自动调查和修正功能中的自动级别

适用于:

Microsoft Defender 商业版 中的自动调查和修正 (AIR) 功能是预配置的,不可配置。 在Microsoft Defender for Endpoint中,可以将 AIR 配置为多个自动化级别之一。 自动化级别会影响在 AIR 调查后自动执行修正操作,还是仅在批准后执行修正操作。

  • 完全自动化 (建议) 意味着对确定为恶意的项目自动执行修正操作。 (Defender for Business.) 中默认设置完全自动化
  • 半自动化 意味着某些修正操作会自动执行,但其他修正操作等待审批后再执行。 (请参阅 自动化级别中的表。)
  • 所有修正操作(无论是挂起的还是已完成的)都会在操作中心 (https://security.microsoft.com) 进行跟踪。

提示

为了获得最佳结果,我们建议在 配置 AIR 时使用完全自动化。 过去一年收集和分析的数据表明,使用完全自动化的客户删除的高置信度恶意软件样本比使用较低自动化级别的客户多 40%。 完全自动化有助于释放安全运营资源,以便更专注于你的战略计划。

注意

Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

自动化级别

自动化级别 说明
完全 - 自动修正威胁
(也称为 完全自动化)
完全自动化后,会自动对被视为恶意的实体执行修正操作。 可以在“历史记录”选项卡上的“操作中心”中查看执行的所有修正操作。如有必要,可以撤消修正操作。

对于在 2020 年 8 月 16 日或之后创建的具有 Defender for Endpoint 且尚未定义设备组的租户,建议默认选择完全自动化

默认情况下,在 Defender for Business 中设置完全自动化。

半 - 需要批准所有文件夹
(也称为 半自动化)
使用此级别的半自动化时,需要批准对所有文件的修正操作。 可以在 操作中心的“挂起”选项卡上查看和批准此类 挂起 的操作。挂起的操作在 7 天后超时。 如果操作超时,则行为与拒绝操作的行为相同。

默认情况下,对于在 2020 年 8 月 16 日之前创建的租户,Microsoft Defender for Endpoint,未定义设备组,将默认选择此半自动化级别。

半 - 需要批准核心文件夹修正
(也是一种 半自动化)
借助此级别的半自动化,需要批准核心文件夹中的文件或可执行文件所需的任何修正操作。 核心文件夹包括操作系统目录,例如 Windows (\windows\*) 。

可以对其他 (非核心) 文件夹中的文件或可执行文件自动执行修正操作。

可以在 操作中心的“挂起”选项卡上查看和批准核心文件夹中文件或可执行文件的 挂起 操作。

可以在 “操作中心”的“ 历史记录 ”选项卡上查看对其他文件夹中的文件或可执行文件执行的操作。

半 - 需要批准非临时文件夹修正
(也是一种 半自动化)
借助此级别的半自动化,需要批准对临时文件夹中未* 的文件或可执行文件执行的任何修正操作。

临时文件夹可以包括以下示例:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

可以对临时文件夹中的文件或可执行文件自动执行修正操作。

可以在 操作中心的“挂起”选项卡上查看和批准不在临时文件夹中的文件或可执行文件的 挂起 操作。

可以在 “操作中心”的“ 历史记录 ”选项卡上查看和批准对临时文件夹中的文件或可执行文件执行的操作。

无自动响应
(也称为 无自动化)
在没有自动化的情况下,自动调查不会在组织的设备上运行。 因此,由于自动调查,不会采取或挂起任何修正操作。 但是,其他威胁防护功能(例如 ,针对可能不需要的应用程序的保护)可能有效,具体取决于防病毒和下一代保护功能的配置方式。

* 不建议使用 “无自动化 ”选项,因为它会降低组织设备的安全状况。 请考虑将自动化级别设置为完全自动化 (或至少) 半自动化

有关自动化级别的要点

  • 事实证明,完全自动化可靠、高效且安全,建议所有客户使用。 完全自动化可释放关键安全资源,以便他们可以更专注于你的策略计划。

  • 新租户 (,包括 2020 年 8 月 16 日或之后创建的租户,) Defender for Endpoint 默认设置为完全自动化。

  • 默认情况下,Defender for Business 使用完全自动化。 Defender for Business 使用设备组的方式与 Defender for Endpoint 不同。 因此,将打开完全自动化并将其应用于 Defender for Business 中的所有设备。

  • 如果安全团队定义了具有一定自动化级别的设备组,则这些设置不会因推出的新默认设置而更改。

  • 可以保留默认自动化设置,也可以根据组织需求对其进行更改。 若要更改设置, 请设置自动化级别

注意

Defender for Business 依赖于实时保护进行自动调查。 必须启用实时保护,并且处于活动模式才能启用自动调查。

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区