Otomatik araştırmalara genel bakış

Şunlar için geçerlidir:

Platform

  • Windows

Nasıl çalıştığını görmek ister misiniz? Aşağıdaki videoyu izleyin:

Otomatik araştırmadaki teknoloji çeşitli inceleme algoritmalarını kullanır ve güvenlik analistleri tarafından kullanılan süreçleri temel alır. AIR özellikleri uyarıları incelemek ve ihlalleri çözmek için anında işlem yapmak üzere tasarlanmıştır. AIR özellikleri uyarı hacmini önemli ölçüde azaltarak güvenlik işlemlerinin daha gelişmiş tehditlere ve diğer yüksek değerli girişimlere odaklanmasını sağlar. Bekleyen veya tamamlanan tüm düzeltme eylemleri İşlem merkezinde izlenir. İşlem merkezinde bekleyen eylemler onaylanır (veya reddedilir) ve gerekirse tamamlanmış eylemler geri alınabilir.

Bu makale AIR'e genel bir bakış sağlar ve sonraki adımlara ve ek kaynaklara bağlantılar içerir.

İpucu

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Otomatik araştırma nasıl başlar?

Otomatik araştırma, bir uyarı tetiklendiğinde veya bir güvenlik operatörü araştırmayı başlattığında başlayabilir.

Durum Neler olur?
Bir uyarı tetikleniyor Genel olarak, bir uyarı tetiklendiğinde ve bir olay oluşturulduğunda otomatik bir araştırma başlatılır. Örneğin, kötü amaçlı bir dosyanın bir cihazda yer aldığını varsayalım. Bu dosya algılandığında bir uyarı tetikler ve olay oluşturulur. Cihazda otomatik bir araştırma işlemi başlar. Diğer cihazlarda aynı dosya nedeniyle diğer uyarılar oluşturulduğundan, bunlar ilişkili olaya ve otomatik araştırmaya eklenir.
El ile bir araştırma başlatılır Otomatik araştırma, güvenlik operasyonları ekibiniz tarafından el ile başlatılabilir. Örneğin, bir güvenlik operatörünün cihazların listesini gözden geçirdiğini ve bir cihazın yüksek risk düzeyine sahip olduğunu fark ettiğini varsayalım. Güvenlik operatörü listeden cihazı seçerek açılır öğesini açabilir ve ardından Otomatik Araştırma Başlat'ı seçebilir.

Otomatik araştırma kapsamını nasıl genişletir?

Bir araştırma çalışırken, cihazdan oluşturulan diğer tüm uyarılar, araştırma tamamlanana kadar devam eden bir otomatik araştırmaya eklenir. Ayrıca, aynı tehdit diğer cihazlarda görülürse, bu cihazlar araştırmaya eklenir.

Başka bir cihazda suçlu bulunan bir varlık görülürse, otomatik araştırma işlemi kapsamını bu cihazı içerecek şekilde genişletir ve bu cihazda genel bir güvenlik playbook'u başlatılır. Bu genişletme işlemi sırasında aynı varlıktan 10 veya daha fazla cihaz bulunursa, bu genişletme eylemi onay gerektirir ve Bekleyen eylemler sekmesinde görünür.

Tehditler nasıl düzeltilir?

Uyarılar tetiklendikçe ve otomatik bir araştırma çalıştırıldığında, araştırılan her kanıt parçası için bir karar oluşturulur. Hükümler:

  • Kötü Amaçlı;
  • Şüpheli; Veya
  • Tehdit bulunamadı.

Kararlara ulaşıldığında otomatik araştırmalarda bir veya daha fazla düzeltme eylemine neden olabilir. Karantinaya dosya gönderme, hizmeti durdurma, zamanlanmış görevi kaldırma ve daha birçok düzeltme eylemine örnek olarak verilebilir. Daha fazla bilgi edinmek için bkz . Düzeltme eylemleri.

Kuruluşunuz için ayarlanan otomasyon düzeyine ve diğer güvenlik ayarlarına bağlı olarak, düzeltme eylemleri otomatik olarak veya yalnızca güvenlik operasyonları ekibinizin onayıyla gerçekleşebilir. Otomatik düzeltmeyi etkileyebilecek ek güvenlik ayarları, istenmeyebilecek uygulamalardan (PUA) korumayı içerir.

Bekleyen veya tamamlanan tüm düzeltme eylemleri İşlem merkezinde izlenir. Gerekirse, güvenlik operasyonları ekibiniz bir düzeltme eylemini geri alabilir. Daha fazla bilgi edinmek için bkz. Otomatik araştırmanın ardından düzeltme eylemlerini gözden geçirme ve onaylama.

İpucu

Microsoft Defender portalındaki yeni, birleşik araştırma sayfasına göz atın. Daha fazla bilgi edinmek için bkz. Birleşik araştırma sayfası.

AIR gereksinimleri

Aboneliğiniz Uç Nokta için Defender veya İş için Defender içermelidir.

Not

Otomatik araştırma ve yanıt, pasif modda veya etkin modda çalışmak için Microsoft Defender Virüsten Koruma gerektirir. Microsoft Defender Virüsten Koruma devre dışı bırakılırsa veya kaldırılırsa, Otomatik Araştırma ve Yanıt düzgün çalışmaz.

Şu anda AIR yalnızca aşağıdaki işletim sistemi sürümlerini destekler:

  • Windows Server 2012 R2 (Önizleme)
  • Windows Server 2016 (Önizleme)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, sürüm 1709 (KB4493441 ile İs Derlemesi 16299.1085) veya üzeri
  • Windows 10, sürüm 1803 (KB4493464 ile İs Derlemesi 17134.704) veya üzeri
  • Windows 10, sürüm 1803 veya üzeri
  • Windows 11

Not

Windows Server 2012 R2 ve Windows Server 2016 üzerinde otomatik araştırma ve yanıt, Birleşik Aracı'nın yüklenmesini gerektirir.

Sonraki adımlar

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.