Poziomy automatyzacji w możliwościach zautomatyzowanego badania i korygowania
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Funkcje zautomatyzowanego badania i korygowania (AIR) w Microsoft Defender dla Firm są wstępnie skonfigurowane i nie można ich konfigurować. W Ochrona punktu końcowego w usłudze Microsoft Defender można skonfigurować funkcję AIR na jednym z kilku poziomów automatyzacji. Poziom automatyzacji ma wpływ na to, czy akcje korygowania po badaniach air są wykonywane automatycznie, czy tylko po zatwierdzeniu.
- Pełna automatyzacja (zalecane) oznacza, że akcje korygowania są wykonywane automatycznie na artefaktach uznanych za złośliwe. (Pełna automatyzacja jest domyślnie ustawiana w usłudze Defender dla firm).
- Półautomatyczne oznacza, że niektóre akcje korygowania są wykonywane automatycznie, ale inne akcje korygowania czekają na zatwierdzenie przed podjęciem. (Zobacz tabelę w temacie Poziomy automatyzacji).
- Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w Centrum akcji (https://security.microsoft.com).
Porada
Aby uzyskać najlepsze wyniki, zalecamy używanie pełnej automatyzacji podczas konfigurowania środowiska AIR. Dane zebrane i przeanalizowane w ciągu ostatniego roku pokazują, że klienci korzystający z pełnej automatyzacji usunęli o 40% więcej próbek złośliwego oprogramowania o wysokim stopniu zaufania niż klienci korzystający z niższych poziomów automatyzacji. Pełna automatyzacja może pomóc zwolnić zasoby operacji zabezpieczeń, aby skupić się bardziej na strategicznych inicjatywach.
Uwaga
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Poziomy automatyzacji
| Poziom automatyzacji | Opis |
|---|---|
| Pełne — automatyczne korygowanie zagrożeń (nazywane również pełną automatyzacją) |
W przypadku pełnej automatyzacji akcje korygowania są wykonywane automatycznie dla jednostek, które są uważane za złośliwe. Wszystkie podjęte akcje korygowania można wyświetlić w Centrum akcji na karcie Historia . W razie potrzeby można cofnąć akcję korygowania. Zalecana jest pełna automatyzacja i jest domyślnie wybierana dla dzierżaw z usługą Defender for Endpoint, które zostały utworzone 16 sierpnia 2020 r. lub później, bez zdefiniowanych jeszcze grup urządzeń. Pełna automatyzacja jest domyślnie ustawiana w usłudze Defender dla firm. |
| Semi — wymaga zatwierdzenia dla wszystkich folderów (nazywane również półautomatycznym) |
W przypadku tego poziomu automatyzacji półautomatycznej zatwierdzanie jest wymagane w przypadku akcji korygowania wszystkich plików. Takie oczekujące akcje można wyświetlić i zatwierdzić w Centrum akcji na karcie Oczekujące . Limit czasu oczekujących akcji po 7 dniach. Jeśli akcja przekroczy limit czasu, zachowanie jest takie samo, jak w przypadku odrzucenia akcji. Ten poziom częściowo automatyzacji jest domyślnie wybierany dla dzierżaw utworzonych przed 16 sierpnia 2020 r. z Ochrona punktu końcowego w usłudze Microsoft Defender bez zdefiniowanych grup urządzeń. |
| Semi — wymaga zatwierdzenia korygowania folderów podstawowych (również typ pół automatyzacji) |
Na tym poziomie automatyzacji półautomatycznej zatwierdzenie jest wymagane w przypadku wszelkich akcji korygowania wymaganych w plikach lub plikach wykonywalnych znajdujących się w folderach podstawowych. Foldery podstawowe obejmują katalogi systemu operacyjnego, takie jak Windows (\windows\*). Akcje korygowania mogą być wykonywane automatycznie w plikach lub plikach wykonywalnych znajdujących się w innych (nierdzeniowych) folderach. Oczekujące akcje dla plików lub plików wykonywalnych w folderach podstawowych można wyświetlać i zatwierdzać w Centrum akcji na karcie Oczekujące . Akcje, które zostały wykonane w plikach lub plikach wykonywalnych w innych folderach, można wyświetlić w Centrum akcji na karcie Historia . |
| Semi — wymaga zatwierdzenia korygowania folderów innych niż temp (również typ pół automatyzacji) |
Na tym poziomie automatyzacji półautomatycznej zatwierdzenie jest wymagane w przypadku wszelkich akcji korygowania wymaganych w plikach lub plikach wykonywalnych, które nie znajdują się* w folderach tymczasowych. Foldery tymczasowe mogą zawierać następujące przykłady:
Akcje korygowania mogą być wykonywane automatycznie w plikach lub plikach wykonywalnych znajdujących się w folderach tymczasowych. Oczekujące akcje dla plików lub plików wykonywalnych, które nie znajdują się w folderach tymczasowych, można wyświetlić i zatwierdzić w Centrum akcji na karcie Oczekujące . Akcje wykonywane w plikach lub plikach wykonywalnych w folderach tymczasowych można wyświetlać i zatwierdzać w Centrum akcji na karcie Historia . |
| Brak automatycznej odpowiedzi (określane również jako brak automatyzacji) |
Bez automatyzacji automatyczne badanie nie jest uruchamiane na urządzeniach organizacji. W rezultacie w wyniku zautomatyzowanego badania nie są podejmowane ani oczekujące żadne akcje korygowania. Jednak inne funkcje ochrony przed zagrożeniami, takie jak ochrona przed potencjalnie niepożądanymi aplikacjami, mogą obowiązywać w zależności od sposobu konfigurowania programu antywirusowego i funkcji ochrony nowej generacji. *Korzystanie z opcji brak automatyzacji nie jest zalecane, ponieważ zmniejsza stan zabezpieczeń urządzeń w organizacji. Rozważ skonfigurowanie poziomu automatyzacji w celu pełnej automatyzacji (lub co najmniej częściowo automatyzacji). |
Ważne punkty dotyczące poziomów automatyzacji
Pełna automatyzacja okazała się niezawodna, wydajna i bezpieczna i jest zalecana dla wszystkich klientów. Pełna automatyzacja zwalnia krytyczne zasoby zabezpieczeń, dzięki czemu mogą bardziej skupić się na twoich strategicznych inicjatywach.
Nowe dzierżawy (w tym dzierżawy utworzone 16 sierpnia 2020 r. lub później) w usłudze Defender for Endpoint są domyślnie ustawione na pełną automatyzację.
Usługa Defender dla firm domyślnie używa pełnej automatyzacji. Usługa Defender dla firm nie używa grup urządzeń w taki sam sposób jak usługa Defender dla punktu końcowego. W związku z tym pełna automatyzacja jest włączana i stosowana do wszystkich urządzeń w usłudze Defender dla Firm.
Jeśli zespół ds. zabezpieczeń zdefiniował grupy urządzeń z poziomem automatyzacji, te ustawienia nie zostaną zmienione przez nowe ustawienia domyślne, które są wdrażane.
Możesz zachować domyślne ustawienia automatyzacji lub zmienić je zgodnie z potrzebami organizacji. Aby zmienić ustawienia, ustaw poziom automatyzacji.
Uwaga
Usługa Defender dla Firm zależy od ochrony w czasie rzeczywistym na potrzeby automatycznego badania. Aby umożliwić automatyczne badanie, należy włączyć ochronę w czasie rzeczywistym i w trybie aktywnym.
Następne kroki
- Konfigurowanie możliwości zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint
- Odwiedź Centrum akcji
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla