Уровни автоматизации в возможностях автоматического расследования и исправленийAutomation levels in automated investigation and remediation capabilities

Область применения:Applies to:

Возможности автоматического расследования и восстановления (AIR) в Microsoft Defender для конечной точки можно настроить на один из нескольких уровней автоматизации.Automated investigation and remediation (AIR) capabilities in Microsoft Defender for Endpoint can be configured to one of several levels of automation. Уровень автоматизации влияет на то, будут ли действия по исправлению после расследований AIR приниматься автоматически или только после утверждения.Your automation level affects whether remediation actions following AIR investigations are taken automatically or only upon approval.

  • Полная автоматизация (рекомендуется) означает, что действия по исправлению автоматически принимаются на артефактах, которые определяются как вредоносные.Full automation (recommended) means remediation actions are taken automatically on artifacts determined to be malicious.
  • Semi-automation означает, что некоторые действия по исправлению принимаются автоматически, но другие действия по исправлению ожидают утверждения перед их принятием.Semi-automation means some remediation actions are taken automatically, but other remediation actions await approval before being taken. (См. таблицу в Уровнях автоматизации.)(See the table in Levels of automation.)
  • Все действия по исправлению, отложенные или завершенные, отслеживаются в Центре действий https://securitycenter.windows.com ().All remediation actions, whether pending or completed, are tracked in the Action Center (https://securitycenter.windows.com).

Совет

Для наилучших результатов рекомендуется использовать полную автоматизацию при настройке AIR.For best results, we recommend using full automation when you configure AIR. Данные, собранные и проанализированы за последний год, показывают, что у клиентов, использующих полную автоматизацию, было удалено на 40% больше образцов вредоносных программ с высоким уровнем доверия, чем у клиентов, использующих более низкие уровни автоматизации.Data collected and analyzed over the past year shows that customers who are using full automation had 40% more high-confidence malware samples removed than customers who are using lower levels of automation. Полная автоматизация поможет освободить ресурсы операций безопасности, чтобы больше сосредоточиться на стратегических инициативах.Full automation can help free up your security operations resources to focus more on your strategic initiatives.

Уровни автоматизацииLevels of automation

В следующей таблице описывается каждый уровень автоматизации и ее работа.The following table describes each level of automation and how it works.

Уровень автоматизацииAutomation level ОписаниеDescription
Full — автоматически устраняет угрозыFull - remediate threats automatically
(также называется полной автоматизацией)(also referred to as full automation)
При полной автоматизации действия по исправлению выполняются автоматически.With full automation, remediation actions are performed automatically. Все предпринятые действия по исправлению можно просмотреть в Центре действий на вкладке История. При необходимости действие по исправлению можно отменить.All remediation actions that are taken can be viewed in the Action Center on the History tab. If necessary, a remediation action can be undone.

Полная автоматизация* рекомендуется и выбирается по умолчанию для клиентов, созданных 16 августа 2020 г. с помощью Microsoft Defender для endpoint, без определения групп устройств.*Full automation is recommended* and is selected by default for tenants that were created on or after August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined yet.*
Semi — требуется утверждение для любых исправленийSemi - require approval for any remediation
(также именуемая полуза автоматизацией)(also referred to as semi-automation)
При таком уровне полуавтоматики требуется утверждение для любых действий по исправлению.With this level of semi-automation, approval is required for any remediation action. Такие ожидающих действий можно просмотреть и утвердить в Центре действийна вкладке Ожидание.Such pending actions can be viewed and approved in the Action Center, on the Pending tab.

Этот уровень полуза автоматизации выбирается по умолчанию для клиентов, созданных до 16 августа 2020 г. с помощью Microsoft Defender для конечной точки, без определения групп устройств.This level of semi-automation is selected by default for tenants that were created before August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined.
Semi — требуется утверждение для восстановления основных папокSemi - require approval for core folders remediation
(также тип полуавтоматики)(also a type of semi-automation)
При таком уровне автоматизации требуется утверждение для любых действий по исправлению, необходимых для файлов или исполняемых файлов, которые находятся в основных папках.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are in core folders. Основные папки включают каталоги операционной системы, такие как Windows ( \windows\* ).Core folders include operating system directories, such as the Windows (\windows\*).

Действия по исправлению можно выполнять автоматически в файлах или исполняемых файлах, которые находятся в других (непрофильных) папках.Remediation actions can be taken automatically on files or executables that are in other (non-core) folders.

Ожидающих действий для файлов или исполняемых файлов в основных папках можно просматривать и утверждать в Центре действий навкладке "Ожидание".Pending actions for files or executables in core folders can be viewed and approved in the Action Center, on the Pending tab.

Действия, принятые на файлах или исполняемых в других папках, можно просмотреть в Центре действий на вкладке История.Actions that were taken on files or executables in other folders can be viewed in the Action Center, on the History tab.
Semi — требуется разрешение на исправление папок без tempSemi - require approval for non-temp folders remediation
(также тип полуавтоматики)(also a type of semi-automation)
При таком уровне автоматизации требуется утверждение для любых действий по исправлению, необходимых для файлов или исполняемых файлов, которые не находятся во временных папках.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are not in temporary folders.

Временные папки могут включать следующие примеры:Temporary folders can include the following examples:
- \users\*\appdata\local\temp\*
- \documents and settings\*\local settings\temp\*
- \documents and settings\*\local settings\temporary\*
- \windows\temp\*
- \users\*\downloads\*
- \program files\
- \program files (x86)\*
- \documents and settings\*\users\*

Действия по исправлению можно выполнять автоматически в файлах или исполняемых файлах, которые находятся во временных папках.Remediation actions can be taken automatically on files or executables that are in temporary folders.

Ожидающих действий для файлов или исполняемых файлов, которые не находятся во временных папках, можно просмотреть и утвердить в Центре действий навкладке "Ожидание".Pending actions for files or executables that are not in temporary folders can be viewed and approved in the Action Center, on the Pending tab.

Действия, принятые в файлах или исполняемых во временных папках, можно просмотреть и утвердить в Центре действий на вкладке История.Actions that were taken on files or executables in temporary folders can be viewed and approved in the Action Center, on the History tab.
Нет автоматического ответаNo automated response
(также именуемая отсутствием автоматизации)(also referred to as no automation)
Без автоматизации автоматическое расследование не будет запускаться на устройствах организации.With no automation, automated investigation does not run on your organization's devices. В результате в результате автоматического расследования никакие действия по исправлению не принимаются или не ожидаются.As a result, no remediation actions are taken or pending as a result of automated investigation. Однако другие функции защиты от угроз, например защита от потенциально нежелательных приложений,могут действовать в зависимости от настройки антивирусных и защитных функций следующего поколения.However, other threat protection features, such as protection from potentially unwanted applications, can be in effect, depending on how your antivirus and next-generation protection features are configured.

*Использование параметра автоматизации не рекомендуется, так как это снижает уровень безопасности устройств организации.*Using the no automation option is not recommended, because it reduces the security posture of your organization's devices. Рассмотрите возможность настройки уровня автоматизации до полной автоматизации (или, по крайней мере, полуавтоматики)*.Consider setting up your automation level to full automation (or at least semi-automation)*.

Важные моменты об уровнях автоматизацииImportant points about automation levels

  • Полная автоматизация оказалась надежной, эффективной и безопасной и рекомендуется всем клиентам.Full automation has proven to be reliable, efficient, and safe, and is recommended for all customers. Полная автоматизация освободит критически важные ресурсы безопасности, чтобы они могли уделять больше внимания стратегическим инициативам.Full automation frees up your critical security resources so they can focus more on your strategic initiatives.

  • Новые клиенты (к которым относятся клиенты, созданные после 16 августа 2020 г.) с Microsoft Defender для конечной точки, по умолчанию будут полностью автоматизированы.New tenants (which include tenants that were created on or after August 16, 2020) with Microsoft Defender for Endpoint are set to full automation by default.

  • Если ваша группа безопасности определила группы устройств с уровнем автоматизации, эти параметры не меняются новыми настройками по умолчанию, которые развертываются.If your security team has defined device groups with a level of automation, those settings are not changed by the new default settings that are rolling out.

  • Вы можете сохранить параметры автоматизации по умолчанию или изменить их в соответствии с потребностями организации.You can keep your default automation settings, or change them according to your organizational needs. Чтобы изменить параметры, установите уровень автоматизации.To change your settings, set your level of automation.

Дальнейшие действияNext steps