Omówienie zautomatyzowanych badań

Dotyczy:

• Microsoft Defender XDR
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Platformy

• System Windows

Chcesz zobaczyć, jak to działa? Obejrzyj następujące wideo:

Technologia zautomatyzowanego badania wykorzystuje różne algorytmy inspekcji i opiera się na procesach używanych przez analityków zabezpieczeń. Możliwości AIR mają na celu zbadanie alertów i podjęcie natychmiastowych działań w celu rozwiązania problemów z naruszeniami. Możliwości AIR znacznie zmniejszają liczbę alertów, umożliwiając operacjom zabezpieczeń skupienie się na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości. Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w centrum akcji. W centrum akcji oczekujące akcje są zatwierdzane (lub odrzucane), a ukończone akcje można cofnąć w razie potrzeby.

Ten artykuł zawiera omówienie funkcji AIR i zawiera linki do następnych kroków i dodatkowych zasobów.

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Jak rozpoczyna się zautomatyzowane badanie

Zautomatyzowane badanie może rozpocząć się po wyzwoleniu alertu lub zainicjowaniu badania przez operatora zabezpieczeń.

Sytuacji	Efekt
Wyzwalany jest alert	Ogólnie rzecz biorąc, automatyczne badanie rozpoczyna się po wyzwoleniu alertu i utworzeniu zdarzenia . Załóżmy na przykład, że na urządzeniu znajduje się złośliwy plik. Po wykryciu tego pliku zostanie wyzwolony alert i zostanie utworzone zdarzenie. Na urządzeniu rozpoczyna się zautomatyzowany proces badania. Ponieważ inne alerty są generowane z powodu tego samego pliku na innych urządzeniach, są one dodawane do skojarzonego zdarzenia i do zautomatyzowanego badania.
Badanie jest uruchamiane ręcznie	Zautomatyzowane badanie może zostać uruchomione ręcznie przez zespół ds. operacji zabezpieczeń. Załóżmy na przykład, że operator zabezpieczeń przegląda listę urządzeń i zauważa, że urządzenie ma wysoki poziom ryzyka. Operator zabezpieczeń może wybrać urządzenie na liście, aby otworzyć wysuwane urządzenie, a następnie wybrać pozycję Inicjuj automatyczne badanie.

Jak zautomatyzowane badanie rozszerza jego zakres

Gdy badanie jest uruchomione, wszystkie inne alerty wygenerowane na urządzeniu są dodawane do trwającego zautomatyzowanego badania do czasu zakończenia tego badania. Ponadto jeśli to samo zagrożenie jest widoczne na innych urządzeniach, te urządzenia zostaną dodane do badania.

Jeśli na innym urządzeniu jest widoczna obciążana jednostka, zautomatyzowany proces badania rozszerza swój zakres w celu uwzględnienia tego urządzenia, a na tym urządzeniu zostanie uruchomiony ogólny podręcznik zabezpieczeń. Jeśli podczas tego procesu rozszerzania zostanie znalezionych co najmniej 10 urządzeń z tej samej jednostki, ta akcja rozszerzenia wymaga zatwierdzenia i jest widoczna na karcie Oczekujące akcje .

Jak są korygowane zagrożenia

Po wyzwoleniu alertów i uruchomieniu zautomatyzowanego dochodzenia dla każdego badanego dowodu jest generowany werdykt. Werdykty mogą być:

• Złośliwe;
• Podejrzane; Lub
• Nie znaleziono zagrożeń.

Po osiągnięciu werdyktów zautomatyzowane badania mogą skutkować co najmniej jednym działaniem korygacyjnym. Przykłady akcji korygowania obejmują wysyłanie pliku do kwarantanny, zatrzymywanie usługi, usuwanie zaplanowanego zadania i nie tylko. Aby dowiedzieć się więcej, zobacz Akcje korygowania.

W zależności od poziomu automatyzacji ustawionego dla organizacji oraz innych ustawień zabezpieczeń akcje korygowania mogą być wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń. Dodatkowe ustawienia zabezpieczeń, które mogą mieć wpływ na automatyczne korygowanie, obejmują ochronę przed potencjalnie niechcianych aplikacji (PUA).

Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w centrum akcji. W razie potrzeby zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania. Aby dowiedzieć się więcej, zobacz Przeglądanie i zatwierdzanie akcji korygowania po zautomatyzowanym badaniu.

Porada

Zapoznaj się z nową, ujednoliconą stroną badania w portalu Microsoft Defender. Aby dowiedzieć się więcej, zobacz Stronę ujednoliconego badania.

Wymagania dotyczące air

Twoja subskrypcja musi obejmować usługę Defender for Endpoint lub Defender dla Firm.

Uwaga

Automatyczne badanie i reagowanie wymaga programu antywirusowego Microsoft Defender do działania w trybie pasywnym lub aktywnym. Jeśli program antywirusowy Microsoft Defender zostanie wyłączony lub odinstalowany, automatyczne badanie i odpowiedź nie będą działać poprawnie.

Obecnie usługa AIR obsługuje tylko następujące wersje systemu operacyjnego:

• Windows Server 2012 R2 (wersja zapoznawcza)
• Windows Server 2016 (wersja zapoznawcza)
• Windows Server 2019
• Windows Server 2022
• Windows 10, wersja 1709 (kompilacja systemu operacyjnego 16299.1085 z KB4493441) lub nowsza
• Windows 10, wersja 1803 (kompilacja systemu operacyjnego 17134.704 z KB4493464) lub nowsza
• Windows 10, wersja 1803 lub nowsza
• Windows 11

Uwaga

Zautomatyzowane badanie i reagowanie na Windows Server 2012 R2 i Windows Server 2016 wymaga zainstalowania ujednoliconego agenta.

Następne kroki

• Dowiedz się więcej o poziomach automatyzacji
• Zobacz interaktywny przewodnik: Badanie i korygowanie zagrożeń za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender
• Konfigurowanie możliwości zautomatyzowanego badania i korygowania w Ochrona punktu końcowego w usłudze Microsoft Defender

Zobacz też

• Ochrona pua
• Zautomatyzowane badanie i reagowanie w Ochrona usługi Office 365 w usłudze Microsoft Defender
• Zautomatyzowane badanie i reagowanie w Microsoft Defender XDR

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.