Az automatizált vizsgálatok áttekintése

Érintett szolgáltatás:

• Microsoft Defender XDR
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Platformok

• A Windows

Szeretné látni, hogyan működik? Tekintse meg a következő videót:

Az automatizált vizsgálat technológiája különböző vizsgálati algoritmusokat használ, és a biztonsági elemzők által használt folyamatokon alapul. Az AIR képességeinek célja a riasztások vizsgálata és a biztonsági incidensek elhárítását célzó azonnali lépések végrehajtása. Az AIR képességei jelentősen csökkentik a riasztások mennyiségét, így a biztonsági műveletek kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. A műveletközpontban minden szervizelési művelet nyomon követhető, akár függőben van, akár befejeződött. A Műveletközpontban a függőben lévő műveletek jóváhagyásra (vagy elutasításra) kerülnek, és a végrehajtott műveletek szükség esetén visszavonhatók.

Ez a cikk áttekintést nyújt az AIR-ről, és hivatkozásokat tartalmaz a következő lépésekre és további forrásokra.

Tipp

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Az automatizált vizsgálat indítása

Az automatizált vizsgálat akkor indulhat el, amikor egy riasztás aktiválódik, vagy amikor egy biztonsági operátor kezdeményezi a vizsgálatot.

Helyzet	Eredmény
Riasztás aktiválódik	Általában egy automatikus vizsgálat akkor kezdődik, amikor egy riasztás aktiválódik, és egy incidens jön létre. Tegyük fel például, hogy egy rosszindulatú fájl egy eszközön található. A fájl észlelésekor a rendszer riasztást aktivál, és incidenst hoz létre. Egy automatizált vizsgálati folyamat kezdődik az eszközön. Mivel más riasztások ugyanazon fájl miatt jönnek létre más eszközökön, a rendszer hozzáadja őket a társított incidenshez és az automatizált vizsgálathoz.
A vizsgálatot manuálisan indítják el	Az automatizált vizsgálatot manuálisan indíthatja el a biztonsági üzemeltetési csapat. Tegyük fel például, hogy egy biztonsági operátor áttekinti az eszközök listáját, és észreveszi, hogy egy eszköz magas kockázattal rendelkezik. A biztonsági operátor kiválaszthatja az eszközt a listában az úszó panel megnyitásához, majd kiválaszthatja az Automatikus vizsgálat kezdeményezése lehetőséget.

Hogyan bővíti ki az automatizált vizsgálat a hatókörét?

Amíg egy vizsgálat fut, az eszközről generált egyéb riasztásokat a rendszer hozzáadja egy folyamatban lévő automatizált vizsgálathoz, amíg a vizsgálat be nem fejeződik. Emellett ha ugyanezt a fenyegetést más eszközökön is észlelik, a rendszer hozzáadja ezeket az eszközöket a vizsgálathoz.

Ha egy inkriminált entitást lát egy másik eszközön, az automatizált vizsgálati folyamat kiterjeszti a hatókörét az adott eszközre, és elindul egy általános biztonsági forgatókönyv az adott eszközön. Ha a bővítési folyamat során 10 vagy több eszköz található ugyanabból az entitásból, akkor a bővítési művelet jóváhagyást igényel, és megjelenik a Függőben lévő műveletek lapon.

A fenyegetések elhárítása

A riasztások aktiválásakor és az automatizált vizsgálat lefuttatásakor minden vizsgált bizonyítékhoz létre lesz hozva egy ítélet. Az ítéletek a következőek lehetnek:

• Rosszindulatú;
• Gyanús; Vagy
• Nem találhatók fenyegetések.

Az ítéletek elérésekor az automatizált vizsgálatok egy vagy több javítási műveletet eredményezhetnek. A szervizelési műveletek közé tartozik például egy fájl karanténba helyezése, egy szolgáltatás leállítása, egy ütemezett feladat eltávolítása stb. További információ: Szervizelési műveletek.

A szervezet számára beállított automatizálási szinttől és más biztonsági beállításoktól függően a szervizelési műveletek automatikusan vagy csak a biztonsági üzemeltetési csapat jóváhagyásával hajthatók végre. Az automatikus szervizelést befolyásoló további biztonsági beállítások közé tartozik a potenciálisan nemkívánatos alkalmazások ( PUA) elleni védelem.

A műveletközpontban minden szervizelési művelet nyomon követhető, akár függőben van, akár befejeződött. Ha szükséges, a biztonsági üzemeltetési csapat visszavonhatja a javítási műveletet. További információ: Javítási műveletek áttekintése és jóváhagyása automatizált vizsgálatot követően.

Tipp

Tekintse meg az új, egységesített vizsgálati oldalt a Microsoft Defender portálon. További információ: Egyesített vizsgálat lap.

Az AIR követelményei

Az előfizetésnek tartalmaznia kell a Végponthoz készült Defendert vagy a Defender vállalati verziót.

Megjegyzés:

Az automatizált vizsgálathoz és reagáláshoz Microsoft Defender víruskeresőre van szükség a passzív vagy aktív módban való futtatáshoz. Ha Microsoft Defender víruskereső le van tiltva vagy eltávolítva, az automatikus vizsgálat és válasz nem fog megfelelően működni.

Az AIR jelenleg csak a következő operációsrendszer-verziókat támogatja:

• Windows Server 2012 R2 (előzetes verzió)
• Windows Server 2016 (előzetes verzió)
• Windows Server 2019
• Windows Server 2022
• Windows 10, 1709-es verzió (operációs rendszer: 16299.1085-ös build KB4493441) vagy újabb
• Windows 10, 1803-es verzió (operációs rendszer: 17134.704-es build KB4493464) vagy újabb
• Windows 10, 1803-es vagy újabb verzió
• Windows 11

Megjegyzés:

Az R2 és Windows Server 2016 Windows Server 2012 automatikus vizsgálatához és válaszához telepíteni kell az egyesített ügynököt.

Következő lépések

• További információ az automatizálási szintekről
• Tekintse meg az interaktív útmutatót: Fenyegetések vizsgálata és elhárítása Végponthoz készült Microsoft Defender
• Automatizált vizsgálati és szervizelési képességek konfigurálása a Végponthoz készült Microsoft Defender

Lásd még

• PUA-védelem
• Automatizált vizsgálat és reagálás a Office 365-höz készült Microsoft Defender
• Automatizált vizsgálat és reagálás a Microsoft Defender XDR

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.