自动调查概述
适用于:
平台
- Windows
是否想要了解其工作原理? 观看以下视频:
自动调查中的技术使用各种检查算法,并以安全分析师使用的流程为基础。 AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能将极大地减少警报量,使安全操作能够专注于更复杂的威胁和其他高价值计划。 所有修正操作(无论是挂起还是已完成)都在 操作中心 中进行跟踪。 在操作中心,挂起的操作会获得批准(或拒绝),如果需要,可以撤消已完成的操作。
本文概述了 AIR,并提供了指向后续步骤和其他资源的链接。
提示
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
自动调查的启动方式
在触发警报或安全操作员启动调查时,可以启动自动调查。
| 情况 | 发生的情况 |
|---|---|
| 触发警报 | 通常,自动调查在触发 警报 并创建 事件 时启动。 例如,假设恶意文件驻留在设备上。 检测到该文件时,将触发警报并创建事件。 自动调查过程在设备上开始。 由于其他设备上的同一文件而生成其他警报,它们将添加到关联的事件和自动调查中。 |
| 手动启动调查 | 安全运营团队可以手动启动自动调查。 例如,假设安全操作员正在查看设备列表,并注意到设备具有高风险级别。 安全操作员可以在列表中选择设备以打开其浮出控件,然后选择“ 启动自动调查”。 |
自动调查如何扩大其范围
调查正在运行时,从设备生成的任何其他警报都会添加到正在进行的自动调查中,直到该调查完成。 此外,如果在其他设备上看到相同的威胁,则会将这些设备添加到调查中。
如果在另一台设备中看到有罪的实体,则自动调查过程会扩展其范围以包括该设备,并且常规安全 playbook 会在该设备上启动。 如果在此扩展过程中从同一实体找到 10 个或更多设备,则该扩展操作需要批准,并且显示在“ 挂起的操作 ”选项卡上。
如何修正威胁
触发警报并运行自动调查时,将针对所调查的每个证据生成判决。 裁定结果分为:
- 恶意;
- 可疑;或
- 未发现威胁。
在做出判决后,自动调查可能会导致一个或多个修正操作。 修正操作的示例包括将文件发送到隔离区、停止服务、删除计划任务等。 若要了解详细信息,请参阅 修正操作。
根据为组织设置 的自动化级别 以及其他安全设置,修正操作可以自动执行,或者只有在安全运营团队批准后才能执行。 可能影响自动修正的其他安全设置包括 防止可能不需要的应用程序 (PUA) 。
所有修正操作(无论是挂起还是已完成)都在 操作中心 中进行跟踪。 如有必要,安全运营团队可以撤消修正操作。 若要了解详细信息,请参阅 在自动调查后查看和批准修正操作。
提示
在Microsoft Defender门户中查看新的统一调查页。 若要了解详细信息,请参阅 统一调查页。
AIR 的要求
订阅必须包含 Defender for Endpoint 或 Defender for Business。
注意
自动调查和响应需要Microsoft Defender防病毒,以便在被动模式或主动模式下运行。 如果禁用或卸载Microsoft Defender防病毒,则自动调查和响应将无法正常工作。
目前,AIR 仅支持以下操作系统版本:
- Windows Server 2012 R2 (预览版)
- Windows Server 2016 (预览版)
- Windows Server 2019
- Windows Server 2022
- Windows 10版本 1709 (OS 内部版本 16299.1085,KB4493441) 或更高版本
- Windows 10版本 1803 (操作系统内部版本 17134.704,KB4493464) 或更高版本
- Windows 10版本 1803 或更高版本
- Windows 11
注意
Windows Server 2012 R2 和Windows Server 2016的自动调查和响应需要安装统一代理。
后续步骤
- 详细了解自动化级别
- 请参阅交互式指南:使用Microsoft Defender for Endpoint调查和修正威胁
- 在 Microsoft Defender for Endpoint 中配置自动调查和修正功能
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。