管理自動化調查

  • 3 分鐘

管理自動化調查

當 Microsoft Defender 偵測到來自端點的惡意或可疑成品時,您的安全性作業小組就會收到警示。 安全性作業小組面臨的挑戰,就是解決看似永遠不會終止的威脅所引發的許多警示。 適用於端點的 Microsoft Defender 包含自動化調查和補救 (AIR) 功能,可協助安全性作業小組更有效率且更有效地解決威脅。

自動化調查中的技術使用各種檢查演算法,並以安全性分析師使用的程序為依據。 AIR 功能旨在檢查警示並立即採取動作解决違規問題。 AIR 功能顯著降低了警示量,使安全性作業能够集中於更複雜的威脅和其他高價值方案。 控制中心會持續追蹤已自動起始的所有調查以及詳細資料,例如調查狀態、偵測來源,以及任何擱置或已完成的動作。

自動化調查如何開始

觸發警示時,安全性劇本即會生效。 根據安全性劇本,開始啟動自動化調查。 例如,假設裝置上有一個惡意檔案。 當偵測到此檔案時,就會觸發警示,開始進行自動化調查程序。 適用於端點的 Microsoft Defender 會檢查組織中的任何其他裝置上是否有惡意檔案。 您可在自動化調查期間和之後查看來自調查的詳細資料,包括判定結果 (「惡意」、「可疑」以及「查無威脅」)。 若要深入了解得出判定結果後會發生什麼事,請參閱<自動化調查結果和補救動作>。

自動化調查的詳細資料

在自動化調查期間和之後,您可以檢視調查的詳細資料。 選取觸發警示以檢視調查詳細資料。 您可以從該處移至 [調查圖表]、[警示]、[裝置]、[辨識項]、[實體] 和 [記錄] 索引標籤。

  • [警示] - 啟動調查的警示。

  • [裝置] - 發現威脅的裝置。

  • [辨識項] - 調查期間發現為惡意實體。

  • [實體] - 每個已分析的實體詳細資料,包括每個實體類型的判斷 (惡意、可疑或查無威脅)。

  • [記錄] - 對警示採取的所有調查動作,按時間排列的詳細檢視。

  • [擱置動作] - 如果有任何動作等待核准以作為調查的結果,就會顯示 [擱置動作] 索引標籤。 在 [擱置動作] 索引標籤上,您可以核准或拒絕每個動作。

自動化調查如何擴展其範圍

在調查執行期間,從裝置產生的任何其他警示都會新增至進行中的自動化調查,直到調查完成為止。 此外,如果在其他裝置上看到相同的威脅,則會將這些裝置新增至調查。

如果在其他裝置中看到受牽連的實體,自動化調查程序會擴展其範圍以包含該裝置,在該裝置上啟動一般安全性劇本。 如果在這個擴展的過程中,從相同的實體找到十部以上的裝置,則該擴展動作即需要核准,而且會顯示在 [擱置動作] 索引標籤上。

如何補救威脅

當警示被觸發且自動化調查開始執行時,每件調查的辨識項都會產生判定結果。 判定結果可能是「惡意」、「可疑」或「查無威脅」。

得出判定結果後,自動化調查會引出一或多個補救動作。 補救動作的範例包括將檔案傳送至隔離區、停止服務、移除已排程的工作等等。 (請參閱<補救動作>。)

根據您組織設定的自動化層級,以及其他安全性設定,補救動作可能會自動執行,或只在安全性作業小組核准時執行。 其他會影響自動補救的安全性設定,包括防止可能的垃圾應用程式 (PUA)。

您可在控制中心 https://security.microsoft.com 檢視所有補救動作 (無論擱置或已完成)。 必要時,您的安全性作業小組可以復原補救動作。

自動化調查和補救功能的自動化層級

您可以將適用於端點的 Microsoft Defender 的自動化調查和補救 (AIR) 功能,設定為數個自動化層級的其中一個。 您的自動化層級會影響接在 AIR 調查之後的補救動作是自動執行,還是只在核准後執行。

  • 完全自動化 (建議) 表示成品一經判斷具有惡意,即自動採取補救動作。

  • 半自動化表示有些補救動作會自動執行,有些則要等待核准才會執行。 (請參閱自動化層級資料表。)

  • 您可在控制中心追蹤所有補救動作 (無論擱置或已完成)

自動化層級

完整 - 自動修復威脅 (也稱為完全自動化)

若選取完全自動化,系統將自動執行補救動作。 您可以在控制中心的 [歷程記錄] 索引標籤中,查看已採取的所有補救動作。如有必要,可復原補救動作。

半自動 - 需要核准才可進行補救 (也稱為「半自動化)

若選取此層級的半自動化,則所有補救動作都必須取得核准。 您可以在 [控制中心] 的 [擱置] 索引標籤中,查看及核准這類擱置動作。

半自動 - 需要核准才可進行核心資料夾補救 (半自動化的其中一種)

若選取此層級的半自動化,對核心資料夾中檔案或可執行檔所需的所有補救動作都必須取得核准。 核心資料夾包含作業系統目錄,例如:Windows (\windows*)。

您可以針對位於其他 (非核心) 資料夾中的檔案或可執行檔,自動執行補救動作。

您可以在控制中心的 [擱置] 索引標籤上,檢視及核准核心資料夾中的檔案或可執行檔的擱置動作。

您可以在控制中心的 [歷程記錄] 索引標籤中,檢視對其他資料夾中檔案或可執行檔所採取的動作。

半自動 - 需要核准才可進行非暫存資料夾補救 (半自動化的其中一種)

若選取此層級的半自動化,則要先取得核准,才可針對不在暫存資料夾中的檔案或可執行檔進行所需的任何補救動作。

暫存資料夾包含下列範例:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

您可以針對位於暫存資料夾中的檔案或可執行檔,自動執行補救動作。

您可以在控制中心的 [擱置] 索引標籤上,檢視及核准不在暫存資料夾中檔案或可執行檔的擱置動作。

您可以在控制中心的 [歷程記錄] 索引標籤中,檢視及核准對暫存資料夾中檔案或可執行檔所採取的動作。

無自動化回應 (也稱為「無自動化」)

若選取無自動化,自動化調查便不會在您組織的裝置上執行。 因此,不會有因自動化調查而採取的任何補救動作或擱置。 不過,視您的防毒軟體和新一代保護功能的設定方式而定,可能會有其他作用中的威脅防護功能 (例如潛在垃圾應用程式的保護)。

不建議使用 [無自動化] 選項,因其可能會降低組織裝置的安全性狀態。 請考慮將自動化層級設為完全自動化 (或至少設為半自動化)。

自動化層級的要點

完全自動化已證明是可靠、有效率且安全的,且建議所有客戶使用。 完全自動化會釋出重要的安全性資源,使其更專注於您的策略性計畫。 如果您的安全性小組定義了具有自動化層級的裝置群組,則這些設定不會被即將推出的新預設設定所變更。