Hantera automatiserade undersökningar

  • 3 minuter

Hantera automatiserade undersökningar

Ditt säkerhetsteam får en avisering när Microsoft Defender identifierar en skadlig eller misstänkt artefakt från en slutpunkt. Säkerhetsteam står inför utmaningar när det gäller att hantera de många aviseringar som uppstår från det till synes oändliga flödet av hot. Microsoft Defender för Endpoint innehåller funktioner för automatiserad undersökning och reparation (AIR) som kan hjälpa ditt säkerhetsteam att hantera hot effektivare och effektivare.

Tekniken i automatiserad undersökning använder olika inspektionsalgoritmer och baseras på processer som används av säkerhetsanalytiker. AIR-funktionerna är utformade för att undersöka aviseringar och vidta omedelbara åtgärder för att lösa överträdelser. AIR-funktionerna minskar avsevärt aviseringsvolymen, vilket gör att säkerhetsåtgärder kan fokusera på mer avancerade hot och andra värdefulla initiativ. Åtgärdscentret håller reda på alla undersökningar som initierades automatiskt, tillsammans med information, till exempel undersökningsstatus, identifieringskälla och eventuella väntande eller slutförda åtgärder.

Så här startar den automatiserade undersökningen

När en avisering utlöses träder en säkerhetsspelbok i kraft. Beroende på säkerhetsspelboken kan en automatiserad undersökning starta. Anta till exempel att en skadlig fil finns på en enhet. När filen identifieras utlöses en avisering och den automatiserade undersökningsprocessen påbörjas. Microsoft Defender för Endpoint kontrollerar om den skadliga filen finns på andra enheter i organisationen. Information från undersökningen, inklusive domar (skadliga, misstänkta och inga hot hittades) är tillgängliga under och efter den automatiserade undersökningen. Mer information om vad som händer när en dom har nåtts finns i Automatiserade undersökningsresultat och reparationsåtgärder.

Information om en automatiserad undersökning

Under och efter en automatiserad undersökning kan du visa information om undersökningen. Välj en utlösande avisering för att visa undersökningsinformationen. Därifrån kan du gå till fliken Undersökningsdiagram, Aviseringar, Enheter, Bevis, Entiteter och Logg.

  • Aviseringar – aviseringarna som startade undersökningen.

  • Enheter – de enheter där hotet sågs.

  • Bevis – De entiteter som befanns vara skadliga under en undersökning.

  • Entiteter – Information om varje analyserad entitet, inklusive en bestämning för varje entitetstyp (Skadlig, Misstänkt eller Inga hot hittades).

  • Log – Den kronologiska, detaljerade vyn över alla undersökningsåtgärder som vidtagits i aviseringen.

  • Väntande åtgärder – Om det finns åtgärder som väntar på godkännande till följd av undersökningen visas fliken Väntande åtgärder. På fliken Väntande åtgärder kan du godkänna eller avvisa varje åtgärd.

Så här utökar en automatiserad undersökning dess omfång

Medan en undersökning körs läggs alla andra aviseringar som genereras från enheten till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessutom dessa enheter till i undersökningen.

Om en komprometterad entitet visas på en annan enhet utökar den automatiserade undersökningsprocessen dess omfång till att omfatta den enheten, och en allmän säkerhetsspelbok startar på den enheten. Om tio eller fler enheter hittas under den här expansionsprocessen från samma entitet kräver den expansionsåtgärden godkännande och visas på fliken Väntande åtgärder.

Hur hot åtgärdas

När aviseringar utlöses och en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara skadliga, misstänkta eller inga hot som hittas.

När utfallet har nåtts kan automatiserade undersökningar resultera i en eller flera reparationsåtgärder. Exempel på reparationsåtgärder är att skicka en fil i karantän, stoppa en tjänst, ta bort en schemalagd aktivitet med mera. (Se Reparationsåtgärder.)

Beroende på vilken automatiseringsnivå som har angetts för din organisation och andra säkerhetsinställningar kan reparationsåtgärder utföras automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam. Andra säkerhetsinställningar som kan påverka automatisk reparation är skydd mot potentiellt oönskade program (PUA).

Alla reparationsåtgärder, oavsett om de är väntande eller slutförda, kan visas i Åtgärdscenter https://security.microsoft.com. Om det behövs kan ditt säkerhetsteam ångra en reparationsåtgärd.

Automatiseringsnivåer i funktioner för automatiserad undersökning och reparation

Funktioner för automatiserad undersökning och reparation (AIR) i Microsoft Defender för Endpoint kan konfigureras till en av flera automatiseringsnivåer. Automatiseringsnivån påverkar om reparationsåtgärder efter AIR-undersökningar utförs automatiskt eller endast efter godkännande.

  • Fullständig automatisering (rekommenderas) innebär att reparationsåtgärder vidtas automatiskt på artefakter som bedöms vara skadliga.

  • Halvautomatisering innebär att vissa reparationsåtgärder vidtas automatiskt, men andra reparationsåtgärder väntar på godkännande innan de vidtas. (Se tabellen i Automatiseringsnivåer.)

  • Alla reparationsåtgärder, oavsett om de är väntande eller slutförda, spåras i Åtgärdscenter

Automatiseringsnivåer

Fullständig – åtgärda hot automatiskt (kallas även fullständig automatisering)

Med fullständig automatisering utförs reparationsåtgärder automatiskt. Alla åtgärder som vidtas kan visas i Åtgärdscenter på fliken Historik. Om det behövs kan en reparationsåtgärd ångras.

Semi – kräver godkännande för eventuella åtgärder (kallas även halvautomatisering)

Med den här nivån av halvautomatisering krävs godkännande för alla reparationsåtgärder. Sådana väntande åtgärder kan visas och godkännas i Åtgärdscenter på fliken Väntar.

Semi – kräver godkännande för reparation av kärnmappar (även en typ av halvautomatisering)

Med den här nivån av halvautomatisering krävs godkännande för eventuella reparationsåtgärder som krävs för filer eller körbara filer som finns i kärnmappar. Kärnmappar omfattar operativsystemkataloger, till exempel Windows (\windows*).

Reparationsåtgärder kan vidtas automatiskt på filer eller körbara filer som finns i andra (icke-kärniga) mappar.

Väntande åtgärder för filer eller körbara filer i kärnmappar kan visas och godkännas i Åtgärdscenter på fliken Väntar.

Åtgärder som har vidtagits på filer eller körbara filer i andra mappar kan visas i Åtgärdscenter på fliken Historik.

Semi – kräver godkännande för reparation av icke-temp-mappar (även en typ av halvautomatisering)

Med den här nivån av halvautomatisering krävs godkännande för eventuella reparationsåtgärder som krävs för filer eller körbara filer som inte finns i temporära mappar.

Temporära mappar kan innehålla följande exempel:

  • \users*\appdata\local\temp*

  • \dokument och inställningar*\lokala inställningar\temp*

  • \dokument och inställningar*\lokala inställningar\temporära*

  • \windows\temp*

  • \users*\downloads*

  • \programfiler\

  • \programfiler (x86)*

  • \dokument och inställningar*\användare*

Reparationsåtgärder kan utföras automatiskt på filer eller körbara filer som finns i temporära mappar.

Väntande åtgärder för filer eller körbara filer som inte finns i temporära mappar kan visas och godkännas i Åtgärdscenter på fliken Väntar.

Åtgärder som har vidtagits på filer eller körbara filer i temporära mappar kan visas och godkännas i Åtgärdscenter på fliken Historik.

Inget automatiserat svar (kallas även ingen automatisering)

Utan automatisering körs inte den automatiserade undersökningen på organisationens enheter. Därför vidtas eller väntar inga reparationsåtgärder till följd av en automatiserad undersökning. Andra funktioner för skydd mot hot, till exempel skydd mot potentiellt oönskade program, kan dock gälla, beroende på hur dina antivirus- och nästa generations skyddsfunktioner konfigureras.

Vi rekommenderar inte att du använder alternativet ingen automatisering eftersom det minskar säkerhetsstatusen för organisationens enheter. Överväg att konfigurera automatiseringsnivån till fullständig automatisering (eller åtminstone halvautomatisering).

Viktiga punkter om automatiseringsnivåer

Fullständig automatisering har visat sig vara tillförlitlig, effektiv och säker och rekommenderas för alla kunder. Fullständig automatisering frigör dina kritiska säkerhetsresurser så att de kan fokusera mer på dina strategiska initiativ. Om ditt säkerhetsteam har definierat enhetsgrupper med en automatiseringsnivå ändras inte dessa inställningar av de nya standardinställningarna som lanseras.