Oversigt over automatiserede undersøgelser

Gælder for:

Platforme

  • Windows

Vil du se, hvordan det fungerer? Se følgende video:

Teknologien i den automatiserede undersøgelse bruger forskellige inspektionsalgoritmer og er baseret på processer, der bruges af sikkerhedsanalytikere. AIR-funktioner er designet til at undersøge beskeder og straks træffe foranstaltninger til at løse brud. AIR-kapaciteter reducerer alarmmængden væsentligt, hvilket gør det muligt for sikkerhedsoperationer at fokusere på mere avancerede trusler og andre initiativer af høj værdi. Alle afhjælpningshandlinger, uanset om de afventer eller er fuldført, spores i Løsningscenter. I Løsningscenter godkendes ventende handlinger (eller afvises), og fuldførte handlinger kan fortrydes, hvis det er nødvendigt.

Denne artikel indeholder en oversigt over AIR og indeholder links til næste trin og yderligere ressourcer.

Tip

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Sådan starter den automatiserede undersøgelse

En automatiseret undersøgelse kan starte, når en besked udløses, eller når en sikkerhedsoperator starter undersøgelsen.

Situation Hvad sker der
En besked udløses Generelt starter en automatisk undersøgelse, når en besked udløses, og der oprettes en hændelse . Antag f.eks., at der findes en skadelig fil på en enhed. Når filen registreres, udløses en besked, og der oprettes en hændelse. En automatisk undersøgelsesproces starter på enheden. Da andre beskeder genereres på grund af den samme fil på andre enheder, føjes de til den tilknyttede hændelse og til den automatiserede undersøgelse.
En undersøgelse startes manuelt En automatiseret undersøgelse kan startes manuelt af sikkerhedsteamet. Lad os f.eks. antage, at en sikkerhedsoperatør gennemgår en liste over enheder og bemærker, at en enhed har et højt risikoniveau. Sikkerhedsoperatoren kan vælge enheden på listen for at åbne dens pop op-vindue og derefter vælge Start automatiseret undersøgelse.

Sådan udvider en automatiseret undersøgelse omfanget

Mens der kører en undersøgelse, føjes alle andre beskeder, der genereres fra enheden, til en igangværende automatisk undersøgelse, indtil undersøgelsen er fuldført. Hvis den samme trussel ses på andre enheder, føjes disse enheder desuden til undersøgelsen.

Hvis der vises et inkrimineret objekt på en anden enhed, udvider den automatiserede undersøgelsesproces dens omfang til at omfatte den pågældende enhed, og en generel sikkerhedslegebog starter på den pågældende enhed. Hvis der findes 10 eller flere enheder under denne udvidelsesproces fra den samme enhed, kræver denne udvidelseshandling en godkendelse og er synlig under fanen Ventende handlinger .

Sådan afhjælpes trusler

Når beskeder udløses, og der køres en automatisk undersøgelse, genereres der en dom for hvert bevis, der undersøges. Dommene kan være:

  • Ondsindet;
  • Mistænkelig; Eller
  • Der blev ikke fundet nogen trusler.

Efterhånden som dommene nås, kan automatiserede undersøgelser resultere i en eller flere afhjælpningshandlinger. Eksempler på afhjælpningshandlinger omfatter afsendelse af en fil for at sætte en fil i karantæne, stoppe en tjeneste, fjerne en planlagt opgave og meget mere. Du kan få mere at vide under Afhjælpningshandlinger.

Afhængigt af det automatiseringsniveau , der er angivet for din organisation, samt andre sikkerhedsindstillinger, kan afhjælpningshandlinger forekomme automatisk eller kun efter godkendelse af dit team for sikkerhedshandlinger. Yderligere sikkerhedsindstillinger, der kan påvirke automatisk afhjælpning, omfatter beskyttelse mod potentielt uønskede programmer (PUA).

Alle afhjælpningshandlinger, uanset om de afventer eller er fuldført, spores i Løsningscenter. Hvis det er nødvendigt, kan dit team af sikkerhedshandlinger fortryde en afhjælpningshandling. Du kan få mere at vide under Gennemse og godkend afhjælpningshandlinger efter en automatiseret undersøgelse.

Tip

Se den nye, samlede undersøgelsesside på portalen Microsoft Defender. Du kan få mere at vide på siden Unified-undersøgelse.

Krav til LUFT

Dit abonnement skal omfatte Defender for Endpoint eller Defender for Business.

Bemærk!

Automatiseret undersøgelse og svar kræver Microsoft Defender Antivirus for at køre i passiv tilstand eller aktiv tilstand. Hvis Microsoft Defender Antivirus er deaktiveret eller fjernet, fungerer automatiseret undersøgelse og svar ikke korrekt.

AIR understøtter i øjeblikket kun følgende operativsystemversioner:

  • Windows Server 2012 R2 (prøveversion)
  • Windows Server 2016 (prøveversion)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, version 1709 (OS Build 16299.1085 med KB4493441) eller nyere
  • Windows 10, version 1803 (OS Build 17134.704 med KB4493464) eller nyere
  • Windows 10, version 1803 eller nyere
  • Windows 11

Bemærk!

Automatiseret undersøgelse og svar på Windows Server 2012 R2 og Windows Server 2016 kræver , at Unified Agent er installeret.

Næste trin

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.