Уровни автоматизации в возможностях автоматического исследования и исправления

Область применения:

• Microsoft Defender XDR
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса

Возможности автоматического исследования и исправления (AIR) в Microsoft Defender для бизнеса предварительно настроены и не настраиваются. В Microsoft Defender для конечной точки вы можете настроить AIR для одного из нескольких уровней автоматизации. Уровень автоматизации влияет на то, выполняются ли действия по исправлению после исследований AIR автоматически или только после утверждения.

• Полная автоматизация (рекомендуется) означает, что действия по исправлению выполняются автоматически для артефактов, которые считаются вредоносными. (Полная автоматизация устанавливается по умолчанию в Defender для бизнеса.)
• Полуавтоматизация означает, что некоторые действия по исправлению выполняются автоматически, а другие действия по исправлению ожидают утверждения перед выполнением. (См. таблицу в разделе Уровни автоматизации.)
• Все действия по исправлению, ожидающие или завершенные, отслеживаются в центре уведомлений (https://security.microsoft.com).

Совет

Для достижения наилучших результатов рекомендуется использовать полную автоматизацию при настройке AIR. Данные, собранные и проанализированные за последний год, показывают, что клиенты, использующие полную автоматизацию, удалили на 40 % больше образцов вредоносных программ с высоким уровнем достоверности, чем клиенты, использующие более низкие уровни автоматизации. Полная автоматизация поможет освободить ресурсы операций безопасности, чтобы сосредоточиться на стратегических инициативах.

Примечание.

Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Уровни автоматизации

Уровень автоматизации	Описание
Полное — автоматическое устранение угроз (также называется полной автоматизацией)	При полной автоматизации действия по исправлению выполняются автоматически для сущностей, которые считаются вредоносными. Все выполняемые действия по исправлению можно просмотреть в центре уведомлений на вкладке Журнал . При необходимости действие по исправлению можно отменить. Полная автоматизация рекомендуется и выбрана по умолчанию для клиентов с Defender для конечной точки, которые были созданы 16 августа 2020 г. или позже, при этом группы устройств еще не определены. Полная автоматизация устанавливается по умолчанию в Defender для бизнеса.
Semi — требуется утверждение для всех папок (также называется полуавтомитой)	При таком уровне полуавтомиляции для действий по исправлению всех файлов требуется утверждение. Такие ожидающие действия можно просмотреть и утвердить в Центре уведомлений на вкладке Ожидание . Время ожидания действий истекает через 7 дней. Если время ожидания действия истекает, поведение будет таким же, как если бы действие было отклонено. Этот уровень полуавтомализа по умолчанию выбран для клиентов, созданных до 16 августа 2020 г. с Microsoft Defender для конечной точки без определения групп устройств.
Semi — требуется утверждение для исправления основных папок (также тип частичной автоматизации)	При таком уровне полуавтома автоматизации утверждение требуется для любых действий по исправлению, необходимых для файлов или исполняемых файлов, которые находятся в основных папках. Основные папки включают каталоги операционной системы, например Windows (\windows\*). Действия по исправлению можно выполнять автоматически для файлов или исполняемых файлов, которые находятся в других (неядерных) папках. Ожидающие действия для файлов или исполняемых файлов в основных папках можно просмотреть и утвердить в центре уведомлений на вкладке Ожидание . Действия, выполненные с файлами или исполняемыми файлами в других папках, можно просмотреть в центре уведомлений на вкладке Журнал .
Semi — требуется утверждение для исправления, отличного от временных папок. (также тип частичной автоматизации)	При таком уровне частичной автоматизации утверждение требуется для любых действий по исправлению, необходимых для файлов или исполняемых файлов, которые не* во временных папках. Временные папки могут включать следующие примеры: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Действия по исправлению могут выполняться автоматически для файлов или исполняемых файлов, которые находятся во временных папках. Ожидающие действия для файлов или исполняемых файлов, которые не находятся во временных папках, можно просмотреть и утвердить в центре уведомлений на вкладке Ожидание . Действия, выполненные с файлами или исполняемыми файлами во временных папках, можно просмотреть и утвердить в центре уведомлений на вкладке Журнал .
Нет автоматического ответа (также называется отсутствием автоматизации)	При отсутствии автоматизации автоматическое исследование не выполняется на устройствах вашей организации. В результате в результате автоматического исследования никакие действия по исправлению не выполняются или не ожидаются. Однако могут действовать другие функции защиты от угроз, такие как защита от потенциально нежелательных приложений, в зависимости от того, как настроены антивирусные программы и функции защиты следующего поколения. *Не рекомендуется использовать параметр без автоматизации, так как это снижает уровень безопасности устройств вашей организации. Рассмотрите возможность настройки уровня автоматизации до полной автоматизации (или, по крайней мере, частичной автоматизации).

Важные моменты об уровнях автоматизации

• Полная автоматизация оказалась надежной, эффективной и безопасной и рекомендуется для всех клиентов. Полная автоматизация освобождает критически важные ресурсы безопасности, чтобы они могли сосредоточиться на ваших стратегических инициативах.

• Новые клиенты (в том числе клиенты, созданные 16 августа 2020 г. или позже) с Defender для конечной точки по умолчанию настроены на полную автоматизацию.

• По умолчанию Defender для бизнеса использует полную автоматизацию. Defender для бизнеса не использует группы устройств так же, как Defender для конечной точки. Таким образом, полная автоматизация включается и применяется ко всем устройствам в Defender для бизнеса.

• Если группа безопасности определила группы устройств с уровнем автоматизации, эти параметры не изменяются новыми параметрами по умолчанию, которые развертываются.

• Вы можете сохранить параметры автоматизации по умолчанию или изменить их в соответствии с потребностями организации. Чтобы изменить параметры, задайте уровень автоматизации.

Примечание.

Defender для бизнеса зависит от защиты в режиме реального времени для автоматического исследования. Чтобы включить автоматическое исследование, необходимо включить защиту в режиме реального времени и в активном режиме.

Дальнейшие действия

• Настройка возможностей автоматического исследования и исправления в Defender для конечной точки
• Посетите центр уведомлений

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.