Omówienie zautomatyzowanych badań

Dotyczy:

Platformy

  • System Windows

Chcesz zobaczyć, jak to działa? Obejrzyj następujące wideo:

Technologia zautomatyzowanego badania wykorzystuje różne algorytmy inspekcji i jest oparta na procesach używanych przez analityków zabezpieczeń. Możliwości AIR mają na celu zbadanie alertów i podjęcie natychmiastowych działań w celu rozwiązania problemów z naruszeniami. Możliwości AIR znacznie zmniejszają liczbę alertów, dzięki czemu operacje zabezpieczeń koncentrują się na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości. Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w centrum akcji. W centrum akcji oczekujące akcje są zatwierdzane (lub odrzucane), a ukończone akcje można cofnąć w razie potrzeby.

Ten artykuł zawiera omówienie funkcji AIR i zawiera linki do następnych kroków i dodatkowych zasobów.

Porada

Chcesz doświadczyć Ochrona punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Jak rozpoczyna się zautomatyzowane badanie

Zautomatyzowane badanie może rozpocząć się po wyzwoleniu alertu lub zainicjowaniu badania przez operatora zabezpieczeń.

Sytuacji Efekt
Wyzwalany jest alert Ogólnie rzecz biorąc, automatyczne badanie rozpoczyna się po wyzwoleniu alertu i utworzeniu zdarzenia . Załóżmy na przykład, że na urządzeniu znajduje się złośliwy plik. Po wykryciu tego pliku zostanie wyzwolony alert i zostanie utworzone zdarzenie. Na urządzeniu rozpoczyna się zautomatyzowany proces badania. Ponieważ inne alerty są generowane z powodu tego samego pliku na innych urządzeniach, są one dodawane do skojarzonego zdarzenia i do zautomatyzowanego badania.
Badanie jest uruchamiane ręcznie Zautomatyzowane badanie może zostać uruchomione ręcznie przez zespół ds. operacji zabezpieczeń. Załóżmy na przykład, że operator zabezpieczeń przegląda listę urządzeń i zauważa, że urządzenie ma wysoki poziom ryzyka. Operator zabezpieczeń może wybrać urządzenie na liście, aby otworzyć wysuwane urządzenie, a następnie wybrać pozycję Inicjuj zautomatyzowane badanie.

Jak zautomatyzowane badanie rozszerza jego zakres

Gdy badanie jest uruchomione, wszystkie inne alerty wygenerowane na urządzeniu są dodawane do trwającego zautomatyzowanego badania do czasu zakończenia tego badania. Ponadto jeśli to samo zagrożenie jest widoczne na innych urządzeniach, te urządzenia zostaną dodane do badania.

Jeśli na innym urządzeniu jest widoczna obciążana jednostka, zautomatyzowany proces badania rozszerza swój zakres w celu uwzględnienia tego urządzenia, a na tym urządzeniu zostanie uruchomiony ogólny podręcznik zabezpieczeń. Jeśli podczas tego procesu rozszerzania zostanie znalezionych co najmniej 10 urządzeń z tej samej jednostki, ta akcja rozszerzenia wymaga zatwierdzenia i jest widoczna na karcie Oczekujące akcje .

Jak są korygowane zagrożenia

Po wyzwoleniu alertów i uruchomieniu zautomatyzowanego dochodzenia dla każdego badanego dowodu jest generowany werdykt. Werdykty mogą być:

  • Złośliwe;
  • Podejrzane; Lub
  • Nie znaleziono zagrożeń.

Po osiągnięciu werdyktów zautomatyzowane badania mogą skutkować co najmniej jednym działaniem korygacyjnym. Przykłady akcji korygowania obejmują wysyłanie pliku do kwarantanny, zatrzymywanie usługi, usuwanie zaplanowanego zadania i nie tylko. Aby dowiedzieć się więcej, zobacz Akcje korygowania.

W zależności od poziomu automatyzacji ustawionego dla organizacji oraz innych ustawień zabezpieczeń akcje korygowania mogą być wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń. Dodatkowe ustawienia zabezpieczeń, które mogą mieć wpływ na automatyczne korygowanie, obejmują ochronę przed potencjalnie niechcianych aplikacji (PUA).

Wszystkie akcje korygowania, oczekujące lub ukończone, są śledzone w centrum akcji. W razie potrzeby zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania. Aby dowiedzieć się więcej, zobacz Przeglądanie i zatwierdzanie akcji korygowania po zautomatyzowanym badaniu.

Porada

Zapoznaj się z nową, ujednoliconą stroną badania w portalu Microsoft 365 Defender. Aby dowiedzieć się więcej, zobacz Stronę ujednoliconego badania.

Wymagania dotyczące air

Twoja subskrypcja musi obejmować usługę Defender for Endpoint lub Defender dla Firm.

Uwaga

Zautomatyzowane badanie i reagowanie wymaga Program antywirusowy Microsoft Defender do uruchamiania w trybie pasywnym lub aktywnym. Jeśli Program antywirusowy Microsoft Defender zostanie wyłączona lub odinstalowana, automatyczne badanie i odpowiedź nie będą działać poprawnie.

Obecnie usługa AIR obsługuje tylko następujące wersje systemu operacyjnego:

  • Windows Server 2012 R2 (wersja zapoznawcza)
  • Windows Server 2016 (wersja zapoznawcza)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, wersja 1709 (kompilacja systemu operacyjnego 16299.1085 z KB4493441) lub nowsza
  • Windows 10, wersja 1803 (kompilacja systemu operacyjnego 17134.704 z KB4493464) lub nowsza
  • Windows 10, wersja 1803 lub nowsza
  • Windows 11

Następne kroki

Zobacz też