Automatiseringsnivåer i funktioner för automatiserad undersökning och reparation

Gäller för:

• Microsoft Defender XDR
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag

Funktionerna för automatiserad undersökning och reparation (AIR) i Microsoft Defender för företag är förkonfigurerade och kan inte konfigureras. I Microsoft Defender för Endpoint kan du konfigurera AIR till en av flera automatiseringsnivåer. Din automatiseringsnivå påverkar om reparationsåtgärder efter AIR-undersökningar vidtas automatiskt eller endast vid godkännande.

• Fullständig automatisering (rekommenderas) innebär att reparationsåtgärder vidtas automatiskt på artefakter som bedöms vara skadliga. (Fullständig automatisering anges som standard i Defender för företag.)
• Halvautomatisering innebär att vissa åtgärder vidtas automatiskt, men andra reparationsåtgärder väntar på godkännande innan de vidtas. (Se tabellen i Automatiseringsnivåer.)
• Alla reparationsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter (https://security.microsoft.com).

Tips

För bästa resultat rekommenderar vi att du använder fullständig automatisering när du konfigurerar AIR. Data som samlats in och analyserats under det senaste året visar att kunder som använder fullständig automatisering har tagit bort 40 % fler exempel på skadlig kod med hög konfidens än kunder som använder lägre automatiseringsnivåer. Fullständig automatisering kan hjälpa dig att frigöra dina säkerhetsåtgärdsresurser för att fokusera mer på dina strategiska initiativ.

Obs!

Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

Automatiseringsnivåer

Automatiseringsnivå	Beskrivning
Fullständig – åtgärda hot automatiskt (kallas även fullständig automatisering)	Med fullständig automatisering utförs reparationsåtgärder automatiskt på entiteter som anses vara skadliga. Alla åtgärder som vidtas kan visas i Åtgärdscenter på fliken Historik . Om det behövs kan en reparationsåtgärd ångras. Fullständig automatisering rekommenderas och väljs som standard för klienter med Defender för Endpoint som skapades den 16 augusti 2020 eller senare, utan att några enhetsgrupper har definierats ännu. Fullständig automatisering anges som standard i Defender för företag.
Semi – kräver godkännande för alla mappar (kallas även halvautomatisering)	Med den här nivån av halvautomatisering krävs godkännande för reparationsåtgärder för alla filer. Sådana väntande åtgärder kan visas och godkännas i Åtgärdscenter på fliken Väntar . Tidsgränsen för väntande åtgärder överskrids efter 7 dagar. Om en åtgärd överskrider tidsgränsen är beteendet detsamma som om åtgärden avvisas. Den här nivån för halvautomatisering väljs som standard för klienter som skapades före den 16 augusti 2020 med Microsoft Defender för Endpoint, utan att några enhetsgrupper har definierats.
Semi – kräver godkännande för reparation av kärnmappar (även en typ av halvautomatisering)	Med den här nivån av halvautomatisering krävs godkännande för eventuella reparationsåtgärder som krävs för filer eller körbara filer som finns i kärnmappar. Kärnmappar innehåller operativsystemkataloger, till exempel Windows (\windows\*). Reparationsåtgärder kan utföras automatiskt på filer eller körbara filer som finns i andra (icke-kärniga) mappar. Väntande åtgärder för filer eller körbara filer i kärnmappar kan visas och godkännas i Åtgärdscenter på fliken Väntar . Åtgärder som har vidtagits på filer eller körbara filer i andra mappar kan visas i Åtgärdscenter på fliken Historik .
Semi – kräver godkännande för reparation av icke-temporära mappar (även en typ av halvautomatisering)	Med den här nivån av halvautomatisering krävs godkännande för eventuella åtgärder som krävs för filer eller körbara filer som inte är* i temporära mappar. Temporära mappar kan innehålla följande exempel: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Reparationsåtgärder kan utföras automatiskt på filer eller körbara filer som finns i temporära mappar. Väntande åtgärder för filer eller körbara filer som inte finns i temporära mappar kan visas och godkännas i Åtgärdscenter på fliken Väntar . Åtgärder som har vidtagits för filer eller körbara filer i temporära mappar kan visas och godkännas i Åtgärdscenter på fliken Historik .
Inget automatiserat svar (kallas även ingen automatisering)	Utan automatisering körs inte automatiserad undersökning på organisationens enheter. Därför vidtas eller väntar inga åtgärder på grund av automatiserad undersökning. Andra funktioner för skydd mot hot, till exempel skydd mot potentiellt oönskade program, kan dock gälla, beroende på hur dina antivirus- och nästa generations skyddsfunktioner konfigureras. *Vi rekommenderar inte att du använder alternativet ingen automatisering eftersom det minskar säkerhetsstatusen för organisationens enheter. Överväg att konfigurera din automatiseringsnivå till fullständig automatisering (eller åtminstone halvautomatisering).

Viktiga punkter om automatiseringsnivåer

• Fullständig automatisering har visat sig vara tillförlitlig, effektiv och säker och rekommenderas för alla kunder. Fullständig automatisering frigör dina kritiska säkerhetsresurser så att de kan fokusera mer på dina strategiska initiativ.

• Nya klienter (som inkluderar klienter som skapades den 16 augusti 2020 eller senare) med Defender för Endpoint är inställda på fullständig automatisering som standard.

• Defender för företag använder fullständig automatisering som standard. Defender för företag använder inte enhetsgrupper på samma sätt som Defender för Endpoint. Därför aktiveras och tillämpas fullständig automatisering på alla enheter i Defender för företag.

• Om ditt säkerhetsteam har definierat enhetsgrupper med en automatiseringsnivå ändras inte dessa inställningar av de nya standardinställningarna som distribueras.

• Du kan behålla standardinställningarna för automatisering eller ändra dem enligt organisationens behov. Om du vill ändra inställningarna anger du automatiseringsnivån.

Obs!

Defender för företag är beroende av realtidsskydd för automatisk undersökning. Realtidsskydd måste vara aktiverat och i aktivt läge för att aktivera automatisk undersökning.

Nästa steg

• Konfigurera funktioner för automatiserad undersökning och reparation i Defender för Endpoint
• Besök Åtgärdscenter

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.