logg-fanen.
Semi – krev godkjenning for utbedring av ikke-midlertidige mapper (også en type semiautomatisering)	Med dette nivået av halvautomatisering kreves godkjenning for eventuelle utbedringshandlinger som kreves på filer eller kjørbare filer som ikke er* i midlertidige mapper. Midlertidige mapper kan inneholde følgende eksempler: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Utbedringshandlinger kan utføres automatisk på filer eller kjørbare filer som er i midlertidige mapper. Ventende handlinger for filer eller kjørbare filer som ikke er i midlertidige mapper, kan vises og godkjennes i handlingssenteret på Fanen Venter . Handlinger som ble utført på filer eller kjørbare filer i midlertidige mapper, kan vises og godkjennes i handlingssenteret på Logg-fanen .
Ingen automatisert svar (kalles også ingen automatisering)	Uten automatisering kjører ikke automatisert undersøkelse på organisasjonens enheter. Derfor utføres ingen utbedringshandlinger eller venter som følge av automatisert undersøkelse. Andre trusselbeskyttelsesfunksjoner, for eksempel beskyttelse mot potensielt uønskede programmer, kan imidlertid være i kraft, avhengig av hvordan antivirus- og neste generasjons beskyttelsesfunksjoner er konfigurert. * Det anbefales ikke å bruke noe automatiseringsalternativ, fordi det reduserer sikkerhetsstillingen til organisasjonens enheter. Vurder å konfigurere automatiseringsnivået til full automatisering (eller i det minste halvautomatisering).

Viktige punkter om automatiseringsnivåer

• Full automatisering har vist seg å være pålitelig, effektiv og sikker, og anbefales for alle kunder. Full automatisering frigjør dine kritiske sikkerhetsressurser slik at de kan fokusere mer på dine strategiske initiativer.

• Nye leiere (som inkluderer leiere som ble opprettet 16. august 2020) med Defender for Endpoint er satt til full automatisering som standard.

• Defender for Business bruker full automatisering som standard. Defender for Business bruker ikke enhetsgrupper på samme måte som Defender for Endpoint. Dermed er full automatisering aktivert og brukt på alle enheter i Defender for Business.

• Hvis sikkerhetsteamet har definert enhetsgrupper med et automatiseringsnivå, endres ikke disse innstillingene av de nye standardinnstillingene som rulles ut.

• Du kan beholde standardinnstillingene for automatisering eller endre dem i henhold til organisasjonens behov. Hvis du vil endre innstillingene, angir du automatiseringsnivået.

Obs!

Defender for Business avhenger av sanntidsbeskyttelse for automatisk undersøkelse. Sanntidsbeskyttelse må være aktivert og i aktiv modus for å aktivere automatisk undersøkelse.

Neste trinn

• Konfigurer automatiserte undersøkelses- og utbedringsfunksjoner i Defender for Endpoint
• Gå til handlingssenteret

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.