在 Microsoft Defender for Endpoint 中配置自动调查和修正功能

适用于：

• Microsoft Defender XDR
• Microsoft Defender for Endpoint 计划 2

如果你的组织正在使用 Defender for Endpoint (或 Defender for Business) ， 则自动调查和修正功能 可以节省安全运营团队的时间和精力。 如 此博客文章中所述，这些功能模拟安全分析师调查和修正威胁的理想步骤。 详细了解自动调查和修正。

如果使用 Defender for Endpoint，可以指定自动化级别，以便在设备上检测到威胁时，可以自动修正实体，或者仅在安全团队批准后才能修正实体。 可以使用设备组配置自动调查和修正。

注意

在 Defender for Business 中，自动调查是自动配置的。 请参阅 高级功能。

设置设备组

1. 在Microsoft Defender门户 (https://security.microsoft.com) ，在“设置”页上的“权限”下，选择“设备组”。

2. 选择“ + 添加设备组”。

3. Create至少一个设备组，如下所示：

   • 指定设备组的名称和说明。
   • 在 “自动化级别”列表中，选择一个级别，例如 “完全 - 自动修正威胁”。 自动化级别确定是自动执行修正操作，还是仅在批准后执行修正操作。 若要了解详细信息，请参阅 自动化调查和修正中的自动化级别。
   • 在 “成员 ”部分中，使用一个或多个条件来标识和包含设备。

4. 完成设备组设置后，选择“ 完成 ”。

注意

已从 Defender for Endpoint 中的高级功能设置中删除 了“自动调查 ”选项。 现在默认启用自动调查。

后续步骤

• 访问操作中心以查看挂起和已完成的修正操作
• 查看和批准挂起的操作

另请参阅

• 解决 Microsoft Defender for Endpoint 中的误报/漏报
• 自动化调查和修正中的自动化级别

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。