自動調查概觀

  • 發行項

適用於:

平台

  • Windows

想要瞭解其運作方式嗎? 觀看下列影片:

自動化調查中的技術使用各種檢查演算法,並以安全性分析師使用的程序為依據。 AIR 功能旨在檢查警示並立即採取動作解决違規問題。 AIR 功能顯著降低了警示量,使安全性作業能够集中於更複雜的威脅和其他高價值方案。 所有補救動作,無論是待完成的還是已完成的,都會在控制中心中進行追蹤。 在控制中心,待完成動作被核准 (或拒絕),如果需要,可以復原已完成的動作。

本文提供 AIR 的概觀,並包含後續步驟和其他資源的連結。

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

自動化調查如何開始

當觸發警示或安全性操作員起始調查時,可以啟動自動化調查。

情況 發生的情況
觸發警示 一般而言,自動化調查會在觸發 警示 並建立 事件 時開始。 例如,假設惡意檔案位於裝置上。 偵測到該檔案時,會觸發警示,並建立事件。 自動化調查程式會在裝置上開始。 由於其他裝置上的檔案相同,因此會產生其他警示,因此會將其新增至相關聯的事件和自動化調查。
手動開始調查 您的安全性作業小組可以手動啟動自動化調查。 例如,假設安全性操作員正在檢閱裝置清單,並注意到裝置具有高風險層級。 安全性操作員可以選取清單中的裝置來開啟其飛出視窗,然後選取 [ 起始自動化調查]

自動化調查如何擴充其範圍

當調查正在執行時,從裝置產生的任何其他警示都會新增至進行中的自動化調查,直到調查完成為止。 此外,如果在其他裝置上看到相同的威脅,這些裝置就會新增至調查。

如果在另一個裝置中看到已辨識的實體,自動化調查程式會擴充其範圍以包含該裝置,而且該裝置上會啟動一般安全性劇本。 如果在此擴充程式期間從相同的實體找到10個以上的裝置,則該擴充動作需要核准,而且會顯示在 [ 擱置動作] 索引卷標上。

如何補救威脅

觸發警示並執行自動化調查時,系統會針對所調查的每一項辨識項產生決策。 決策可以:

  • 惡意;
  • 可疑;或
  • 找不到任何威脅

達到決策時,自動化調查可能會導致一或多個補救動作。 補救動作的範例包括將檔案傳送至隔離區、停止服務、移除排程的工作等等。 若要深入瞭解,請參閱 補救動作

根據您組織的 自動化設定層級 以及其他安全性設定,補救動作可以自動執行,或只有在安全性作業小組核准時才會發生。 可能會影響自動補救的其他安全性設定包括 保護可能不想要的應用程式 , (PUA) 。

所有補救動作,無論是待完成的還是已完成的,都會在控制中心中進行追蹤。 如有必要,您的安全性作業小組可以復原補救動作。 若要深入瞭解,請 參閱在自動化調查之後檢閱和核准補救動作

提示

查看 Microsoft Defender 入口網站中新的整合調查頁面。 若要深入瞭解,請參閱 整合調查頁面

AIR 的需求

您的訂用帳戶必須包含 適用於端點的Defender商務用Defender

注意事項

自動化調查和回應需要 Microsoft Defender 防病毒軟體以被動模式或主動模式執行。 如果 Microsoft Defender 停用或卸載防病毒軟體,自動化調查和回應將無法正常運作。

目前,AIR 僅支援下列 OS 版本:

  • Windows Server 2012 R2 (預覽)
  • Windows Server 2016 (預覽)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10 版本 1709 (操作系統組建 16299.1085 KB4493441) 或更新版本
  • Windows 10 版本 1803 (操作系統組建 17134.704 KB4493464) 或更新版本
  • Windows 10 1803 版或更新版本
  • Windows 11

注意事項

Windows Server 2012 R2 和 Windows Server 2016 的自動化調查和回應需要安裝整合代理程式。

後續步驟

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。