Konfigurieren der Funktionen für die automatisierte Untersuchung und Wartung

  • 5 Minuten

Damit Sie die Funktionen für die automatisierte Untersuchung und Wartung konfigurieren können, müssen Sie sie zunächst aktivieren und dann Gerätegruppen einrichten.

Aktivieren der automatisierten Untersuchung und Wartung

Führen Sie die folgenden Aktionen als globaler Administrator oder Sicherheitsadministrator aus:

  1. Klicken Sie im Navigationsbereich auf Einstellungen > Endpunkte.

  2. Wählen Sie im Abschnitt „Allgemein“ die Option Erweiterte Funktionen aus.

  3. Aktivieren Sie die beiden Optionen „Automated Investigation“ (Automatisierte Untersuchung) und „Automatically resolve alerts“ (Warnungen automatisch auflösen).

Einrichten von Gerätegruppen

  1. Klicken Sie im Navigationsbereich für „Endpunkte“ unter „Berechtigungen“ auf Gerätegruppen.

  2. Wählen Sie + Gerätegruppe hinzufügen aus.

    • Erstellen Sie wie folgt mindestens eine Gerätegruppe:

      • Geben Sie einen Namen und eine Beschreibung für die Gerätegruppe an.

      • Wählen Sie in der Liste der Automatisierungsebenen eine Ebene aus, z. B. „Full – remediate threats automatically“ (Vollständig: Bedrohungen automatisch beheben). Die Automatisierungsebene bestimmt, ob Wartungsaktionen automatisch oder erst nach Genehmigung durchgeführt werden. Weitere Informationen finden Sie in der Beschreibung zur Behebung von Bedrohungen.

      • Verwenden Sie im Abschnitt „Geräte“ mindestens eine Bedingung, um Geräte zu ermitteln und einzuschließen.

      • Wählen Sie auf der Registerkarte „Benutzerzugriff“ die Azure Active Directory-Gruppen aus, die Zugriff auf die erstellte Gerätegruppe haben sollen.

  3. Wählen Sie Fertig aus, wenn Sie mit dem Einrichten der Gerätegruppe fertig sind.

Automatisierungsebenen

Full – remediate threats automatically (Vollständig: Bedrohungen automatisch beheben)

Bei dieser auch als vollständige Automatisierung bezeichneten Automatisierungsebene werden Wartungsaktionen automatisch ausgeführt. Alle ausgeführten Wiederherstellungsaktionen können im Info-Center auf der Registerkarte „Verlauf“ angezeigt werden. Bei Bedarf kann eine Korrekturaktion rückgängig gemacht werden.

Semi – require approval for any remediation (Teilweise: Genehmigung für jede Wartung erforderlich)

Diese Automatisierungsebene wird auch als Teilautomatisierung bezeichnet. Dabei ist für jede Wartungsaktion eine Genehmigung erforderlich. Die ausstehenden Aktionen können im Info-Center auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden.

Semi – require approval for core folders remediation (Teilweise: Genehmigung für Wartung in Kernordnern erforderlich)

Bei dieser Ebene mit Teilautomatisierung ist eine Genehmigung für alle Wartungsaktionen an Dateien oder ausführbare Dateien in Kernordnern erforderlich. Zu den Kernordnern gehören Betriebssystemverzeichnisse wie z. B. Windows (\windows*). Für Dateien oder ausführbare Dateien außerhalb dieser Kernordner können Wartungsaktionen aber automatisch ausgeführt werden. Ausstehende Aktionen für Dateien oder ausführbare Dateien in Kernordnern können im Wartungscenter auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden. Aktionen, die für Dateien oder ausführbare Dateien in anderen Ordnern ausgeführt wurden, können im Wartungscenter auf der Registerkarte „Verlauf“ überprüft werden.

Semi – require approval for non-temp folders remediation (Teilweise: Genehmigung für Wartung in nicht temporären Ordnern erforderlich)

Bei dieser Teilautomatisierung ist eine Genehmigung aller Wartungsaktionen für Dateien oder ausführbare Dateien erforderlich, die sich nicht in temporären Ordnern befinden.

Zu den temporären Ordnern gehören z. B. die folgenden:

  • \Benutzer*\appdata\local\temp*

  • \Dokumente und Einstellungen*\local settings\temp*

  • \Dokumente und Einstellungen*\local settings\temporary*

  • \windows\temp*

  • \Benutzer*\Downloads*

  • \Programme\

  • \Programme (x86)*

  • \Dokumente und Einstellungen*\Benutzer*

Für Dateien oder ausführbare Dateien in temporären Ordnern können Wartungsaktionen aber automatisch ausgeführt werden. Ausstehende Aktionen für Dateien oder ausführbare Dateien außerhalb der temporären Ordner können im Info-Center auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden. Aktionen, die für Dateien oder ausführbare Dateien in temporären Ordnern durchgeführt wurden, können im Info-Center auf der Registerkarte „Verlauf“ angezeigt und genehmigt werden.

No automated response (Keine automatisierte Reaktion)

Ohne Automatisierung wird auf den Geräten Ihrer Organisation keine automatisierte Untersuchung durchgeführt. Entsprechend werden auch keine Wartungsaktionen als Ergebnis einer automatisierten Untersuchung durchgeführt oder als ausstehend gekennzeichnet. Andere Schutzfunktionen gegen Bedrohungen, z. B. der Schutz vor potenziell unerwünschten Anwendungen, können jedoch aktiv sein. Dies hängt von der Konfiguration der Schutzfunktionen wie Antivirensoftware oder Funktionen der nächsten Generation ab.

Die Verwendung der Option ohne Automatisierung ist nicht empfehlenswert, da sich dadurch der Sicherheitsstatus der Geräte Ihrer Organisation verschlechtert. Es empfiehlt sich, die Automatisierungsebene auf vollständige Automatisierung (oder zumindest eine Teilautomatisierung) festzulegen.

Schnelles Konfigurieren der Wartungsebenen für Gerätegruppen

Eine weitere Möglichkeit zum Festlegen oder Bearbeiten der Wartungsebenen für Gerätegruppen finden Sie unter „Einstellungen“ > „Allgemein“ auf der Seite „Automatische Wartung“. Die Seite enthält eine Liste der Gerätegruppen mit ihrer derzeitigen Wartungsebene. Wählen Sie die Zeile aus, um die Wartungseinstellung anzupassen.