Übersicht über automatisierte Untersuchungen

Gilt für:

Möchten Sie sehen, wie es funktioniert? Sehen Sie sich das folgende Video an:

Die Technologie bei der automatisierten Untersuchung verwendet verschiedene Prüfalgorithmen und basiert auf Prozessen, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen sind so konzipiert, dass Warnungen untersucht und sofort Maßnahmen ergriffen werden, um Verstöße zu beheben. AIR-Funktionen reduzieren das Warnungsvolumen erheblich, sodass sich Sicherheitsvorgänge auf komplexere Bedrohungen und andere hochwertige Initiativen konzentrieren können. Alle Korrekturaktionen, ob ausstehend oder abgeschlossen, werden im Info-Centernachverfolgt. Im Info-Center werden ausstehende Aktionen genehmigt (oder abgelehnt), und abgeschlossene Aktionen können bei Bedarf rückgängig sein.

Dieser Artikel bietet eine Übersicht über AIR und enthält Links zu den nächsten Schritten und zusätzlichen Ressourcen.

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Beginn der automatisierten Untersuchung

Eine automatisierte Untersuchung kann beginnen, wenn eine Warnung ausgelöst wird oder wenn ein Sicherheitsoperator die Untersuchung initiiert.



Situation Folge
Eine Warnung wird ausgelöst. Im Allgemeinen wird eine automatisierte Untersuchung gestartet, wenn eine Warnung ausgelöst wird und ein Vorfall erstellt wird. Angenommen, eine schädliche Datei befindet sich auf einem Gerät. Wenn diese Datei erkannt wird, wird eine Warnung ausgelöst, und ein Vorfall wird erstellt. Ein automatisierter Untersuchungsprozess beginnt auf dem Gerät. Da andere Warnungen aufgrund derselben Datei auf anderen Geräten generiert werden, werden sie dem zugeordneten Vorfall und der automatisierten Untersuchung hinzugefügt.
Eine Untersuchung wird manuell gestartet. Eine automatisierte Untersuchung kann von Ihrem Sicherheitsteam manuell gestartet werden. Angenommen, ein Sicherheitsoperator überprüft eine Liste von Geräten und stellt fest, dass ein Gerät ein hohes Risikoniveau aufweist. Der Sicherheitsoperator kann das Gerät in der Liste auswählen, um das Flyout zu öffnen, und dann "Automatische Untersuchung initiieren" auswählen.

Erweitern des Umfangs einer automatisierten Untersuchung

Während eine Untersuchung ausgeführt wird, werden alle anderen vom Gerät generierten Warnungen zu einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn die gleiche Bedrohung auf anderen Geräten angezeigt wird, werden diese Geräte der Untersuchung hinzugefügt.

Wenn eine inkriminierte Entität in einem anderen Gerät angezeigt wird, erweitert der automatisierte Untersuchungsprozess seinen Bereich, um dieses Gerät einzuschließen, und ein allgemeines Sicherheits-Playbook wird auf diesem Gerät gestartet. Wenn während dieses Erweiterungsprozesses aus derselben Entität 10 oder mehr Geräte gefunden werden, erfordert diese Erweiterungsaktion eine Genehmigung und wird auf der Registerkarte "Ausstehende Aktionen" angezeigt.

Wie Bedrohungen behoben werden

Wenn Warnungen ausgelöst werden und eine automatisierte Untersuchung ausgeführt wird, wird für jeden untersuchten Nachweis eine Bewertung generiert. Die Bewertung kann folgendermaßen lauten:

  • Bösartig;
  • Verdächtig; Oder
  • Es wurden keine Bedrohungen gefunden.

Wenn Bewertungen erreicht werden, können automatisierte Untersuchungen zu einer oder mehreren Korrekturaktionen führen. Beispiele für Korrekturaktionen sind das Senden einer Datei in die Quarantäne, das Beenden eines Diensts, das Entfernen einer geplanten Aufgabe und vieles mehr. Weitere Informationen finden Sie unter "Wartungsaktionen".

Je nach Dem Grad der Automatisierung für Ihre Organisation sowie anderen Sicherheitseinstellungen können Korrekturaktionen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam ausgeführt werden. Zusätzliche Sicherheitseinstellungen, die sich auf die automatische Korrektur auswirken können, umfassen den Schutz vor potenziell unerwünschten Anwendungen (PUA).

Alle Korrekturaktionen, ob ausstehend oder abgeschlossen, werden im Info-Centernachverfolgt. Bei Bedarf kann Ihr Sicherheitsteam eine Korrekturaktion rückgängigmachen. Weitere Informationen finden Sie unter "Überprüfen und Genehmigen von Abhilfemaßnahmen nach einer automatisierten Untersuchung".

Tipp

Sehen Sie sich die neue, einheitliche Untersuchungsseite im Microsoft 365 Defender-Portal an. Weitere Informationen finden Sie unter (NEU!) Einheitliche Untersuchungsseite.

Anforderungen für AIR

Ihre Organisation muss über Defender für Endpunkt verfügen (siehe Mindestanforderungen für Microsoft Defender für Endpunkt).

Derzeit unterstützt AIR nur die folgenden Betriebssystemversionen:

  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, Version 1709 (Betriebssystembuild 16299.1085 mit KB4493441)oder höher
  • Windows 10, Version 1803 (Betriebssystembuild 17134.704 mit KB4493464)oder höher
  • Windows 10, Version 1803 oder höher
  • Windows 11

Nächste Schritte

Weitere Informationen