Översikt över automatiserade undersökningar
Gäller för:
Vill du se hur det fungerar? Titta på följande video:
Tekniken i automatiserad undersökning använder olika kontrollalgoritmer och baseras på processer som används av säkerhetsanalytiker. AIR-funktionerna är utformade för att undersöka aviseringar och vidta omedelbar åtgärd för att lösa överträdelser. AIR-funktioner sänker meddelandevolymen avsevärt, vilket gör att säkerhetsåtgärder kan fokusera på mer avancerade hot och andra viktiga initiativ. Alla åtgärdsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter. I Åtgärdscenter godkänns väntande åtgärder (eller avvisas) och slutförda åtgärder kan ångras om det behövs.
Den här artikeln innehåller en översikt över AIR med länkar till nästa steg och ytterligare resurser.
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Hur den automatiska undersökningen startar
En automatiserad undersökning kan starta när en avisering utlöses eller när en säkerhetsoperator initierar undersökningen.
| Situation | Vad som händer |
|---|---|
| En avisering utlöses | I allmänhet startar en automatiserad undersökning när en avisering utlöses och en händelse skapas. Anta till exempel att en skadlig fil finns på en enhet. När filen identifieras utlöses en avisering och ett incident skapas. En automatiserad undersökningsprocess påbörjas på enheten. När andra aviseringar genereras på grund av samma fil på andra enheter läggs de till i den associerade incidenten och i den automatiska undersökningen. |
| En undersökning startas manuellt | En automatiserad undersökning kan startas manuellt av säkerhetsgruppen. Anta till exempel att en säkerhetsoperatör granskar en lista över enheter och märker att en enhet har hög risknivå. Säkerhetsoperatorn kan välja enheten i listan för att öppna dess utfällning och sedan välja Initiera automatisk undersökning. |
Så här utökar en automatiserad undersökning dess omfattning
Medan en undersökning körs läggs alla andra aviseringar som genereras från enheten till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessa enheter dessutom till i undersökningen.
Om en okritisk enhet visas på en annan enhet utökas processen för automatisk undersökning så att den omfattar den enheten, och en allmän säkerhetsspelbok startar på den enheten. Om 10 eller fler enheter hittas under den här expansionsprocessen från samma entitet kräver den expanderingsåtgärden ett godkännande och visas på fliken Väntande åtgärder.
Hur hot åtgärdas
När aviseringar utlöses och en automatiserad undersökning körs genereras en bedömning för varje bevis som undersöks. Olika beslut kan vara:
- Skadlig;
- Misstänkt; eller
- Inga hot hittades.
Eftersom bedömningarna nås kan automatiska undersökningar resultera i en eller flera åtgärder. Exempel på åtgärder är att skicka en fil till karantän, stoppa en tjänst, ta bort en schemalagd aktivitet och mycket mer. Mer information finns i Åtgärder för åtgärder.
Beroende på hur automatiseringsnivån är inställd för organisationen, samt andra säkerhetsinställningar, kan åtgärder vidtas automatiskt eller bara vid godkännande från säkerhetsteamet. Ytterligare säkerhetsinställningar som kan påverka automatisk åtgärd är bland annat skydd mot potentiellt oönskade program (PUA).
Alla åtgärdsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter. Om det behövs kan ditt säkerhetsåtgärdsteam ångra en åtgärd. Mer information finns i Granska och godkänna åtgärdsåtgärder efter en automatiserad undersökning.
Tips
Ta en titta på den nya, enhetliga undersökningssidan i Microsoft 365 Defender portalen. Mer information finns i (NYTT!) Sida för enhetlig undersökning.
Krav för AIR
Din organisation måste ha Defender för Slutpunkt (se Minimikraven för Microsoft Defender för Slutpunkt.
För närvarande stöder AIR endast följande OS-versioner:
- Windows Server 2012 R2 (förhandsversion)
- Windows Server 2016 (förhandsversion)
- Windows Server 2019
- Windows Server 2022
- Windows 10, version 1709 (OS Build 16299.1085 med KB4493441) eller senare
- Windows 10, version 1803 (OS-version 17134.704 med KB4493464) eller senare
- Windows 10, version 1803 eller senare
- Windows 11
Nästa steg
- Läs mer om automatiseringsnivåer
- Se den interaktiva guiden: Undersöka och åtgärda hot med Microsoft Defender för Endpoint
- Konfigurera funktioner för automatisk undersökning och åtgärder i Microsoft Defender för Endpoint