Översikt över automatiserade undersökningar
Gäller för:
Plattformar
- Windows
Vill du se hur det fungerar? Titta på följande video:
Tekniken i automatiserad undersökning använder olika inspektionsalgoritmer och baseras på processer som används av säkerhetsanalytiker. AIR-funktionerna är utformade för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa överträdelser. Air-funktionerna minskar avsevärt aviseringsvolymen, vilket gör att säkerhetsåtgärder kan fokusera på mer sofistikerade hot och andra värdefulla initiativ. Alla reparationsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter. Väntande åtgärder godkänns (eller avvisas) i Åtgärdscenter och slutförda åtgärder kan ångras om det behövs.
Den här artikeln innehåller en översikt över AIR och innehåller länkar till nästa steg och ytterligare resurser.
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Så här startar den automatiserade undersökningen
En automatiserad undersökning kan starta när en avisering utlöses eller när en säkerhetsoperatör startar undersökningen.
Situationen | Vad som händer |
---|---|
En avisering utlöses | I allmänhet startar en automatiserad undersökning när en avisering utlöses och en incident skapas. Anta till exempel att en skadlig fil finns på en enhet. När filen identifieras utlöses en avisering och en incident skapas. En automatiserad undersökningsprocess inleds på enheten. När andra aviseringar genereras på grund av samma fil på andra enheter läggs de till i den associerade incidenten och i den automatiserade undersökningen. |
En undersökning startas manuellt | En automatiserad undersökning kan startas manuellt av ditt säkerhetsåtgärdsteam. Anta till exempel att en säkerhetsoperatör granskar en lista över enheter och märker att en enhet har en hög risknivå. Säkerhetsoperatören kan välja enheten i listan för att öppna den utfällbara menyn och sedan välja Initiera automatiserad undersökning. |
Så här utökar en automatiserad undersökning dess omfång
Medan en undersökning körs läggs alla andra aviseringar som genereras från enheten till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessutom dessa enheter till i undersökningen.
Om en komprometterad entitet visas på en annan enhet utökar den automatiserade undersökningsprocessen dess omfång till att omfatta enheten, och en allmän säkerhetsspelbok startar på enheten. Om 10 eller fler enheter hittas under den här expansionsprocessen från samma entitet kräver expansionsåtgärden ett godkännande och visas på fliken Väntande åtgärder .
Så här åtgärdas hot
När aviseringar utlöses och en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara:
- Skadlig;
- Misstänkt; Eller
- Inga hot hittades.
När utfallet har nåtts kan automatiserade undersökningar resultera i en eller flera reparationsåtgärder. Exempel på reparationsåtgärder är att skicka en fil i karantän, stoppa en tjänst, ta bort en schemalagd aktivitet med mera. Mer information finns i Reparationsåtgärder.
Beroende på vilken automatiseringsnivå som angetts för din organisation, samt andra säkerhetsinställningar, kan reparationsåtgärder utföras automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam. Ytterligare säkerhetsinställningar som kan påverka automatisk reparation omfattar skydd mot potentiellt oönskade program (PUA).
Alla reparationsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter. Om det behövs kan säkerhetsåtgärdsteamet ångra en åtgärd. Mer information finns i Granska och godkänna reparationsåtgärder efter en automatiserad undersökning.
Tips
Kolla in den nya enhetliga undersökningssidan i Microsoft Defender-portalen. Mer information finns på sidan enhetlig undersökning.
Krav för AIR
Din prenumeration måste innehålla Defender för Endpoint eller Defender för företag.
Obs!
Automatiserad undersökning och svar kräver Microsoft Defender Antivirus för att köras i passivt läge eller aktivt läge. Om Microsoft Defender Antivirus är inaktiverat eller avinstallerat fungerar inte automatiserad undersökning och svar korrekt.
För närvarande stöder AIR endast följande OS-versioner:
- Windows Server 2012 R2 (förhandsversion)
- Windows Server 2016 (förhandsversion)
- Windows Server 2019
- Windows Server 2022
- Windows 10 version 1709 (OS Build 16299.1085 med KB4493441) eller senare
- Windows 10 version 1803 (OS Build 17134.704 med KB4493464) eller senare
- Windows 10 version 1803 eller senare
- Windows 11
Obs!
Automatisk undersökning och svar på Windows Server 2012 R2 och Windows Server 2016 kräver att Unified Agent installeras.
Nästa steg
- Läs mer om automatiseringsnivåer
- Se den interaktiva guiden: Undersöka och åtgärda hot med Microsoft Defender för Endpoint
- Konfigurera funktioner för automatiserad undersökning och reparation i Microsoft Defender för Endpoint
Se även
- PUA-skydd
- Automatiserad undersökning och svar i Microsoft Defender för Office 365
- Automatiserad undersökning och svar i Microsoft Defender XDR
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.