自動化調查與補救功能的自動化層級

適用於:

適用於企業的 Microsoft Defender中的自動化調查和補救 (AIR) 功能已預先設定且無法設定。 在適用於端點的 Microsoft Defender中,您可以將 AIR 設定為數個自動化層級的其中一個。 您的自動化層級會影響在 AIR 調查之後採取的補救動作是自動採取還是僅在核准時採取。

  • 完全自動化 (建議) 表示會自動對判定為惡意的成品採取補救動作。 (商務用 Defender 中預設會設定完整自動化)
  • 半自動化 表示會自動採取一些補救動作,但其他補救動作會等候核准再採取。 (請參閱 automation.)
  • 無論擱置或已完成,所有補救動作都會在控制中心 () https://security.microsoft.com 中追蹤。

提示

為了獲得最佳結果,建議您在設定 AIR時使用完全自動化。 過去一年收集和分析的資料顯示,使用完整自動化的客戶,移除的高信賴度惡意程式碼範例,比使用較低自動化層級的客戶多 40%。 完全自動化可協助釋出您的安全性作業資源,以更專注于您的策略性計畫。

注意事項

適用于端點的 Defender 方案 1 和方案 2 支援裝置群組建立。

自動化層級

自動化層級 描述
完整 - 自動補救威脅
(也稱為 完全自動化)
使用完全自動化時,系統會在被視為惡意的實體上自動執行補救動作。 您可以在 [歷程記錄] 索引標籤的[控制中心] 中檢視所採取的所有補救動作。如有必要,可以復原補救動作。

建議使用完整自動化 ,並預設針對在 2020 年 8 月 16 日或之後建立適用于端點的 Defender 租使用者選取,但尚未定義任何裝置群組。

商務用 Defender 預設會設定完整自動化。

半 - 需要核准所有資料夾
(也稱為 半自動化)
使用此層級的半自動化,所有檔案的補救動作都需要核准。 您可以在 控制中心的[擱置] 索引標籤上檢視和核准這類 擱置 中的動作。擱置中的動作會在 7 天后逾時。 如果動作逾時,行為會與拒絕動作的行為相同。

針對在 2020 年 8 月 16 日之前建立且未定義任何裝置群組的租使用者,預設會選取 適用於端點的 Microsoft Defender此層級的半自動化。

半 - 需要核准才能補救核心資料夾
(一種 半自動化)
使用此層級的半自動化時,需要核准核心資料夾中檔案或可執行檔所需的任何補救動作。 核心資料夾包含作業系統目錄,例如 Windows (\windows\*) 。

您可以在其他 (非核心) 資料夾中的檔案或可執行檔上自動採取補救動作。

您可以在控制 中心的[擱置] 索引標籤上,檢視和核准核心資料夾中檔案或可執行檔的 暫止 動作。

您可以在控制 中心的[歷程記錄] 索引 標籤上 ,檢視對其他資料夾中檔案或可執行檔所採取的動作。

半 - 需要核准非暫存資料夾補救
(一種 半自動化)
使用此層級的半自動化,對於暫存資料夾中不是* 的檔案或可執行檔所需的任何補救動作,都需要核准。

暫存資料夾可以包含下列範例:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

您可以對暫存資料夾中的檔案或可執行檔自動採取補救動作。

您可以在控制 中心的[擱置] 索引標籤上,檢視和核准不在暫存資料夾中之檔案或可執行檔的 暫止 動作。

您可以在控制 中心的[歷程記錄] 索引 標籤上 ,檢視並核准對暫存資料夾中的檔案或可執行檔所採取的動作。

沒有自動化回應
(也稱為 沒有自動化)
在沒有自動化狀態下,自動化調查不會在組織的裝置上執行。 因此,自動化調查不會採取任何補救動作或暫止。 不過,視您的防毒軟體和新一代保護功能的設定方式而定,其他威脅防護功能可能會生效,例如 防止潛在垃圾應用程式

*不建議使用 無自動化 選項,因為它可降低組織裝置的安全性狀態。 請考慮將自動化層級設定為完全自動化 (或至少半自動化)

自動化層級的相關重點

  • 完整自動化已證明可靠、有效率且安全,建議所有客戶使用。 完全自動化會釋出重要的安全性資源,讓它們可以更專注于您的策略性計畫。

  • 新租使用者 (包括在 2020 年 8 月 16 日或之後建立的租使用者,) 適用于端點的 Defender 預設會設定為完全自動化。

  • 商務用 Defender 預設會使用完整自動化。 商務用 Defender 使用裝置群組的方式與適用于端點的 Defender 不同。 因此,完整自動化會開啟並套用至商務用 Defender 中的所有裝置。

  • 如果您的安全性小組已定義具有自動化層級的裝置群組,則推出的新預設設定不會變更這些設定。

  • 您可以保留預設的自動化設定,或根據組織需求加以變更。 若要變更您的設定, 請設定自動化層級

注意事項

商務用 Defender 依賴即時保護進行自動調查。 必須啟用即時保護,且處於作用中模式,才能啟用自動調查。

後續步驟

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動:適用於端點的 Microsoft Defender技術社群。