Управление автоматизированными исследованиями

  • 3 мин

Управление автоматизированными исследованиями

Ваша группа операций безопасности получает оповещение всякий раз, когда Microsoft Defender обнаруживает вредоносный или подозрительный артефакт из конечной точки. Группам обеспечения информационной безопасности довольно сложно обрабатывать большое количество оповещений, возникающих из-за постоянного потока угроз, который может показаться бесконечным. Microsoft Defender для конечной точки включает возможности автоматического исследования и исправления (AIR), которые помогают группе обеспечения информационной безопасности повысить эффективность устранения угроз.

Технология автоматического исследования использует различные алгоритмы проверки и основана на процессах, используемых аналитиками безопасности. Возможности AIR направлены на проверку оповещений и совершение немедленных действий для устранения нарушений. Они значительно сокращают объем предупреждений, позволяя экспертам по операциям безопасности сосредоточиться на более изощренных угрозах и других важных задачах. Центр действий отслеживает все исследования, которые были инициированы автоматически, а также содержит сведения, такие как состояние исследования, источник обнаружения и любые действия, ожидающие выполнения, или завершенные действия.

Запуск автоматического исследования

После срабатывания оповещения применяется сборник схем безопасности. В зависимости от сборника схем безопасности может запуститься автоматическое исследование. Например, предположим, что на устройстве находится вредоносный файл. При обнаружении этого файла срабатывает оповещение, после чего начинается процесс автоматического исследования. Microsoft Defender для конечной точки проверяет наличие этого вредоносного файла на других устройствах в организации. Сведения из расследования, в том числе решения (вредоносный файл, подозрительный файл и отсутствие угроз), доступны во время автоматического исследования и после него. Дополнительные сведения о том, что происходит после получения решения, представлены в разделе "Результаты автоматического исследования и действия по исправлению".

Сведения об автоматическом исследовании

Во время автоматического исследования и после него можно просмотреть сведения об исследовании. Выберите сработавшее оповещение, чтобы просмотреть сведения об исследовании. Здесь можно перейти на вкладки "Граф исследования", "Оповещения", "Устройства", "Свидетельство", "Объекты" и "Журнал".

  • Оповещения — сработавшие оповещения, которые послужили причиной запуска исследования.

  • Устройства — список устройств, на которых наблюдалась угроза.

  • Свидетельство — объекты, которые были определены как вредоносные во время исследования.

  • Объекты — подробные сведения о каждом проанализированном объекте, включая определение типа каждого объекта (вредоносный, подозрительный и отсутствие угроз).

  • Журнал — хронологическое и подробное представление всех действий по исследованию, выполненных в связи с оповещением.

  • Ожидающие действия — при наличии каких-либо действий, ожидающих утверждения в результате исследования, отображается вкладка "Ожидающие действия". На вкладке "Ожидающие действия" можно утвердить или отклонить каждое действие.

Расширение области автоматического исследования

Пока выполняется исследование, все оповещения, создаваемые на устройстве, будут добавляться к текущему автоматическому исследованию до его завершения. Кроме того, если на других устройствах встречается та же угроза, они добавляются к исследованию.

Если объект, который послужит причиной срабатывания оповещения, найден на другом устройстве, процесс автоматического исследования расширяет область и включает в нее это устройство, и на этом устройстве запускается общий сборник схем по безопасности. Если в процессе расширения области найдено десять или более устройств, то для этого действия расширения требуется утверждение, и это указывается на вкладке "Ожидающие действия".

Устранение угроз

После срабатывания оповещений и запуска автоматического исследования создается решение для каждого обнаруженного свидетельства. Решения могут быть следующими — "Вредоносный", "Подозрительный" и "Угрозы не найдены".

По мере достижения решений автоматическое расследование может привести к одному или нескольким действиям по исправлению. К примерам действий по исправлению относятся помещение файла на карантин, остановка службы, удаление запланированной задачи и многое другое. (См. раздел "Действия по исправлению".)

В зависимости от уровня автоматизации, установленного для организации, а также других параметров безопасности, действия по исправлению могут выполняться автоматически или только после утверждения вашей группой обеспечения информационной безопасности. Другие параметры безопасности, которые могут повлиять на автоматическое исправление, включают защиту от потенциально нежелательных приложений (PUA).

Все действия по исправлению, как ожидающие, так и завершенные, можно просмотреть в центре уведомлений по адресу https://security.microsoft.com. При необходимости ваша группа обеспечения информационной безопасности может отменить действие по исправлению.

Уровни автоматизации в автоматическом исследовании и возможности исправления

Возможности автоматического исследования и исправления (AIR) в Microsoft Defender для конечной точки можно настроить на выполнение в одном из нескольких уровней автоматизации. Уровень автоматизации влияет на способ выполнения действий по исправлению после исследований AIR — автоматически или только после утверждения.

  • Полная автоматизация (рекомендуется) означает, что действия по исправлению для артефактов, определенных как вредоносные, выполняются автоматически.

  • Частичная автоматизация означает, что некоторые действия по исправлению выполняются автоматически, тогда как другие действия необходимо утверждать. (См. раздел "Уровни автоматизации".)

  • Все действия по исправлению, как ожидающие, так и завершенные, можно отследить в центре уведомлений.

Уровни автоматизации

Полный — автоматическое устранение угроз (также называемое полной автоматизацией)

При полной автоматизации действия по исправлению выполняются автоматически. Все выполняемые действия по исправлению можно просмотреть в центре уведомлений на вкладке "Журнал". При необходимости действие исправления можно отменить.

Частичная автоматизация — для выполнения любого действия по исправлению требуется утверждение

На этом уровне требуется утверждение для любого действия по исправлению. Такие ожидающие действия можно просмотреть и утвердить в центре уведомлений на вкладке "Ожидающие".

Частичная автоматизация — для исправления основных папок требуется утверждение

На этом уровне частичной автоматизации требуется утверждение всех действий по исправлению, которые необходимо выполнить в отношении файлов или исполняемых объектов, которые находятся в основных папках. К основным папкам относятся каталоги операционной системы, например Windows (\windows*).

Действия по исправлению в отношении файлов или исполняемых объектов, которые находятся в других (неосновных) папках, могут выполняться автоматически.

Ожидающие действия для файлов или исполняемых объектов в основных папках можно просмотреть и утвердить в центре уведомлений на вкладке "Ожидающие".

Действия, которые были выполнены в отношении файлов или исполняемых объектов в других папках, можно просмотреть в центре уведомлений на вкладке "История".

Частичное требование утверждения для исправления не являющихся временными папок (также тип частичной автоматизации)

На этом уровне частичной автоматизации требуется утверждение всех действий по исправлению, необходимых для файлов или исполняемых объектов, которые не находятся во временных папках.

Примеры временных папок

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

Действия по исправлению в отношении файлов или исполняемых объектов, которые находятся во временных папках, могут выполняться автоматически.

Ожидающие действия для файлов или исполняемых объектов в папках, которые не являются временными, можно просмотреть и утвердить в центре уведомлений на вкладке "Ожидающие".

Действия, которые были выполнены для файлов или исполняемых объектов во временных папках, можно просмотреть в центре действий на вкладке History.

Без автоматизации

При выборе этого уровня автоматическое исследование на устройствах вашей организации не выполняется. В результате не выполняется и не ожидается никаких действий по исправлению в результате автоматического исследования. Однако в зависимости от того, как настроены антивирусная программа и функции защиты нового поколения, могут применяться и другие функции защиты от угроз, такие как защита от потенциально нежелательных приложений.

Использовать этот вариант не рекомендуется, поскольку это снижает уровень безопасности устройств организации. Рекомендуется выбрать полную автоматизацию (или по крайней мере частичную автоматизацию).

Важные моменты, касающиеся уровней автоматизации

Полная автоматизация является надежной, эффективной и безопасной. Этот уровень рекомендуется для всех клиентов. Полная автоматизация позволяет освободить критически важные ресурсы службы безопасности, чтобы они могли сосредоточиться на решении стратегических задач. Если ваша группа обеспечения информационной безопасности определила группы устройств с уровнем автоматизации, эти параметры не переопределяются новыми параметрами по умолчанию, которые развертываются.