Freigeben über


Automatisierungsstufen der automatisierten Untersuchungs- und Behebungsfunktionen

Gilt für:

Air-Funktionen (Automated Investigation and Remediation) in Microsoft Defender for Business sind vorkonfiguriert und nicht konfigurierbar. In Microsoft Defender for Endpoint können Sie AIR auf eine von mehreren Automatisierungsebenen konfigurieren. Ihre Automatisierungsebene wirkt sich darauf aus, ob Korrekturmaßnahmen nach AIR-Untersuchungen automatisch oder nur nach Genehmigung durchgeführt werden.

  • Vollständige Automatisierung (empfohlen) bedeutet, dass Korrekturaktionen automatisch für Artefakte ausgeführt werden, die als bösartig eingestuft wurden. (Die vollständige Automatisierung ist in Defender for Business standardmäßig festgelegt.)
  • Die Halbautomatisierung bedeutet, dass einige Korrekturaktionen automatisch ausgeführt werden, aber andere Korrekturaktionen warten auf die Genehmigung, bevor sie ausgeführt werden. (Weitere Informationen finden Sie in der Tabelle unter Automatisierungsebenen.)
  • Alle ausstehenden oder abgeschlossenen Wartungsaktionen werden im Info-Center (https://security.microsoft.com) nachverfolgt.

Tipp

Um optimale Ergebnisse zu erzielen, empfiehlt es sich, beim Konfigurieren von AIR die vollständige Automatisierung zu verwenden. Daten, die im vergangenen Jahr gesammelt und analysiert wurden, zeigen, dass Kunden, die die vollständige Automatisierung verwenden, 40 % mehr Schadsoftwarebeispiele mit hoher Zuverlässigkeit entfernt wurden als Kunden, die niedrigere Automatisierungsebenen verwenden. Die vollständige Automatisierung kann dazu beitragen, Ihre Ressourcen für Sicherheitsvorgänge freizugeben, um sich mehr auf Ihre strategischen Initiativen zu konzentrieren.

Hinweis

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Automatisierungsebenen

Automatisierungsebene Beschreibung
Vollständig: Automatisches Beheben von Bedrohungen
(auch als Vollständige Automatisierung bezeichnet)
Bei vollständiger Automatisierung werden Korrekturaktionen automatisch für Entitäten ausgeführt, die als bösartig angesehen werden. Alle ausgeführten Wiederherstellungsaktionen können im Info-Center auf der Registerkarte Verlauf angezeigt werden. Bei Bedarf kann eine Korrekturaktion rückgängig werden.

Die vollständige Automatisierung wird empfohlen und ist standardmäßig für Mandanten mit Defender für Endpunkt ausgewählt, die am oder nach dem 16. August 2020 ohne definierte Gerätegruppen erstellt wurden.

Die vollständige Automatisierung ist in Defender for Business standardmäßig festgelegt.

Semi: Genehmigung für alle Ordner erforderlich
(auch als Halbautomatisierung bezeichnet)
Bei dieser Halbautomatisierungsstufe ist eine Genehmigung für Korrekturaktionen für alle Dateien erforderlich. Solche ausstehenden Aktionen können im Info-Center auf der Registerkarte Ausstehend angezeigt und genehmigt werden. Timeout für ausstehende Aktionen nach 7 Tagen. Wenn für eine Aktion ein Zeitüberschreitung auftritt, entspricht das Verhalten dem, wenn die Aktion abgelehnt wird.

Diese Ebene der Halbautomatisierung ist standardmäßig für Mandanten ausgewählt, die vor dem 16. August 2020 mit Microsoft Defender for Endpoint erstellt wurden, ohne dass Gerätegruppen definiert sind.

Semi: Genehmigung für die Wiederherstellung von Kernordnern erforderlich
(auch eine Art von Halbautomatisierung)
Bei dieser Halbautomatisierungsstufe ist eine Genehmigung für alle Korrekturaktionen erforderlich, die für Dateien oder ausführbare Dateien in Kernordnern erforderlich sind. Zu den Kernordnern gehören Betriebssystemverzeichnisse, z. B. windows (\windows\*).

Korrekturaktionen können automatisch für Dateien oder ausführbare Dateien ausgeführt werden, die sich in anderen (nicht kernigen) Ordnern befinden.

Ausstehende Aktionen für Dateien oder ausführbare Dateien in Kernordnern können im Info-Center auf der Registerkarte Ausstehend angezeigt und genehmigt werden.

Aktionen, die für Dateien oder ausführbare Dateien in anderen Ordnern ausgeführt wurden, können im Info-Center auf der Registerkarte Verlauf angezeigt werden.

Semi: Genehmigung für die Wiederherstellung nicht temporärer Ordner erforderlich
(auch eine Art von Halbautomatisierung)
Bei diesem Grad der Halbautomatisierung ist eine Genehmigung für alle Korrekturaktionen erforderlich, die für Dateien oder ausführbare Dateien erforderlich sind, die sich nicht* in temporären Ordnern befinden.

Temporäre Ordner können die folgenden Beispiele enthalten:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

Korrekturmaßnahmen können automatisch für Dateien oder ausführbare Dateien ausgeführt werden, die sich in temporären Ordnern befinden.

Ausstehende Aktionen für Dateien oder ausführbare Dateien, die sich nicht in temporären Ordnern befinden, können im Info-Center auf der Registerkarte Ausstehend angezeigt und genehmigt werden.

Aktionen, die für Dateien oder ausführbare Dateien in temporären Ordnern ausgeführt wurden, können im Info-Center auf der Registerkarte Verlauf angezeigt und genehmigt werden.

Keine automatisierte Antwort
(auch als keine Automatisierung bezeichnet)
Ohne Automatisierung wird die automatisierte Untersuchung nicht auf den Geräten Ihrer organization ausgeführt. Daher werden aufgrund einer automatisierten Untersuchung keine Korrekturmaßnahmen ausgeführt oder stehen aus. Andere Bedrohungsschutzfeatures, z. B. der Schutz vor potenziell unerwünschten Anwendungen, können jedoch in Kraft treten, je nachdem, wie Ihre Antiviren- und Schutzfunktionen der nächsten Generation konfiguriert sind.

* Die Option "Keine Automatisierung" wird nicht empfohlen, da dadurch der Sicherheitsstatus der Geräte Ihrer organization reduziert wird. Erwägen Sie die Einrichtung Ihrer Automatisierungsebene für die vollständige Automatisierung (oder mindestens halbautomatische Automatisierung).

Wichtige Punkte zu Automatisierungsebenen

  • Die vollständige Automatisierung hat sich als zuverlässig, effizient und sicher erwiesen und wird für alle Kunden empfohlen. Die vollständige Automatisierung gibt Ihre kritischen Sicherheitsressourcen frei, sodass sie sich mehr auf Ihre strategischen Initiativen konzentrieren können.

  • Neue Mandanten (einschließlich Mandanten, die am oder nach dem 16. August 2020 erstellt wurden) mit Defender für Endpunkt werden standardmäßig auf die vollständige Automatisierung festgelegt.

  • Defender for Business verwendet standardmäßig die vollständige Automatisierung. Defender for Business verwendet Gerätegruppen nicht auf die gleiche Weise wie Defender für Endpunkt. Daher wird die vollständige Automatisierung aktiviert und auf alle Geräte in Defender for Business angewendet.

  • Wenn Ihr Sicherheitsteam Gerätegruppen mit einer Automatisierungsebene definiert hat, werden diese Einstellungen durch die neuen Standardeinstellungen, die eingeführt werden, nicht geändert.

  • Sie können Ihre Standardautomatisierungseinstellungen beibehalten oder entsprechend den Anforderungen Ihrer Organisation ändern. Um Ihre Einstellungen zu ändern, legen Sie den Automatisierungsgrad fest.

Hinweis

Defender for Business ist für die automatische Untersuchung von Echtzeitschutz abhängig. Echtzeitschutz muss aktiviert sein und sich im aktiven Modus befinden, um die automatische Untersuchung zu ermöglichen.

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.