Automatiseringsniveaus in mogelijkheden voor geautomatiseerd onderzoek en herstel

Van toepassing op:

• Microsoft Defender XDR
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven

Mogelijkheden voor geautomatiseerd onderzoek en herstel (AIR) in Microsoft Defender voor Bedrijven vooraf zijn geconfigureerd en niet kunnen worden geconfigureerd. In Microsoft Defender voor Eindpunt kunt u AIR configureren voor een van de verschillende automatiseringsniveaus. Uw automatiseringsniveau bepaalt of herstelacties na AIR-onderzoeken automatisch of alleen na goedkeuring worden uitgevoerd.

• Volledige automatisering (aanbevolen) betekent dat herstelacties automatisch worden uitgevoerd op artefacten die schadelijk zijn. (Volledige automatisering is standaard ingesteld in Defender voor Bedrijven.)
• Semi-automatisering betekent dat sommige herstelacties automatisch worden uitgevoerd, maar dat andere herstelacties wachten op goedkeuring voordat ze worden uitgevoerd. (Zie de tabel in Automatiseringsniveaus.)
• Alle herstelacties, in behandeling of voltooid, worden bijgehouden in het Actiecentrum (https://security.microsoft.com).

Tip

Voor de beste resultaten raden we u aan volledige automatisering te gebruiken wanneer u AIR configureert. Uit gegevens die het afgelopen jaar zijn verzameld en geanalyseerd, blijkt dat klanten die gebruikmaken van volledige automatisering 40% meer voorbeelden van malware met hoge betrouwbaarheid hebben verwijderd dan klanten die een lager automatiseringsniveau gebruiken. Volledige automatisering kan helpen bij het vrijmaken van uw resources voor beveiligingsactiviteiten om u meer te richten op uw strategische initiatieven.

Opmerking

Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

Automatiseringsniveaus

Automatiseringsniveau	Beschrijving
Volledig - bedreigingen automatisch herstellen (ook wel volledige automatisering genoemd)	Met volledige automatisering worden herstelacties automatisch uitgevoerd op entiteiten die als schadelijk worden beschouwd. Alle herstelacties die worden uitgevoerd, kunnen worden weergegeven in het Actiecentrum op het tabblad Geschiedenis . Indien nodig kan een herstelactie ongedaan worden gemaakt. Volledige automatisering wordt aanbevolen en wordt standaard geselecteerd voor tenants met Defender voor Eindpunt die zijn gemaakt op of na 16 augustus 2020, zonder dat er nog apparaatgroepen zijn gedefinieerd. Volledige automatisering is standaard ingesteld in Defender voor Bedrijven.
Semi- goedkeuring vereisen voor alle mappen (ook wel semi-automatisering genoemd)	Met dit niveau van semi-automatisering is goedkeuring vereist voor herstelacties voor alle bestanden. Dergelijke acties die in behandeling zijn, kunnen worden weergegeven en goedgekeurd in het Actiecentrum op het tabblad In behandeling . Er is na 7 dagen een time-out opgetreden voor acties in behandeling. Als er een time-out optreedt voor een actie, is het gedrag hetzelfde als wanneer de actie wordt geweigerd. Dit niveau van semi-automatisering is standaard geselecteerd voor tenants die zijn gemaakt vóór 16 augustus 2020 met Microsoft Defender voor Eindpunt, zonder dat er apparaatgroepen zijn gedefinieerd.
Semi- goedkeuring vereisen voor herstel van kernmappen (ook een type semi-automatisering)	Met dit niveau van semi-automatisering is goedkeuring vereist voor herstelacties die nodig zijn voor bestanden of uitvoerbare bestanden die zich in kernmappen bevinden. Kernmappen omvatten besturingssysteemmappen, zoals de Windows (\windows\*). Herstelacties kunnen automatisch worden uitgevoerd op bestanden of uitvoerbare bestanden die zich in andere (niet-kern)mappen bevinden. Acties in behandeling voor bestanden of uitvoerbare bestanden in kernmappen kunnen worden bekeken en goedgekeurd in het Actiecentrum op het tabblad In behandeling . Acties die zijn uitgevoerd op bestanden of uitvoerbare bestanden in andere mappen, kunt u bekijken in het Actiecentrum op het tabblad Geschiedenis .
Semi- goedkeuring vereisen voor herstel van niet-tijdelijke mappen (ook een type semi-automatisering)	Met dit niveau van semi-automatisering is goedkeuring vereist voor herstelacties die nodig zijn voor bestanden of uitvoerbare bestanden die zich niet* in tijdelijke mappen bevinden. Tijdelijke mappen kunnen de volgende voorbeelden bevatten: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Herstelacties kunnen automatisch worden uitgevoerd op bestanden of uitvoerbare bestanden die zich in tijdelijke mappen bevinden. Acties in behandeling voor bestanden of uitvoerbare bestanden die zich niet in tijdelijke mappen bevinden, kunnen worden weergegeven en goedgekeurd in het Actiecentrum op het tabblad In behandeling . Acties die zijn uitgevoerd op bestanden of uitvoerbare bestanden in tijdelijke mappen, kunnen worden weergegeven en goedgekeurd in het Actiecentrum op het tabblad Geschiedenis .
Geen geautomatiseerd antwoord (ook wel geen automatisering genoemd)	Zonder automatisering wordt geautomatiseerd onderzoek niet uitgevoerd op de apparaten van uw organisatie. Als gevolg hiervan worden er geen herstelacties ondernomen of in behandeling genomen als gevolg van geautomatiseerd onderzoek. Andere functies voor bedreigingsbeveiliging, zoals bescherming tegen mogelijk ongewenste toepassingen, kunnen echter van kracht zijn, afhankelijk van hoe uw antivirus- en beveiligingsfuncties van de volgende generatie zijn geconfigureerd. *Het gebruik van de optie geen automatisering wordt afgeraden, omdat dit de beveiligingsstatus van de apparaten van uw organisatie vermindert. Overweeg uw automatiseringsniveau in te stellen op volledige automatisering (of ten minste semi-automatisering).

Belangrijke punten over automatiseringsniveaus

• Volledige automatisering is betrouwbaar, efficiënt en veilig gebleken en wordt aanbevolen voor alle klanten. Volledige automatisering maakt uw kritieke beveiligingsresources vrij, zodat ze zich meer kunnen richten op uw strategische initiatieven.

• Nieuwe tenants (waaronder tenants die zijn gemaakt op of na 16 augustus 2020) met Defender voor Eindpunt zijn standaard ingesteld op volledige automatisering.

• Defender voor Bedrijven maakt standaard gebruik van volledige automatisering. Defender voor Bedrijven gebruikt apparaatgroepen niet op dezelfde manier als Defender voor Eindpunt. Zo wordt volledige automatisering ingeschakeld en toegepast op alle apparaten in Defender voor Bedrijven.

• Als uw beveiligingsteam apparaatgroepen met een automatiseringsniveau heeft gedefinieerd, worden deze instellingen niet gewijzigd door de nieuwe standaardinstellingen die worden geïmplementeerd.

• U kunt uw standaardinstellingen voor automatisering behouden of deze wijzigen op basis van de behoeften van uw organisatie. Als u uw instellingen wilt wijzigen, stelt u het automatiseringsniveau in.

Opmerking

Defender voor Bedrijven is afhankelijk van realtime-beveiliging voor automatisch onderzoek. Realtime-beveiliging moet zijn ingeschakeld en in de actieve modus staan om automatisch onderzoek in te schakelen.

Volgende stappen

• Mogelijkheden voor geautomatiseerd onderzoek en herstel configureren in Defender voor Eindpunt
• Ga naar het actiecentrum

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.