管理自动调查

  • 3 分钟

管理自动调查

每当 Microsoft Defender 检测到来自终结点的恶意或可疑项目时,安全运营团队就会收到警报。 安全运营团队面临的挑战是,要解决看似永无止境的威胁流中产生的大量警报。 Microsoft Defender for Endpoint 具有自动调查和修正 (AIR) 功能,可帮助安全运营团队更高效、更有效地解决威胁。

自动调查中的技术使用各种检查算法,并基于安全分析人员使用的流程。 AIR 功能旨在检查警报并立即采取措施来解决违规问题。 AIR 功能明显减少了警报量,使安全运营人员能够专注于更复杂的威胁和其他高价值的计划。 操作中心持续跟踪自动启动的所有调查及其详细信息,例如调查状态、检测源以及任何挂起或已完成的操作。

自动调查的启动方式

触发警报时,安全 playbook 便会生效。 根据安全 playbook,可以开始进行自动调查。 例如,假设恶意文件驻留在某台设备上。 检测到该文件时,将触发警报,并开始执行自动调查过程。 Microsoft Defender for Endpoint 会检查该恶意文件是否存在于组织中的任何其他设备上。 在自动调查期间和之后,可以获得调查的详细信息,包括裁定(“恶意”、“可疑”和“未发现威胁”)。 若要详细了解在获得裁定后发生的情况,请参阅自动调查结果和修正操作。

自动调查的详细信息

在自动调查过程期间和之后,可以查看有关调查的详细信息。 选择触发警报以查看调查详细信息。 可以从此处转到调查关系图、“警报”、“设备”、“证据”、“实体”和“日志”选项卡。

  • 警报 - 启动调查的警报。

  • 设备 - 出现威胁的设备。

  • 证据 - 在调查过程中发现的具有恶意的实体。

  • 实体 - 有关每个已分析实体的详细信息,包括确定每个实体的类型(“恶意”、“可疑”和“未发现威胁”)。

  • 日志 - 对警报采取的所有调查操作的详细视图(按时间顺序排列)。

  • 挂起的操作 - 如果有任何操作因调查而等待批准,则会显示“挂起的操作”选项卡。 在“挂起的操作”选项卡上,可以批准或拒绝每个操作。

自动调查如何扩大其范围

调查正在运行时,从设备生成的任何其他警报将添加到正在进行的自动调查中,直到该调查完成。 此外,如果在其他设备上出现相同的威胁,则会将这些设备添加到调查中。

如果在另一台设备中看到被指控的实体,自动调查过程会扩大其范围,将该设备包括在内,并在该设备上启动一个通用安全 playbook。 如果此扩大过程中发现来自同一实体的十台或更多设备,则该扩大操作需要获得批准,并且在“挂起的操作”选项卡上可见。

如何修正威胁

当触发警报并运行自动调查时,将为调查的每个证据生成一个裁定。 裁定可能为“恶意”、“可疑”或“未发现威胁”。

作出裁定后,自动调查会导致一项或多项修正操作。 修正操作的示例包括将文件发送到隔离区、停止服务、删除计划任务等。 (请参阅修正操作。)

修正操作可以自动发生,也可以仅在安全运营团队批准的情况下进行,具体取决于为组织设置的自动化级别以及其他安全设置。 可能影响自动修正的其他安全设置包括对可能不需要的应用程序 (PUA) 的防护。

所有修正操作(无论是挂起还是已完成)都可以在操作中心 https://security.microsoft.com 进行查看。 如有必有,安全运营团队可以撤消修正操作。

自动调查和修正功能中的自动化级别

Microsoft Defender for Endpoint 中的自动调查和修正 (AIR) 功能可以配置为多个自动化级别之一。 自动化级别影响 AIR 调查后的修正操作是自动进行,还是仅在批准后才进行。

  • 完全自动化(推荐)意味着对确定为恶意的项目自动执行修正操作。

  • 半自动化意味着自动执行某些修正操作,但其他修正操作在执行之前需要等待批准。 (请参阅自动化级别中的表。)

  • 所有修正操作(无论是挂起还是已完成)都可以在操作中心进行跟踪

自动化级别

完全 - 自动修正威胁(也称为完全自动化)

使用完全自动化可自动执行修正操作。 可在“操作中心”的“历史记录”选项卡上查看所采取的修正措施。如有必要,可撤消修正操作。

半自动 - 修正都需要批准(也称为半自动化)

如果使用这种半自动化级别,任何修正操作都需要获得批准。 在操作中心的“挂起”选项卡上,可查看和批准这类挂起的操作。

半自动 - 核心文件夹修正需要批准(也是半自动化类型)

如果使用这种半自动化级别,对核心文件夹中的文件或可执行文件进行所需的任何修正操作都需要获得批准。 核心文件夹包括操作系统目录,例如 Windows (\windows*)。

对于其他(非核心)文件夹中的文件或可执行文件,可以自动执行修正操作。

在操作中心的“挂起”选项卡上,可以查看和批准对核心文件夹中的文件或可执行文件的挂起操作。

在操作中心的“历史记录”选项卡上,可以查看对其他文件夹中的文件或可执行文件执行的操作。

半自动 - 对于非临时文件夹修正需要获得批准(也是一种半自动化)

如果使用这种半自动化级别,对临时文件夹中不包含的文件或可执行文件执行所需的任何修正操作都需要获得批准。

临时文件夹可包括以下示例:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

对于临时文件夹中的文件或可执行文件,可自动执行修正操作。

在操作中心的“挂起”选项卡上,可查看和批准对临时文件夹中不包含的文件或可执行文件的挂起操作。

在操作中心的“历史记录”选项卡上,可以查看和批准对临时文件夹中的文件或可执行文件执行的操作。

无自动响应(也称为无自动化)

如果使用无自动化,不会在组织的设备上运行自动调查。 因此,自动调查不会执行,也不会挂起任何修正操作。 但是,其他威胁防护功能(例如防御可能不需要的应用程序)可有效地执行,具体取决于防病毒软件和下一代防护功能的配置方式。

建议不要使用“无自动化”选项,因为它会降低组织设备的安全状况。 请考虑将自动化级别设置为完全自动化(或至少半自动化)。

有关自动化级别的要点

完全自动化经证实具有可靠、高效和安全的特点,建议所有客户使用。 完全自动化可释放关键安全资源,让他们将更多精力放在战略计划中。 如果安全团队已定义具有自动化级别的设备组,则新推出的默认设置将不会更改这些设置。