Übersicht über automatisierte Untersuchungen

Gilt für:

Plattformen

  • Windows

Möchten Sie sehen, wie das funktioniert? Sehen Sie sich das folgende Video an:

Die Technologie der automatisierten Untersuchung verwendet verschiedene Überprüfungsalgorithmen und basiert auf Prozessen, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen wurden entwickelt, um Warnungen zu untersuchen und sofortige Maßnahmen zum Beheben von Verletzungen zu ergreifen. AIR-Funktionen verringern den Umfang an Warnungen erheblich, sodass sich Sicherheitsexperten auf komplexere Bedrohungen und andere Initiativen mit hoher Wertschöpfung konzentrieren können. Alle Wartungsaktionen – ob ausstehend oder abgeschlossen – können im Aktionscenter nachverfolgt werden. Im Aktionscenter werden ausstehende Aktionen genehmigt (oder abgelehnt). Darüber hinaus können dort bereits abgeschlossene Aktionen bei Bedarf rückgängig gemacht werden.

Dieser Artikel bietet eine Übersicht über AIR und enthält Links zu den nächsten Schritten und zusätzlichen Ressourcen.

Tipp

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Wie die automatisierte Untersuchung beginnt

Eine automatisierte Untersuchung kann beginnen, wenn eine Warnung ausgelöst wird oder wenn ein Sicherheitsoperator die Untersuchung initiiert.

Situation Folge
Eine Warnung wird ausgelöst. Im Allgemeinen beginnt eine automatisierte Untersuchung, wenn eine Warnung ausgelöst und ein Incident erstellt wird. Angenommen, eine schädliche Datei befindet sich auf einem Gerät. Wenn diese Datei erkannt wird, wird eine Warnung ausgelöst, und ein Incident wird erstellt. Ein automatisierter Untersuchungsprozess beginnt auf dem Gerät. Da andere Warnungen aufgrund derselben Datei auf anderen Geräten generiert werden, werden sie dem zugehörigen Incident und der automatisierten Untersuchung hinzugefügt.
Eine Untersuchung wird manuell gestartet Eine automatisierte Untersuchung kann manuell von Ihrem Sicherheitsbetriebsteam gestartet werden. Angenommen, ein Sicherheitsoperator überprüft eine Liste von Geräten und stellt fest, dass ein Gerät ein hohes Risiko aufweist. Der Sicherheitsoperator kann das Gerät in der Liste auswählen, um das Flyout zu öffnen, und dann automatisierte Untersuchung initiieren auswählen.

Wie eine automatisierte Untersuchung ihren Umfang erweitert

Während eine Untersuchung ausgeführt wird, werden alle anderen vom Gerät generierten Warnungen einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn die gleiche Bedrohung auch auf anderen Geräten erkannt wird, werden diese Geräte der Untersuchung hinzugefügt.

Wenn eine inkriminierte Entität auf einem anderen Gerät angezeigt wird, erweitert der automatisierte Untersuchungsprozess seinen Bereich um dieses Gerät, und auf diesem Gerät wird ein allgemeines Sicherheitsplaybook gestartet. Wenn während dieses Erweiterungsvorgangs 10 oder mehr Geräte von derselben Entität gefunden werden, erfordert diese Erweiterungsaktion eine Genehmigung und ist auf der Registerkarte Ausstehende Aktionen sichtbar.

Wie Bedrohungen behoben werden

Wenn Warnungen ausgelöst werden und eine automatisierte Untersuchung ausgeführt wird, wird für jeden untersuchten Beweisabschnitt ein Urteil generiert. Die Bewertung kann wie folgt lauten:

  • Böswillig;
  • Verdächtig; Oder
  • Keine Bedrohungen gefunden.

Wenn Urteile getroffen werden, können automatisierte Untersuchungen zu einer oder mehreren Korrekturaktionen führen. Beispiele für Korrekturaktionen sind das Senden einer Datei in die Quarantäne, das Beenden eines Diensts, das Entfernen einer geplanten Aufgabe und vieles mehr. Weitere Informationen finden Sie unter Wartungsaktionen.

Abhängig von der Für Ihre organization festgelegten Automatisierungsebene und anderen Sicherheitseinstellungen können Korrekturaktionen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam erfolgen. Zusätzliche Sicherheitseinstellungen, die sich auf die automatische Wartung auswirken können, umfassen den Schutz vor potenziell unerwünschten Anwendungen (PUA).

Alle Wartungsaktionen – ob ausstehend oder abgeschlossen – können im Aktionscenter nachverfolgt werden. Bei Bedarf kann Ihr Sicherheitsbetriebsteam eine Korrekturaktion rückgängigmachen. Weitere Informationen finden Sie unter Überprüfen und Genehmigen von Wartungsaktionen nach einer automatisierten Untersuchung.

Tipp

Sehen Sie sich die neue, einheitliche Untersuchungsseite im Microsoft Defender-Portal an. Weitere Informationen finden Sie auf der Seite "Einheitliche Untersuchung".

Anforderungen für AIR

Ihr Abonnement muss Defender für Endpunkt oder Defender for Business enthalten.

Hinweis

Die automatisierte Untersuchung und Reaktion erfordert Microsoft Defender Antivirus für die Ausführung im passiven oder aktiven Modus. Wenn Microsoft Defender Antivirus deaktiviert oder deinstalliert ist, funktioniert die automatisierte Untersuchung und Reaktion nicht ordnungsgemäß.

Derzeit unterstützt AIR nur die folgenden Betriebssystemversionen:

  • Windows Server 2012 R2 (Vorschau)
  • Windows Server 2016 (Vorschau)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, Version 1709 (BS-Build 16299.1085 mit KB4493441) oder höher
  • Windows 10, Version 1803 (BS-Build 17134.704 mit KB4493464) oder höher
  • Windows 10, Version 1803 oder höher
  • Windows 11

Hinweis

Für die automatisierte Untersuchung und Reaktion auf Windows Server 2012 R2 und Windows Server 2016 muss der Einheitliche Agent installiert sein.

Nächste Schritte

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.