Livelli di automazione nelle funzionalità di analisi e correzione automatizzateAutomation levels in automated investigation and remediation capabilities

Si applica a:Applies to:

Le funzionalità di analisi e correzione automatizzate (AIR) in Microsoft Defender for Endpoint possono essere configurate su uno dei diversi livelli di automazione.Automated investigation and remediation (AIR) capabilities in Microsoft Defender for Endpoint can be configured to one of several levels of automation. Il livello di automazione influisce sul fatto che le azioni di correzione dopo le indagini AIR siano intraprese automaticamente o solo dopo l'approvazione.Your automation level affects whether remediation actions following AIR investigations are taken automatically or only upon approval.

  • L'automazione completa (scelta consigliata) indica che le azioni di correzione vengono eseguite automaticamente sugli artefatti determinati come dannosi.Full automation (recommended) means remediation actions are taken automatically on artifacts determined to be malicious.
  • La semiautorizzazione significa che alcune azioni di correzione vengono eseguite automaticamente, ma altre azioni di correzione attendono l'approvazione prima di essere eseguite.Semi-automation means some remediation actions are taken automatically, but other remediation actions await approval before being taken. Vedere la tabella in Livelli di automazione.(See the table in Levels of automation.)
  • Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel Centro notifiche ( https://securitycenter.windows.com ).All remediation actions, whether pending or completed, are tracked in the Action Center (https://securitycenter.windows.com).

Suggerimento

Per ottenere risultati ottimali, è consigliabile utilizzare l'automazione completa quando si configura AIR.For best results, we recommend using full automation when you configure AIR. I dati raccolti e analizzati nell'ultimo anno mostrano che i clienti che usano l'automazione completa hanno rimosso il 40% in più di campioni di malware ad alta sicurezza rispetto ai clienti che usano livelli di automazione inferiori.Data collected and analyzed over the past year shows that customers who are using full automation had 40% more high-confidence malware samples removed than customers who are using lower levels of automation. L'automazione completa consente di liberare le risorse operative di sicurezza per concentrarsi di più sulle iniziative strategiche.Full automation can help free up your security operations resources to focus more on your strategic initiatives.

Livelli di automazioneLevels of automation

Nella tabella seguente vengono descritti ogni livello di automazione e il suo funzionamento.The following table describes each level of automation and how it works.

Livello di automazioneAutomation level DescrizioneDescription
Completo : correggere automaticamente le minacceFull - remediate threats automatically
(noto anche come automazione completa)(also referred to as full automation)
Con l'automazione completa, le azioni di correzione vengono eseguite automaticamente.With full automation, remediation actions are performed automatically. Tutte le azioni di correzione eseguite possono essere visualizzate nel Centro notifiche nella scheda Cronologia. Se necessario, è possibile annullare un'azione di correzione.All remediation actions that are taken can be viewed in the Action Center on the History tab. If necessary, a remediation action can be undone.

L'automazione* completa è consigliata ed è selezionata per impostazione predefinita per i tenant creati il 16 agosto 2020 con Microsoft Defender for Endpoint, senza ancora definire gruppi di dispositivi.*Full automation is recommended* and is selected by default for tenants that were created on or after August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined yet.*
Semi - Richiede l'approvazione per qualsiasi correzioneSemi - require approval for any remediation
(noto anche come semiautorizzazione)(also referred to as semi-automation)
Con questo livello di semiautorizzazione, è necessaria l'approvazione per qualsiasi azione correttiva.With this level of semi-automation, approval is required for any remediation action. Tali azioni in sospeso possono essere visualizzate e approvate nel Centro notifiche,nella scheda In sospeso.Such pending actions can be viewed and approved in the Action Center, on the Pending tab.

Questo livello di semiautorizzazione è selezionato per impostazione predefinita per i tenant creati prima del 16 agosto 2020 con Microsoft Defender per Endpoint, senza gruppi di dispositivi definiti.This level of semi-automation is selected by default for tenants that were created before August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined.
Semi - Richiede l'approvazione per la correzione delle cartelle principaliSemi - require approval for core folders remediation
(anche un tipo di semiautorizzazione)(also a type of semi-automation)
Con questo livello di semiautorizzazione, è necessaria l'approvazione per tutte le azioni di correzione necessarie per i file o i file eseguibili presenti nelle cartelle principali.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are in core folders. Le cartelle principali includono le directory del sistema operativo, ad esempio Windows ( \windows\* ).Core folders include operating system directories, such as the Windows (\windows\*).

Le azioni di correzione possono essere eseguite automaticamente su file o file eseguibili presenti in altre cartelle (non di base).Remediation actions can be taken automatically on files or executables that are in other (non-core) folders.

Le azioni in sospeso per file o eseguibili nelle cartelle principali possono essere visualizzate e approvate nel Centro notifiche,nella scheda In sospeso.Pending actions for files or executables in core folders can be viewed and approved in the Action Center, on the Pending tab.

Le azioni eseguite su file o eseguibili in altre cartelle possono essere visualizzate nel Centro notifiche nella scheda Cronologia.Actions that were taken on files or executables in other folders can be viewed in the Action Center, on the History tab.
Semi - Richiede l'approvazione per la correzione delle cartelle non temporaneeSemi - require approval for non-temp folders remediation
(anche un tipo di semiautorizzazione)(also a type of semi-automation)
Con questo livello di semiautorizzazione, è necessaria l'approvazione per tutte le azioni di correzione necessarie per i file o i file eseguibili non presenti nelle cartelle temporanee.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are not in temporary folders.

Le cartelle temporanee possono includere gli esempi seguenti:Temporary folders can include the following examples:
- \users\*\appdata\local\temp\*
- \documents and settings\*\local settings\temp\*
- \documents and settings\*\local settings\temporary\*
- \windows\temp\*
- \users\*\downloads\*
- \program files\
- \program files (x86)\*
- \documents and settings\*\users\*

Le azioni di correzione possono essere eseguite automaticamente su file o file eseguibili presenti in cartelle temporanee.Remediation actions can be taken automatically on files or executables that are in temporary folders.

Le azioni in sospeso per file o eseguibili non presenti in cartelle temporanee possono essere visualizzate e approvate nel Centro notifiche nella scheda In sospeso.Pending actions for files or executables that are not in temporary folders can be viewed and approved in the Action Center, on the Pending tab.

Le azioni eseguite su file o eseguibili in cartelle temporanee possono essere visualizzate e approvate nel Centro notifiche nella scheda Cronologia.Actions that were taken on files or executables in temporary folders can be viewed and approved in the Action Center, on the History tab.
Nessuna risposta automaticaNo automated response
(noto anche come nessuna automazione)(also referred to as no automation)
Senza automazione, l'indagine automatizzata non viene eseguita nei dispositivi dell'organizzazione.With no automation, automated investigation does not run on your organization's devices. Di conseguenza, non vengono intraprese o in sospeso azioni di correzione a seguito di un'indagine automatizzata.As a result, no remediation actions are taken or pending as a result of automated investigation. Tuttavia, possono essere effettive altre funzionalità di protezione dalle minacce, ad esempio la protezione da applicazioni potenzialmente indesiderate, a seconda di come sono configurate le funzionalità antivirus e di protezione di nuova generazione.However, other threat protection features, such as protection from potentially unwanted applications, can be in effect, depending on how your antivirus and next-generation protection features are configured.

****L'utilizzo dell'opzione*** no automation non è consigliato perché riduce il livello di sicurezza dei dispositivi dell'organizzazione.*Using the no automation option is not recommended, because it reduces the security posture of your organization's devices. Valuta la possibilità di configurare il livello di automazione per l'automazione completa (o almeno semi-automazione)*.Consider setting up your automation level to full automation (or at least semi-automation)*.

Punti importanti sui livelli di automazioneImportant points about automation levels

  • L'automazione completa si è dimostrata affidabile, efficiente e sicura ed è consigliata per tutti i clienti.Full automation has proven to be reliable, efficient, and safe, and is recommended for all customers. L'automazione completa libera le risorse di sicurezza critiche in modo che possano concentrarsi di più sulle iniziative strategiche.Full automation frees up your critical security resources so they can focus more on your strategic initiatives.

  • I nuovi tenant (che includono tenant creati il 16 agosto 2020 o dopo) con Microsoft Defender for Endpoint sono impostati sull'automazione completa per impostazione predefinita.New tenants (which include tenants that were created on or after August 16, 2020) with Microsoft Defender for Endpoint are set to full automation by default.

  • Se il team di sicurezza ha definito gruppi di dispositivi con un livello di automazione, tali impostazioni non vengono modificate dalle nuove impostazioni predefinite in distribuzione.If your security team has defined device groups with a level of automation, those settings are not changed by the new default settings that are rolling out.

  • È possibile mantenere le impostazioni di automazione predefinite o modificarle in base alle esigenze dell'organizzazione.You can keep your default automation settings, or change them according to your organizational needs. Per modificare le impostazioni, impostare il livello di automazione.To change your settings, set your level of automation.

Passaggi successiviNext steps