配置自动调查和修正功能

  • 5 分钟

若要配置自动调查和修正,请打开功能,然后设置设备组。

打开自动调查和修正

作为全局管理员或安全管理员:

  1. 在导航窗格中,选择“设置”>“终结点”

  2. 在“常规”部分,选择“高级功能”

  3. 启用自动调查和自动解决警报。

设置设备组

  1. 在终结点的导航窗格的“权限”下,选择“设备组”

  2. 选择“+添加设备组”。

    • 至少创建一个设备组,如下所示:

      • 指定设备组的名称和描述。

      • 在“自动化级别”列表中,选择一个级别,例如“完全 - 自动修正威胁”。 自动化级别确定是自动执行修正操作还是仅在批准后才执行。 若要了解详细信息,请参阅“如何修正威胁”。

      • 在“设备”部分,使用一个或多个条件来标识和包括设备。

      • 在“用户访问”选项卡上,选择应该有权访问你正在创建的设备组的 Azure Active Directory 组。

  3. 完成设备组设置后,选择“完成”

自动化级别

完全 - 自动修正威胁(也称为完全自动化)

使用完全自动化可自动执行修正操作。 可在“操作中心”的“历史记录”选项卡上查看所采取的修正措施。如有必要,可撤消修正操作。

半自动 - 修正都需要批准(也称为半自动化)

如果使用这种半自动化级别,任何修正操作都需要获得批准。 在操作中心的“挂起”选项卡上,可查看和批准这类挂起的操作。

半自动 - 核心文件夹修正需要批准(也是半自动化类型)

如果使用这种半自动化级别,对核心文件夹中的文件或可执行文件进行所需的任何修正操作都需要获得批准。 核心文件夹包括操作系统目录,例如 Windows (\windows*)。 对于其他(非核心)文件夹中的文件或可执行文件,可以自动执行修正操作。 在操作中心的“挂起”选项卡上,可查看和批准对核心文件夹中的文件或可执行文件的挂起操作。在操作中心的“历史记录”选项卡上,可查看对其他文件夹中的文件或可执行文件执行的操作。

半自动 - 对于非临时文件夹修正需要获得批准(也是一种半自动化)

如果使用这种半自动化级别,对临时文件夹中不包含的文件或可执行文件执行所需的任何修正操作都需要获得批准。

临时文件夹可包括以下示例:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

对于临时文件夹中的文件或可执行文件,可自动执行修正操作。 在操作中心的“挂起”选项卡上,可查看和批准对临时文件夹中不包含的文件或可执行文件的挂起操作。在操作中心的“历史记录”选项卡上,可查看和批准对临时文件夹中的文件或可执行文件执行的操作。

无自动响应(也称为“无自动化”)

如果使用无自动化,不会在组织的设备上运行自动调查。 因此,自动调查不会执行,也不会挂起任何修正操作。 但是,其他威胁防护功能(例如防御可能不需要的应用程序)可有效地执行,具体取决于防病毒软件和下一代防护功能的配置方式。

建议不要使用“无自动化”选项,因为它会降低组织设备的安全状况。 请考虑将自动化级别设置为完全自动化(或至少半自动化)。

快速配置设备组的修正级别

设置或更新设备组上修正级别的另一种方法是使用“设置”>“常规”>“自动修正”页面。 该页面上有设备组列表,以及每个设备组的当前修正级别。 选择该行即可你调整修正设置。