Обзор автоматизированных расследованийOverview of automated investigations

Область применения:Applies to:

Хотите узнать, как это работает?Want to see how it works? Просмотрите следующее видео:Watch the following video:

Технология автоматического расследования использует различные алгоритмы проверки и основана на процессах, используемых аналитиками безопасности.The technology in automated investigation uses various inspection algorithms and is based on processes that are used by security analysts. Возможности AIR предназначены для проверки оповещений и принятия незамедлительных действий для устранения нарушений.AIR capabilities are designed to examine alerts and take immediate action to resolve breaches. Возможности AIR значительно уменьшают объем оповещений, что позволяет операциям безопасности сосредоточиться на более сложных угрозах и других важных инициативах.AIR capabilities significantly reduce alert volume, allowing security operations to focus on more sophisticated threats and other high-value initiatives. Все действия по исправлению, отложенные или завершенные, отслеживаются в центре действий.All remediation actions, whether pending or completed, are tracked in the Action center. В центре действий отложенные действия одобряются (или отклоняется), а завершенные действия при необходимости могут быть отменены.In the Action center, pending actions are approved (or rejected), and completed actions can be undone if needed.

В этой статье представлен обзор air и ссылки на последующие действия и дополнительные ресурсы.This article provides an overview of AIR and includes links to next steps and additional resources.

Совет

Хотите испытать Microsoft Defender для конечной точки?Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Начало автоматического расследованияHow the automated investigation starts

Автоматическое расследование может начаться, когда срабатывает оповещение или когда оператор безопасности инициирует расследование.An automated investigation can start when an alert is triggered or when a security operator initiates the investigation.

СитуацияSituation Что происходитWhat happens
Срабатывает оповещениеAn alert is triggered Как правило, автоматическое расследование начинается, когда запускается оповещение и создается инцидент.In general, an automated investigation starts when an alert is triggered, and an incident is created. Например, предположим, что вредоносный файл находится на устройстве.For example, suppose a malicious file resides on a device. При обнаружении этого файла запускается оповещение и создается инцидент.When that file is detected, an alert is triggered, and incident is created. На устройстве начинается процесс автоматического расследования.An automated investigation process begins on the device. Так как другие оповещения создаются из-за того же файла на других устройствах, они добавляются к связанному инциденту и автоматическому расследованию.As other alerts are generated because of the same file on other devices, they are added to the associated incident and to the automated investigation.
Расследование начинается вручнуюAn investigation is started manually Автоматизированное расследование может быть начато вручную вашей командой операций безопасности.An automated investigation can be started manually by your security operations team. Например, предположим, что оператор безопасности просматривает список устройств и замечает, что устройство имеет высокий уровень риска.For example, suppose a security operator is reviewing a list of devices and notices that a device has a high risk level. Оператор безопасности может выбрать устройство в списке, чтобы открыть его вылет, а затем выбрать инициировать автоматическое расследование.The security operator can select the device in the list to open its flyout, and then select Initiate Automated Investigation.

Расширение области автоматизированного расследованияHow an automated investigation expands its scope

В ходе расследования все другие оповещения, созданные с устройства, добавляются в непрерывное автоматическое расследование до завершения этого расследования.While an investigation is running, any other alerts generated from the device are added to an ongoing automated investigation until that investigation is completed. Кроме того, если такая же угроза видна на других устройствах, эти устройства добавляются в исследование.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

Если инкриминированная сущность видна на другом устройстве, процесс автоматического расследования расширяет его область, включив это устройство, и на этом устройстве начинается общебезопасная книга.If an incriminated entity is seen in another device, the automated investigation process expands its scope to include that device, and a general security playbook starts on that device. Если в ходе этого процесса расширения из одной и той же сущности находятся 10 или более устройств, то это действие расширения требует утверждения и отображается на вкладке Ожидающих действий.If 10 or more devices are found during this expansion process from the same entity, then that expansion action requires an approval, and is visible on the Pending actions tab.

Устранение угрозHow threats are remediated

По мере запуска оповещений и запуска автоматического расследования для каждого исследуемого доказательства создается вердикт.As alerts are triggered, and an automated investigation runs, a verdict is generated for each piece of evidence investigated. Вердикты могут бытьVerdicts can be

  • Вредоносный;Malicious;
  • Подозрительный; илиSuspicious; or
  • Угрозы не найдены.No threats found.

По мере вынесения вердиктов автоматические расследования могут привести к одному или более действиям по исправлению.As verdicts are reached, automated investigations can result in one or more remediation actions. Примеры действий по исправлению включают отправку файла на карантин, остановку службы, удаление запланированной задачи и другие.Examples of remediation actions include sending a file to quarantine, stopping a service, removing a scheduled task, and more. Дополнительные дополнительные ссылки см. в дополнительных действиях по исправлению.To learn more, see Remediation actions.

В зависимости от уровня автоматизации, установленного для вашей организации, а также других параметров безопасности, действия по исправлению могут происходить автоматически или только после утверждения вашей командой операций безопасности.Depending on the level of automation set for your organization, as well as other security settings, remediation actions can occur automatically or only upon approval by your security operations team. Дополнительные параметры безопасности, которые могут повлиять на автоматическое исправление, включают защиту от потенциально нежелательных приложений (PUA).Additional security settings that can affect automatic remediation include protection from potentially unwanted applications (PUA).

Все действия по исправлению, отложенные или завершенные, отслеживаются в центре действий.All remediation actions, whether pending or completed, are tracked in the Action center. При необходимости группа операций безопасности может отменить действие по исправлению.If necessary, your security operations team can undo a remediation action. Дополнительные дополнительные ссылки см. в обзоре и утверждениидействий по исправлению после автоматического расследования.To learn more, see Review and approve remediation actions following an automated investigation.

Совет

Ознакомьтесь с новой единой страницей расследования в центре Microsoft 365 безопасности.Check out the new, unified investigation page in the Microsoft 365 security center. Дополнительные дополнительные возможности см. в (NEW!) Страница Единое исследование.To learn more, see (NEW!) Unified investigation page.

Требования к AIRRequirements for AIR

В организации должен быть защитник для конечной точки (см. минимальные требования к Microsoft Defender для конечной точки).Your organization must have Defender for Endpoint (see Minimum requirements for Microsoft Defender for Endpoint).

В настоящее время AIR поддерживает только следующие версии ОС:Currently, AIR only supports the following OS versions:

  • Windows Server 2019Windows Server 2019
  • Windows 10 версии 1709 (сборка ОС 16299.1085 с KB4493441)или более поздней версииWindows 10, version 1709 (OS Build 16299.1085 with KB4493441) or later
  • Windows 10 версии 1803 (сборка ОС 17134.704 с KB4493464)или более поздней версииWindows 10, version 1803 (OS Build 17134.704 with KB4493464) or later
  • Windows 10 версии 1803 или более поздней версииWindows 10, version 1803 or later

Дальнейшие действияNext steps

См. такжеSee also