Zarządzanie automatycznymi badaniami

  • 3 min

Zarządzanie automatycznymi badaniami

Zespół ds. operacji zabezpieczeń otrzymuje alert za każdym razem, gdy usługa Microsoft Defender wykryje złośliwy lub podejrzany artefakt z punktu końcowego. Zespoły ds. operacji zabezpieczeń stoją przed wyzwaniami w rozwiązywaniu wielu alertów, które wynikają z pozornie niekończącego się przepływu zagrożeń. Ochrona punktu końcowego w usłudze Microsoft Defender obejmuje funkcje zautomatyzowanego badania i korygowania (AIR), które mogą pomóc zespołowi ds. operacji zabezpieczeń sprostać zagrożeniom wydajniej i skuteczniej.

Technologia w zautomatyzowanym badaniu korzysta z różnych algorytmów inspekcji i opiera się na procesach używanych przez analityków zabezpieczeń. Funkcje funkcji AIR są przeznaczone do sprawdzania alertów i podjęcia natychmiastowych działań w celu rozwiązania naruszeń. Możliwości funkcji AIR znacznie zmniejszają liczbę alertów, umożliwiając operacjom zabezpieczeń skupienie się na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości. Centrum akcji śledzi wszystkie badania, które zostały zainicjowane automatycznie, wraz ze szczegółami, takimi jak stan badania, źródło wykrywania i wszelkie oczekujące lub zakończone akcje.

Jak rozpoczyna się automatyczne badanie

Po wyzwoleniu alertu element playbook zabezpieczeń wchodzi w życie. W zależności od podręcznika zabezpieczeń można rozpocząć automatyczne badanie. Załóżmy na przykład, że na urządzeniu znajduje się złośliwy plik. Po wykryciu tego pliku zostanie wyzwolony alert i rozpocznie się zautomatyzowany proces badania. Ochrona punktu końcowego w usłudze Microsoft Defender sprawdza, czy złośliwy plik znajduje się na innych urządzeniach w organizacji. Szczegółowe informacje z dochodzenia, w tym werdykty (złośliwe, podejrzane i nie znaleziono zagrożeń) są dostępne podczas i po automatycznym dochodzeniu. Aby dowiedzieć się więcej o tym, co się stanie po osiągnięciu werdyktu, zobacz Zautomatyzowane wyniki badania i akcje korygowania.

Szczegóły zautomatyzowanego badania

Podczas i po zautomatyzowanym badaniu można wyświetlić szczegółowe informacje o badaniu. Wybierz alert wyzwalający, aby wyświetlić szczegóły badania. W tym miejscu możesz przejść do wykresu Badania, alertów, urządzeń, dowodów, jednostek i kart dzienników.

  • Alerty — alerty, które rozpoczęły badanie.

  • Urządzenia — urządzenia, na których wystąpiło zagrożenie.

  • Dowody — jednostki, które zostały uznane za złośliwe podczas dochodzenia.

  • Jednostki — szczegółowe informacje o każdej przeanalizowanej jednostce, w tym określenie dla każdego typu jednostki (złośliwe, podejrzane lub nie znaleziono żadnych zagrożeń).

  • Dziennik — chronologiczny, szczegółowy widok wszystkich akcji badania wykonywanych w alercie.

  • Oczekujące akcje — jeśli w wyniku badania istnieją jakiekolwiek akcje oczekujące na zatwierdzenie, zostanie wyświetlona karta Oczekujące akcje. Na karcie Oczekujące akcje można zatwierdzić lub odrzucić każdą akcję.

Jak automatyczne badanie rozszerza swój zakres

Podczas badania wszystkie inne alerty generowane z urządzenia są dodawane do trwającego zautomatyzowanego badania do momentu ukończenia tego badania. Ponadto, jeśli to samo zagrożenie jest widoczne na innych urządzeniach, te urządzenia są dodawane do badania.

Jeśli w innym urządzeniu jest widoczna jednostka obciążana, zautomatyzowany proces badania rozszerza jego zakres, aby uwzględnić to urządzenie, a ogólny podręcznik zabezpieczeń rozpoczyna się na tym urządzeniu. Jeśli podczas tego procesu rozszerzania znaleziono co najmniej dziesięć urządzeń z tej samej jednostki, ta akcja rozszerzenia wymaga zatwierdzenia i jest widoczna na karcie Oczekujące akcje.

Jak zagrożenia są korygowane

W miarę wyzwalania alertów i uruchamiania zautomatyzowanego badania werdykt jest generowany dla każdego badanego elementu dowodu. Werdykty mogą być złośliwe, podejrzane lub nie znaleziono żadnych zagrożeń.

Gdy osiągnięto werdykty, zautomatyzowane badania mogą spowodować co najmniej jedną akcję korygowania. Przykłady akcji korygowania obejmują wysyłanie pliku do kwarantanny, zatrzymywanie usługi, usuwanie zaplanowanego zadania i nie tylko. (Zobacz Akcje korygowania).

W zależności od poziomu automatyzacji ustawionego dla organizacji i innych ustawień zabezpieczeń akcje korygowania mogą być wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń. Inne ustawienia zabezpieczeń, które mogą mieć wpływ na automatyczne korygowanie, obejmują ochronę przed potencjalnie niechcianymi aplikacjami (PUA).

Wszystkie akcje korygowania, niezależnie od tego, czy oczekujące, czy zakończone, można wyświetlić w Centrum https://security.microsoft.comakcji . W razie potrzeby zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania.

Poziomy automatyzacji w funkcjach zautomatyzowanego badania i korygowania

Funkcje zautomatyzowanego badania i korygowania (AIR) w Ochrona punktu końcowego w usłudze Microsoft Defender można skonfigurować do jednego z kilku poziomów automatyzacji. Poziom automatyzacji ma wpływ na to, czy akcje korygowania po badaniach air są wykonywane automatycznie, czy tylko po zatwierdzeniu.

  • Pełna automatyzacja (zalecana) oznacza, że akcje korygowania są wykonywane automatycznie na artefaktach określonych jako złośliwe.

  • Semi-automation oznacza, że niektóre akcje korygowania są wykonywane automatycznie, ale inne akcje korygowania oczekują na zatwierdzenie przed podjęciem. (Zobacz tabelę w temacie Poziomy automatyzacji).

  • Wszystkie akcje korygowania, niezależnie od tego, czy oczekujące, czy zakończone, są śledzone w Centrum akcji

Poziom automatyzacji

Pełne — automatyczne korygowanie zagrożeń (nazywane również pełną automatyzacją)

Dzięki pełnej automatyzacji akcje korygowania są wykonywane automatycznie. Wszystkie podjęte akcje korygujące można wyświetlić w Centrum akcji na karcie Historia. W razie potrzeby można cofnąć akcję korygowania.

Semi — wymaga zatwierdzenia dla dowolnego korygowania (nazywanego również półautomatyzacją)

W przypadku tego poziomu półautomatyzowania wymagane jest zatwierdzenie dla każdej akcji korygowania. Takie oczekujące akcje można wyświetlać i zatwierdzać w Centrum akcji na karcie Oczekujące.

Semi — wymaga zatwierdzenia na potrzeby korygowania folderów podstawowych (również typu półautomatyzowania)

W przypadku tego poziomu półautomatyzowania wymagane jest zatwierdzenie wszelkich akcji korygujących wymaganych w plikach lub plikach wykonywalnych, które znajdują się w folderach podstawowych. Foldery podstawowe obejmują katalogi systemu operacyjnego, takie jak Windows (\windows*).

Akcje korygujące można wykonywać automatycznie w plikach lub plikach wykonywalnych, które znajdują się w innych folderach (innych niż podstawowe).

Oczekujące akcje dla plików lub plików wykonywalnych w folderach podstawowych można wyświetlać i zatwierdzać w Centrum akcji na karcie Oczekujące.

Akcje, które zostały wykonane na plikach lub plikach wykonywalnych w innych folderach, można wyświetlić w Centrum akcji na karcie Historia.

Semi — wymaga zatwierdzenia na potrzeby korygowania folderów innych niż tymczasowe (również typu półautomaty)

W przypadku tego poziomu częściowo automatyzacji wymagane jest zatwierdzenie wszelkich akcji korygujących wymaganych w plikach lub plikach wykonywalnych, które nie są w folderach tymczasowych.

Foldery tymczasowe mogą zawierać następujące przykłady:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

Akcje korygowania można podjąć automatycznie w plikach lub plikach wykonywalnych, które znajdują się w folderach tymczasowych.

Oczekujące akcje dla plików lub plików wykonywalnych, które nie znajdują się w folderach tymczasowych, można wyświetlać i zatwierdzać w Centrum akcji na karcie Oczekujące.

Akcje, które zostały wykonane na plikach lub plikach wykonywalnych w folderach tymczasowych, można wyświetlać i zatwierdzać w Centrum akcji na karcie Historia.

Brak automatycznej odpowiedzi (nazywanej również braką automatyzacji)

Bez automatyzacji automatyczne badanie nie jest uruchamiane na urządzeniach organizacji. W związku z tym żadne działania naprawcze nie są podejmowane ani oczekujące w wyniku zautomatyzowanego badania. Jednak inne funkcje ochrony przed zagrożeniami, takie jak ochrona przed potencjalnie niechcianymi aplikacjami, mogą mieć zastosowanie w zależności od sposobu konfigurowania funkcji ochrony antywirusowej i następnej generacji.

Użycie opcji bez automatyzacji nie jest zalecane, ponieważ zmniejsza stan zabezpieczeń urządzeń organizacji. Rozważ skonfigurowanie poziomu automatyzacji do pełnej automatyzacji (lub co najmniej częściowej automatyzacji).

Ważne kwestie dotyczące poziomów automatyzacji

Pełna automatyzacja okazała się niezawodna, wydajna i bezpieczna i jest zalecana dla wszystkich klientów. Pełna automatyzacja zwalnia krytyczne zasoby zabezpieczeń, dzięki czemu mogą skupić się bardziej na strategicznych inicjatywach. Jeśli zespół ds. zabezpieczeń zdefiniował grupy urządzeń z poziomem automatyzacji, te ustawienia nie zostaną zmienione przez nowe ustawienia domyślne, które są wdrażane.