Обзор автоматического исследования

Область применения:

Платформы

  • Windows

Если вы хотите узнать больше, Посмотрите следующее видео:

Технология автоматического исследования использует различные алгоритмы проверки и основана на процессах, используемых аналитиками безопасности. Возможности AIR направлены на проверку оповещений и совершение немедленных действий для устранения нарушений. Они значительно сокращают объем предупреждений, позволяя экспертам по операциям безопасности сосредоточиться на более изощренных угрозах и других важных задачах. Все действия по исправлению, ожидающие или завершенные, отслеживаются в Центре уведомлений. В Центре уведомлений при необходимости можно одобрить (или отменить) ожидающие действия, а также отменить завершенные действия.

В этой статье содержится обзор AIR, а также ссылки на дальнейшие действия и дополнительные ресурсы.

Совет

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Как начинается автоматическое исследование

Автоматическое исследование может начаться при срабатывании оповещения или при инициировании исследования оператором безопасности.

Ситуация Что происходит
Активируется оповещение Как правило, автоматическое исследование начинается при срабатывании оповещения и создании инцидента . Например, предположим, что вредоносный файл находится на устройстве. При обнаружении этого файла активируется оповещение и создается инцидент. На устройстве начинается автоматизированный процесс исследования. Так как другие оповещения создаются из-за того же файла на других устройствах, они добавляются в связанный инцидент и в автоматическое исследование.
Расследование запускается вручную Автоматизированное исследование может быть запущено вручную командой по обеспечению безопасности. Например, предположим, что оператор безопасности просматривает список устройств и замечает, что устройство имеет высокий уровень риска. Оператор безопасности может выбрать устройство в списке, чтобы открыть его всплывающий элемент, а затем выбрать Запуск автоматического исследования.

Как автоматическое исследование расширяет свои область

Пока выполняется исследование, все другие оповещения, созданные с устройства, добавляются в текущее автоматическое исследование до тех пор, пока это исследование не будет завершено. Кроме того, если та же угроза наблюдается на других устройствах, эти устройства добавляются в исследование.

Если инкриминированная сущность отображается на другом устройстве, автоматизированный процесс исследования расширяет область, чтобы включить это устройство, и на этом устройстве начинается общий сборник схем безопасности. Если в процессе расширения из одной сущности найдено 10 или более устройств, это действие расширения требует утверждения и отображается на вкладке Ожидающие действия .

Способы устранения угроз

По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт. Решения могут быть:

  • Вредоносные;
  • Подозрительные; Или
  • Угрозы не найдены.

По мере вынесения вердиктов автоматизированные исследования могут привести к одному или нескольким действиям по исправлению. Примеры действий по исправлению включают отправку файла в карантин, остановку службы, удаление запланированной задачи и многое другое. Дополнительные сведения см. в разделе Действия по исправлению.

В зависимости от уровня автоматизации, установленного для вашей организации, а также от других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности. Дополнительные параметры безопасности, которые могут повлиять на автоматическое исправление, включают защиту от потенциально нежелательных приложений (PUA).

Все действия по исправлению, ожидающие или завершенные, отслеживаются в Центре уведомлений. При необходимости команда по операциям безопасности может отменить действие по исправлению. Дополнительные сведения см. в статье Проверка и утверждение действий по исправлению после автоматического исследования.

Совет

Ознакомьтесь с новой страницей унифицированных исследований на портале Microsoft Defender. Дополнительные сведения см. на странице Унифицированное исследование.

Требования к AIR

Ваша подписка должна включать Defender для конечной точки или Defender для бизнеса.

Примечание.

Для автоматического исследования и реагирования требуется Microsoft Defender антивирусная программа для работы в пассивном или активном режиме. Если Microsoft Defender антивирусная программа отключена или удалена, автоматическое исследование и реагирование будут работать неправильно.

В настоящее время AIR поддерживает только следующие версии ОС:

  • Windows Server 2012 R2 (предварительная версия)
  • Windows Server 2016 (предварительная версия)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10 версии 1709 (сборка ОС 16299.1085 с KB4493441) или более поздняя
  • Windows 10 версии 1803 (сборка ОС 17134.704 с KB4493464) или более поздняя
  • Windows 10 версии 1803 или более поздней
  • Windows 11

Примечание.

Для автоматического исследования и реагирования на Windows Server 2012 R2 и Windows Server 2016 требуется установить единый агент.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.