共用方式為

自動化調查與補救功能的自動化層級

  • 適用於: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

適用於企業的 Microsoft Defender 中 AIR) 功能的自動調查和修復 (是預先設定的,無法設定。 在適用於端點的 Microsoft Defender 中,您可以將 AIR 設定為數個自動化層級之一。 您的自動化層級會影響 AIR 調查後的補救動作是自動執行,還是僅在核准後執行。

  • 建議 (完全自動化) 表示會自動對判斷為惡意的成品採取補救動作。 (適用於企業的 Defender.) 中預設設定完全自動化
  • 半自動化表示 會自動採取某些補救動作,但其他補救動作需要等待核准才能採取。 (請參閱 自動化層級中的表格 )
  • 所有補救動作,無論是擱置中還是已完成,都會在控制中心 (https://security.microsoft.com) 中追蹤。

提示

為了獲得最佳結果,建議您在 設定 AIR 時使用完全自動化。 過去一年收集和分析的數據顯示,使用完全自動化的客戶比使用較低自動化等級的客戶刪除的高置信度惡意軟體樣本多 40%。 完全自動化可協助釋放您的安全性作業資源,以更專注於您的策略計劃。

注意事項

適用於端點的 Defender 方案 1 和方案 2 支援裝置群組建立。

自動化等級

自動化等級 描述
完整 - 自動補救威脅
(也稱為 全自動化) 		透過完全自動化,修復動作會自動對被視為惡意的實體執行。 所有採取的補救動作都可以在 [記錄] 索引標籤的 [控制中心] 中檢視。如有必要,可以復原補救動作。

建議使用完整自動化 ,而且預設會針對在 2020 年 8 月 16 日或之後建立的適用於端點的 Defender 租用戶選取,且尚未定義任何裝置群組。

預設會在適用於企業的 Defender 中設定完全自動化。
半 - 需要核准所有資料夾
(也稱為 半自動化) 		透過此層級的半自動化,所有檔案的補救動作都需要核准。 您可以在 [控制中心] 的 [ 擱置] 索引標籤上檢視和核准這類擱置中的動作。擱置中的動作會在 7 天後逾時。 如果動作逾時,則行為與動作遭到拒絕相同。

預設會針對 2020 年 8 月 16 日之前使用 適用於端點的 Microsoft Defender 建立的租用戶選取此層級的半自動化,且未定義任何裝置群組。
半 - 需要核准才能修復核心資料夾
(也是一種 半自動化) 		透過此層級的半自動化,核心資料夾中的檔案或可執行檔所需的任何補救動作都需要核准。 核心資料夾包括作業系統目錄,例如 Windows (\windows\*) 。

補救動作可以自動對其他 (非核心) 資料夾中的檔案或執行檔執行。

核心資料夾中檔案或執行檔的擱置動作可以在 控制中心的置索引 標籤上檢視和核准。

您可以在 [記錄] 索引標籤上的 [控制中心] 中檢視對其他資料夾中的檔案或可執行檔採取的動作。
半 - 需要核准非暫時資料夾補救
(也是一種 半自動化) 		使用這種半自動化層級時,對不在暫存資料夾中的檔案或可執行檔所需的任何補救動作都需要核准。

暫存資料夾可以包含下列範例:

  • \users\*\appdata\local\temp\*
  • \documents and settings\*\local settings\temp\*
  • \documents and settings\*\local settings\temporary\*
  • \windows\temp\*
  • \users\*\downloads\*
  • \program files\
  • \program files (x86)\*
  • \documents and settings\*\users\*

補救動作可以對暫存資料夾中的檔案或執行檔自動執行。

您可以在 [擱置] 索引標籤上的 [控制中心] 中檢視和核准不在暫存資料夾中的檔案或可執行檔的擱置動作。

對暫存資料夾中的檔案或可執行檔採取的動作,可以在 [記錄] 索引標籤上的 [控制中心] 中檢視和核准。
沒有自動回應
(也稱為 無自動化) 		如果沒有自動化,自動化調查就不會在組織的裝置上執行。 因此,不會採取任何補救動作,或因為自動調查而擱置任何補救動作。 不過,其他威脅防護功能 (例如 針對潛在有害應用程式的防護) 可能會生效,具體取決於防毒軟體和新一代防護功能的設定方式。

* 不建議使用 無自動化 選項,因為它會降低組織裝置的安全狀態。 考慮將自動化級別設置為完全自動化 (或至少半自動化)

關於自動化層級的要點

  • 事實證明,全自動化是可靠、高效和安全的,推薦給所有客戶。 完全自動化可釋放您的關鍵安全資源,以便他們可以更專注於您的策略計劃。

  • 新租用戶 (包括在 2020 年 8 月 16 日或之後建立的租用戶,) 適用於端點的 Defender 預設會設定為完全自動化。

  • 適用於企業的 Defender 預設會使用完全自動化。 適用於企業的 Defender 使用裝置群組的方式與適用於端點的 Defender 不同。 因此,會開啟完全自動化,並套用至適用於企業的 Defender 中的所有裝置。

  • 如果您的安全團隊已定義具有自動化層級的裝置群組,則正在推出的新預設設定不會變更這些設定。

  • 您可以保留預設的自動化設定,或根據您的組織需求進行變更。 若要變更設定, 請設定自動化層級

注意事項

適用於企業的 Defender 依賴自動調查的即時保護。 必須啟用即時保護並處於作用中模式,才能啟用自動調查。

後續步驟

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on