Poziomy automatyzacji w możliwościach zautomatyzowanego badania i korygowania

Dotyczy:

• Microsoft Defender XDR
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Funkcje zautomatyzowanego badania i korygowania (AIR) w Microsoft Defender dla Firm są wstępnie skonfigurowane i nie można ich konfigurować. W Ochrona punktu końcowego w usłudze Microsoft Defender można skonfigurować funkcję AIR na jednym z kilku poziomów automatyzacji. Poziom automatyzacji ma wpływ na to, czy akcje korygowania po badaniach air są wykonywane automatycznie, czy tylko po zatwierdzeniu.

• Pełna automatyzacja (zalecane) oznacza, że akcje korygowania są wykonywane automatycznie na artefaktach uznanych za złośliwe. (Pełna automatyzacja jest domyślnie ustawiana w usłudze Defender dla firm).
• Półautomatyczne oznacza, że niektóre akcje korygowania są wykonywane automatycznie, ale inne akcje korygowania czekają na zatwierdzenie przed podjęciem. (Zobacz tabelę w temacie Poziomy automatyzacji).
• Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w Centrum akcji (https://security.microsoft.com).

Porada

Aby uzyskać najlepsze wyniki, zalecamy używanie pełnej automatyzacji podczas konfigurowania środowiska AIR. Dane zebrane i przeanalizowane w ciągu ostatniego roku pokazują, że klienci korzystający z pełnej automatyzacji usunęli o 40% więcej próbek złośliwego oprogramowania o wysokim stopniu zaufania niż klienci korzystający z niższych poziomów automatyzacji. Pełna automatyzacja może pomóc zwolnić zasoby operacji zabezpieczeń, aby skupić się bardziej na strategicznych inicjatywach.

Uwaga

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Poziomy automatyzacji

Poziom automatyzacji	Opis
Pełne — automatyczne korygowanie zagrożeń (nazywane również pełną automatyzacją)	W przypadku pełnej automatyzacji akcje korygowania są wykonywane automatycznie dla jednostek, które są uważane za złośliwe. Wszystkie podjęte akcje korygowania można wyświetlić w Centrum akcji na karcie Historia . W razie potrzeby można cofnąć akcję korygowania. Zalecana jest pełna automatyzacja i jest domyślnie wybierana dla dzierżaw z usługą Defender for Endpoint, które zostały utworzone 16 sierpnia 2020 r. lub później, bez zdefiniowanych jeszcze grup urządzeń. Pełna automatyzacja jest domyślnie ustawiana w usłudze Defender dla firm.
Semi — wymaga zatwierdzenia dla wszystkich folderów (nazywane również półautomatycznym)	W przypadku tego poziomu automatyzacji półautomatycznej zatwierdzanie jest wymagane w przypadku akcji korygowania wszystkich plików. Takie oczekujące akcje można wyświetlić i zatwierdzić w Centrum akcji na karcie Oczekujące . Limit czasu oczekujących akcji po 7 dniach. Jeśli akcja przekroczy limit czasu, zachowanie jest takie samo, jak w przypadku odrzucenia akcji. Ten poziom częściowo automatyzacji jest domyślnie wybierany dla dzierżaw utworzonych przed 16 sierpnia 2020 r. z Ochrona punktu końcowego w usłudze Microsoft Defender bez zdefiniowanych grup urządzeń.
Semi — wymaga zatwierdzenia korygowania folderów podstawowych (również typ pół automatyzacji)	Na tym poziomie automatyzacji półautomatycznej zatwierdzenie jest wymagane w przypadku wszelkich akcji korygowania wymaganych w plikach lub plikach wykonywalnych znajdujących się w folderach podstawowych. Foldery podstawowe obejmują katalogi systemu operacyjnego, takie jak Windows (\windows\*). Akcje korygowania mogą być wykonywane automatycznie w plikach lub plikach wykonywalnych znajdujących się w innych (nierdzeniowych) folderach. Oczekujące akcje dla plików lub plików wykonywalnych w folderach podstawowych można wyświetlać i zatwierdzać w Centrum akcji na karcie Oczekujące . Akcje, które zostały wykonane w plikach lub plikach wykonywalnych w innych folderach, można wyświetlić w Centrum akcji na karcie Historia .
Semi — wymaga zatwierdzenia korygowania folderów innych niż temp (również typ pół automatyzacji)	Na tym poziomie automatyzacji półautomatycznej zatwierdzenie jest wymagane w przypadku wszelkich akcji korygowania wymaganych w plikach lub plikach wykonywalnych, które nie znajdują się* w folderach tymczasowych. Foldery tymczasowe mogą zawierać następujące przykłady: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Akcje korygowania mogą być wykonywane automatycznie w plikach lub plikach wykonywalnych znajdujących się w folderach tymczasowych. Oczekujące akcje dla plików lub plików wykonywalnych, które nie znajdują się w folderach tymczasowych, można wyświetlić i zatwierdzić w Centrum akcji na karcie Oczekujące . Akcje wykonywane w plikach lub plikach wykonywalnych w folderach tymczasowych można wyświetlać i zatwierdzać w Centrum akcji na karcie Historia .
Brak automatycznej odpowiedzi (określane również jako brak automatyzacji)	Bez automatyzacji automatyczne badanie nie jest uruchamiane na urządzeniach organizacji. W rezultacie w wyniku zautomatyzowanego badania nie są podejmowane ani oczekujące żadne akcje korygowania. Jednak inne funkcje ochrony przed zagrożeniami, takie jak ochrona przed potencjalnie niepożądanymi aplikacjami, mogą obowiązywać w zależności od sposobu konfigurowania programu antywirusowego i funkcji ochrony nowej generacji. * Korzystanie z opcji brak automatyzacji nie jest zalecane, ponieważ zmniejsza stan zabezpieczeń urządzeń w organizacji. Rozważ skonfigurowanie poziomu automatyzacji w celu pełnej automatyzacji (lub co najmniej częściowo automatyzacji).

Ważne punkty dotyczące poziomów automatyzacji

• Pełna automatyzacja okazała się niezawodna, wydajna i bezpieczna i jest zalecana dla wszystkich klientów. Pełna automatyzacja zwalnia krytyczne zasoby zabezpieczeń, dzięki czemu mogą bardziej skupić się na twoich strategicznych inicjatywach.

• Nowe dzierżawy (w tym dzierżawy utworzone 16 sierpnia 2020 r. lub później) w usłudze Defender for Endpoint są domyślnie ustawione na pełną automatyzację.

• Usługa Defender dla firm domyślnie używa pełnej automatyzacji. Usługa Defender dla firm nie używa grup urządzeń w taki sam sposób jak usługa Defender dla punktu końcowego. W związku z tym pełna automatyzacja jest włączana i stosowana do wszystkich urządzeń w usłudze Defender dla Firm.

• Jeśli zespół ds. zabezpieczeń zdefiniował grupy urządzeń z poziomem automatyzacji, te ustawienia nie zostaną zmienione przez nowe ustawienia domyślne, które są wdrażane.

• Możesz zachować domyślne ustawienia automatyzacji lub zmienić je zgodnie z potrzebami organizacji. Aby zmienić ustawienia, ustaw poziom automatyzacji.

Uwaga

Usługa Defender dla Firm zależy od ochrony w czasie rzeczywistym na potrzeby automatycznego badania. Aby umożliwić automatyczne badanie, należy włączyć ochronę w czasie rzeczywistym i w trybie aktywnym.

Następne kroki

• Konfigurowanie możliwości zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint
• Odwiedź Centrum akcji

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.