Přehled automatizovaného vyšetřování

Platí pro:

Platformy

  • Windows

Chcete se podívat, jak to funguje? Podívejte se na následující video:

Technologie v automatizovaném šetření používá různé kontrolní algoritmy a je založená na procesech, které používají analytici zabezpečení. Funkce AIR jsou navržené tak, aby prozkoumají výstrahy a podnikají okamžitá opatření k řešení porušení zabezpečení. Schopnosti AIR výrazně snižují objem výstrah a umožňují operacím zabezpečení zaměřit se na sofistikovanější hrozby a další vysoce hodnotné iniciativy. Všechny nápravné akce, ať už čekající nebo dokončené, se sledují v Centru akcí. V Centru akcí se čekající akce schválí (nebo zamítnou) a dokončené akce se v případě potřeby dají vrátit zpět.

Tento článek obsahuje přehled prostředí AIR a obsahuje odkazy na další kroky a další zdroje informací.

Tip

Chcete se seznámit s Microsoft Defender for Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Způsob zahájení automatizovaného šetření

Automatizované šetření může začít při aktivaci výstrahy nebo při zahájení šetření operátorem zabezpečení.

Situaci Co se stane
Aktivuje se výstraha. Automatizované šetření se obecně spustí při aktivaci výstrahy a vytvoření incidentu . Předpokládejme například, že se na zařízení nachází škodlivý soubor. Když se tento soubor zjistí, aktivuje se výstraha a vytvoří se incident. V zařízení začíná automatizovaný proces šetření. Vzhledem k tomu, že se ostatní výstrahy generují kvůli stejnému souboru na jiných zařízeních, přidají se k přidruženému incidentu a k automatizovanému šetření.
Vyšetřování se spouští ručně. Automatizované šetření může spustit ručně váš provozní tým zabezpečení. Předpokládejme například, že operátor zabezpečení kontroluje seznam zařízení a zjistí, že zařízení má vysokou úroveň rizika. Operátor zabezpečení může vybrat zařízení v seznamu a otevřít tak informační rámeček a pak vybrat Zahájit automatizované šetření.

Jak automatizované šetření rozšiřuje jeho rozsah

Během vyšetřování se do probíhajícího automatizovaného vyšetřování přidají všechny další výstrahy vygenerované ze zařízení, dokud se toto šetření nedokončí. Kromě toho platí, že pokud se stejná hrozba zobrazuje na jiných zařízeních, přidají se tato zařízení do vyšetřování.

Pokud se nekritická entita zobrazí na jiném zařízení, proces automatizovaného šetření rozšíří jeho rozsah tak, aby zahrnoval toto zařízení, a na zařízení se spustí obecný playbook zabezpečení. Pokud se během tohoto procesu rozšíření ze stejné entity najde 10 nebo více zařízení, tato akce rozšíření vyžaduje schválení a je viditelná na kartě Čekající akce .

Jak se napravují hrozby

Když se aktivují výstrahy a spustí se automatizované šetření, vygeneruje se rozsudek pro každou zkoumaných důkazů. Verdikty mohou být:

  • Škodlivý;
  • Podezřelé; Nebo
  • Nenašly se žádné hrozby.

Po dosažení rozsudku může automatizované vyšetřování vést k jednomu nebo několika nápravným akcím. Mezi příklady nápravných akcí patří odeslání souboru do karantény, zastavení služby, odebrání naplánované úlohy a další. Další informace najdete v tématu Akce nápravy.

V závislosti na úrovni automatizační sady pro vaši organizaci a dalších nastavení zabezpečení se nápravné akce můžou provádět automaticky nebo pouze po schválení vaším provozním týmem zabezpečení. Mezi další nastavení zabezpečení, která můžou mít vliv na automatickou nápravu, patří ochrana před potenciálně nežádoucími aplikacemi (PUA).

Všechny nápravné akce, ať už čekající nebo dokončené, se sledují v Centru akcí. V případě potřeby může váš provozní tým zabezpečení vrátit zpět nápravnou akci. Další informace najdete v tématu Kontrola a schválení nápravných akcí po automatizovaném šetření.

Tip

Podívejte se na novou stránku sjednoceného šetření na portálu Microsoft 365 Defender. Další informace najdete na stránce sjednoceného šetření.

Požadavky pro AIR

Vaše předplatné musí obsahovat Defender for Endpoint nebo Defender pro firmy.

Poznámka

Automatizované šetření a reakce vyžadují Antivirová ochrana v programu Microsoft Defender pro spuštění v pasivním nebo aktivním režimu. Pokud je Antivirová ochrana v programu Microsoft Defender zakázaná nebo odinstalovaná, automatické šetření a odpověď nebudou správně fungovat.

Air v současné době podporuje pouze následující verze operačního systému:

  • Windows Server 2012 R2 (Preview)
  • Windows Server 2016 (Preview)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10 verze 1709 (build operačního systému 16299.1085 s aktualizací KB4493441) nebo novější
  • Windows 10 verze 1803 (build operačního systému 17134.704 s aktualizací KB4493464) nebo novější
  • Windows 10 verze 1803 nebo novější
  • Windows 11

Další kroky

Viz také