Automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Air-funktioner (Automatiseret undersøgelse og afhjælpning) i Microsoft Defender til virksomheder er forudkonfigureret og kan ikke konfigureres. I Microsoft Defender for Endpoint kan du konfigurere AIR til et af flere automatiseringsniveauer. Dit automatiseringsniveau påvirker, om afhjælpningshandlinger efter AIR-undersøgelser udføres automatisk eller kun efter godkendelse.

• Fuld automatisering (anbefales) betyder, at afhjælpningshandlinger automatisk udføres på artefakter, der er fastslået til at være skadelige. Fuld automatisering er som standard angivet i Defender for Business.
• Semiautomatisering betyder, at nogle afhjælpningshandlinger udføres automatisk, men andre afhjælpningshandlinger venter på godkendelse, før de udføres. Se tabellen i Niveauer af automatisering.
• Alle afhjælpningshandlinger, uanset om de afventer eller er fuldført, spores i Løsningscenter (https://security.microsoft.com).

Tip

For at opnå de bedste resultater anbefaler vi, at du bruger fuld automatisering, når du konfigurerer AIR. Data, der er indsamlet og analyseret i løbet af det seneste år, viser, at kunder, der bruger fuld automatisering, havde fjernet 40 % flere malwareeksempler med høj tillid end kunder, der bruger lavere automatiseringsniveauer. Fuld automatisering kan hjælpe med at frigøre dine sikkerhedshandlinger, så du kan fokusere mere på dine strategiske initiativer.

Bemærk!

Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Automatiseringsniveauer

Automatiseringsniveau	Beskrivelse
Fuld – afhjælp trusler automatisk (også kaldet fuld automatisering)	Med fuld automatisering udføres afhjælpningshandlinger automatisk på enheder, der anses for at være skadelige. Alle afhjælpningshandlinger, der udføres, kan ses i Løsningscenter under fanen Oversigt . Hvis det er nødvendigt, kan en afhjælpningshandling fortrydes. Fuld automatisering anbefales og vælges som standard for lejere med Defender for Endpoint, der blev oprettet den 16. august 2020 eller senere, uden at der er defineret nogen enhedsgrupper endnu. Fuld automatisering er som standard angivet i Defender for Business.
Semi – kræver godkendelse for alle mapper (også kaldet semiautomatisering)	Med dette niveau af halvautomatisering kræves der godkendelse til afhjælpningshandlinger på alle filer. Disse ventende handlinger kan ses og godkendes i Løsningscenter under fanen Ventende . Ventende handlinger får timeout efter 7 dage. Hvis der opstår timeout for en handling, er funktionsmåden den samme, som hvis handlingen afvises. Dette niveau for semiautomatisering er valgt som standard for lejere, der blev oprettet før den 16. august 2020 med Microsoft Defender for Endpoint, uden at der er defineret enhedsgrupper.
Semi – kræver godkendelse til afhjælpning af kernemapper (også en type semiautomatisering)	Med dette niveau af semiautomatisering kræves der godkendelse til alle afhjælpningshandlinger, der kræves på filer eller eksekverbare filer, der findes i kernemapper. Kernemapper omfatter operativsystemmapper, f.eks . Windows (\windows\*). Afhjælpningshandlinger kan udføres automatisk på filer eller eksekverbare filer, der findes i andre (ikke-kerne) mapper. Ventende handlinger for filer eller eksekverbare filer i kernemapper kan vises og godkendes i Løsningscenter under fanen Ventende . Handlinger, der er udført på filer eller eksekverbare filer i andre mapper, kan ses i Løsningscenter under fanen Oversigt .
Semi – kræver godkendelse til afhjælpning af mapper, der ikke er midlertidige (også en type semiautomatisering)	Med dette niveau af semiautomatisering kræves der godkendelse til eventuelle afhjælpningshandlinger, der er nødvendige for filer eller eksekverbare filer, der ikke er* i midlertidige mapper. Midlertidige mapper kan indeholde følgende eksempler: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Afhjælpningshandlinger kan udføres automatisk på filer eller eksekverbare filer, der er i midlertidige mapper. Ventende handlinger for filer eller eksekverbare filer, der ikke er i midlertidige mapper, kan vises og godkendes i Løsningscenter under fanen Ventende . Handlinger, der er udført på filer eller eksekverbare filer i midlertidige mapper, kan vises og godkendes i Løsningscenter under fanen Oversigt .
Intet automatiseret svar (også kaldet ingen automatisering)	Uden automatisering kører automatiseret undersøgelse ikke på din organisations enheder. Derfor udføres eller afventer ingen afhjælpningshandlinger som følge af en automatiseret undersøgelse. Andre funktioner til trusselsbeskyttelse, f.eks . beskyttelse mod potentielt uønskede programmer, kan dog være i kraft, afhængigt af hvordan dine antivirus- og næste generations beskyttelsesfunktioner er konfigureret. *Det anbefales ikke at bruge automatiseringsindstillingen, da det reducerer sikkerhedsholdning på organisationens enheder. Overvej at konfigurere dit automatiseringsniveau til fuld automatisering (eller i det mindste semiautomatisering).

Vigtige punkter om automatiseringsniveauer

• Fuld automatisering har vist sig at være pålidelig, effektiv og sikker og anbefales til alle kunder. Fuld automatisering frigør dine kritiske sikkerhedsressourcer, så de kan fokusere mere på dine strategiske initiativer.

• Nye lejere (som omfatter lejere, der blev oprettet den 16. august 2020 eller senere) med Defender for Endpoint er som standard angivet til fuld automatisering.

• Defender for Business bruger som standard fuld automatisering. Defender for Business bruger ikke enhedsgrupper på samme måde som Defender for Endpoint. Fuld automatisering er derfor slået til og anvendt på alle enheder i Defender for Business.

• Hvis dit sikkerhedsteam har defineret enhedsgrupper med et automatiseringsniveau, ændres disse indstillinger ikke af de nye standardindstillinger, der udrulles.

• Du kan beholde dine standardindstillinger for automatisering eller ændre dem i henhold til dine organisatoriske behov. Hvis du vil ændre dine indstillinger, skal du angive automatiseringsniveauet.

Bemærk!

Defender for Business afhænger af beskyttelse i realtid i forbindelse med automatisk undersøgelse. Beskyttelse i realtid skal være aktiveret og i aktiv tilstand for at aktivere automatisk undersøgelse.

Næste trin

• Konfigurer automatiserede undersøgelses- og afhjælpningsfunktioner i Defender for Endpoint
• Besøg Løsningscenter

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.