自動調查概觀
適用於:
平台
- Windows
想要瞭解其運作方式嗎? 觀看下列影片:
自動化調查中的技術使用各種檢查演算法,並以安全性分析師使用的程序為依據。 AIR 功能旨在檢查警示並立即採取動作解决違規問題。 AIR 功能顯著降低了警示量,使安全性作業能够集中於更複雜的威脅和其他高價值方案。 所有補救動作,無論是待完成的還是已完成的,都會在控制中心中進行追蹤。 在控制中心,待完成動作被核准 (或拒絕),如果需要,可以復原已完成的動作。
本文提供 AIR 的概觀,並包含後續步驟和其他資源的連結。
提示
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
自動化調查如何開始
當觸發警示或安全性操作員起始調查時,可以啟動自動化調查。
| 情況 | 發生的情況 |
|---|---|
| 觸發警示 | 一般而言,自動化調查會在觸發 警示 並建立 事件 時開始。 例如,假設惡意檔案位於裝置上。 偵測到該檔案時,會觸發警示,並建立事件。 自動化調查程式會在裝置上開始。 由於其他裝置上的檔案相同,因此會產生其他警示,因此會將其新增至相關聯的事件和自動化調查。 |
| 手動開始調查 | 您的安全性作業小組可以手動啟動自動化調查。 例如,假設安全性操作員正在檢閱裝置清單,並注意到裝置具有高風險層級。 安全性操作員可以選取清單中的裝置來開啟其飛出視窗,然後選取 [ 起始自動化調查]。 |
自動化調查如何擴充其範圍
當調查正在執行時,從裝置產生的任何其他警示都會新增至進行中的自動化調查,直到調查完成為止。 此外,如果在其他裝置上看到相同的威脅,這些裝置就會新增至調查。
如果在另一個裝置中看到已辨識的實體,自動化調查程式會擴充其範圍以包含該裝置,而且該裝置上會啟動一般安全性劇本。 如果在此擴充程式期間從相同的實體找到10個以上的裝置,則該擴充動作需要核准,而且會顯示在 [ 擱置動作] 索引卷標上。
如何補救威脅
觸發警示並執行自動化調查時,系統會針對所調查的每一項辨識項產生決策。 決策可以:
- 惡意;
- 可疑;或
- 找不到任何威脅。
達到決策時,自動化調查可能會導致一或多個補救動作。 補救動作的範例包括將檔案傳送至隔離區、停止服務、移除排程的工作等等。 若要深入瞭解,請參閱 補救動作。
根據您組織的 自動化設定層級 以及其他安全性設定,補救動作可以自動執行,或只有在安全性作業小組核准時才會發生。 可能會影響自動補救的其他安全性設定包括 保護可能不想要的應用程式 , (PUA) 。
所有補救動作,無論是待完成的還是已完成的,都會在控制中心中進行追蹤。 如有必要,您的安全性作業小組可以復原補救動作。 若要深入瞭解,請 參閱在自動化調查之後檢閱和核准補救動作。
提示
查看 Microsoft Defender 入口網站中新的整合調查頁面。 若要深入瞭解,請參閱 整合調查頁面。
AIR 的需求
您的訂用帳戶必須包含 適用於端點的Defender 或 商務用Defender。
注意事項
自動化調查和回應需要 Microsoft Defender 防病毒軟體以被動模式或主動模式執行。 如果 Microsoft Defender 停用或卸載防病毒軟體,自動化調查和回應將無法正常運作。
目前,AIR 僅支援下列 OS 版本:
- Windows Server 2012 R2 (預覽)
- Windows Server 2016 (預覽)
- Windows Server 2019
- Windows Server 2022
- Windows 10 版本 1709 (操作系統組建 16299.1085 KB4493441) 或更新版本
- Windows 10 版本 1803 (操作系統組建 17134.704,KB4493464) 或更新版本
- Windows 10 1803 版或更新版本
- Windows 11
注意事項
Windows Server 2012 R2 和 Windows Server 2016 的自動化調查和回應需要安裝整合代理程式。
後續步驟
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。