Automatiseringsnivåer i automatiserad undersökning och åtgärdsfunktioner
Gäller för:
Funktioner för automatisk undersökning och åtgärder (AIR) i Microsoft Defender för Endpoint kan konfigureras på någon av flera nivåer av automatisering. Din automatiseringsnivå påverkar om åtgärder efter AIR-undersökningar vidtas automatiskt eller bara efter godkännande.
- Fullständig automation (rekommenderas) innebär att åtgärder vidtas automatiskt på artefakter som fastställt vara skadliga.
- Semi-automation innebär att vissa åtgärder vidtas automatiskt, men andra åtgärder väntar på godkännande innan de vidtas. (Se tabellen i Nivåer av automation.)
- Alla åtgärdsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter ( https://security.microsoft.com ).
Tips
För bästa resultat rekommenderar vi att du använder fullständig automation när du konfigurerar AIR. Data som har samlats in och analyserats under det senaste året visar att kunder som använder fullständig automation hade 40 % mer högförtroende exempel på skadlig programvara borttagna än kunder som använder lägre automatiseringsnivåer. Fullständig automation kan frigöra dina resurser för säkerhetsåtgärder så att du kan fokusera mer på dina strategiska initiativ.
Nivåer av automation
I följande tabell beskrivs varje nivå av automatisering och hur det fungerar.
| Automationsnivå | Beskrivning |
|---|---|
| Full – åtgärda hot automatiskt (kallas även fullständig automation) |
Med fullständig automation utförs åtgärdsåtgärder automatiskt. Alla åtgärder som vidtas kan visas i Åtgärdscenter på fliken Historik. Om det behövs kan en åtgärd ångras. Fullständig automation rekommenderas och väljs som standard för klientorganisationer som skapades den 16 augusti 2020 eller senare med Microsoft Defender för slutpunkten, utan att enhetsgrupper har definierats än. |
| Semi – kräv godkännande för åtgärd (kallas även semi-automation) |
Med den här nivån av semi-automation krävs godkännande för alla åtgärder. Sådana väntande åtgärder kan visas och godkännas i Åtgärdscenterpå fliken Väntande. Den här nivån av semi-automation är markerad som standard för klientorganisationer som skapades före 16 augusti 2020 med Microsoft Defender för Slutpunkt, utan att enhetsgrupper har definierats. |
| Semi – kräver godkännande för åtgärd av basmappar (också en typ av semi-automation) |
Med den här nivån av semi-automation krävs godkännande för alla åtgärder som behövs för filer eller körbara filer som finns i huvudmappar. Basmappar innehåller operativsystemskataloger, till exempel Windows ( \windows\* ). Åtgärder kan vidtas automatiskt på filer eller körbara filer som finns i andra mappar (icke-kärnmappar). Väntande åtgärder för filer eller körbara filer i huvudmappar kan visas och godkännas i Åtgärdscenterpå fliken Väntande. Åtgärder som har utförts på filer eller körbara filer i andra mappar kan visas i Åtgärdscenterpå fliken Historik. |
| Semi – kräver godkännande för åtgärder som inte är tillfälliga mappar (också en typ av semi-automation) |
Med den här nivån av semi-automation krävs godkännande för åtgärder som krävs för filer eller körbara filer som inte finns i tillfälliga mappar. Tillfälliga mappar kan innehålla följande exempel:
Åtgärdsåtgärder kan vidtas automatiskt på filer eller körbara filer som finns i tillfälliga mappar. Väntande åtgärder för filer eller körbara filer som inte finns i tillfälliga mappar kan visas och godkännas i Åtgärdscenterpå fliken Väntande. Åtgärder som har utförts på filer eller körbara filer i tillfälliga mappar kan visas och godkännas i Åtgärdscenterpå fliken Historik. |
| Inget automatiserat svar (kallas även ingen automation) |
Ingen automatisering innebär att automatisk undersökning körs på organisationens enheter. Därför vidtas inga åtgärder eller väntande åtgärder på grund av automatiserad undersökning. Men andra skyddsfunktioner som skydd mot potentiellt oönskade program kan påverkas, beroende på hur dina funktioner för antivirus och nästa generations skydd är konfigurerade. *Vi rekommenderar inte att du använder någon automation, eftersom det minskar säkerheten för din organisations enheter. Överväg att ställa in din automatiseringsnivå till fullständig automation (eller åtminstone semi-automation). |
Viktiga punkter om automatiseringsnivåer
Fullständig automation har visat sig vara tillförlitlig, effektiv och säker, och rekommenderas för alla kunder. Med fullständig automation frigör du dina kritiska säkerhetsresurser så att de kan fokusera mer på dina strategiska initiativ.
Nya klientorganisationar (som omfattar klientorganisationen som skapades den 16 augusti 2020 eller senare) med Microsoft Defender för Slutpunkt är inställda på fullständig automation som standard.
Om ditt säkerhetsteam har definierat enhetsgrupper med en automatiseringsnivå ändras inte de inställningarna i de nya standardinställningarna som lanseras.
Du kan behålla standardinställningarna för automatisering eller ändra dem efter organisationens behov. Om du vill ändra dina inställningar anger du automatiseringsnivån.