Microsoft Defender 全面偵測回應中的自動調查與回應

如果您的組織正在使用 Microsoft Defender 全面偵測回應，當偵測到惡意或可疑活動或瑕疵時，您的安全營運團隊會在 Microsoft Defender 入口網站中收到警示。 鑑於看似永無止境的威脅湧入，資安團隊經常面臨應對大量警報的挑戰。 幸運的是，Microsoft Defender 全面偵測回應包含自動化調查與回應 AIR) (能力，能協助您的安全運營團隊更有效率且有效地應對威脅。

本文提供AIR的概述，並附有後續步驟及額外資源連結。

自動化調查和自我修復的運作方式

當安全性警示觸發時，您的安全性作業小組將會了解這些警示，並採取步驟保護貴組織。 優先處理和調查警示可能會非常耗時，特別是在調查進行時新警示持續出現。 安全性作業小組可能會對必須監控和防範的龐大威脅感到不知所措。 Microsoft Defender 全面偵測回應的自動調查與回應功能，具備自我修復功能，能提供協助。

觀看以下影片，了解自我療癒的運作方式：

在Microsoft Defender 全面偵測回應，具備自我修復功能的自動調查與回應，能跨越你的裝置、電子郵件 & 內容及身份。

你自己的虛擬分析師

想像一下，在你的第一或第二級安全營運團隊裡有一位虛擬分析師。 虛擬分析員會模仿安全性作業要採取哪些理想步驟來調查和補救威脅。 虛擬分析師可全天候24小時工作，擁有無限容量，承擔大量調查與威脅修復工作。 這樣的虛擬分析師能大幅縮短回應時間，讓您的資安營運團隊能專注於其他重要威脅或策略專案。 如果這個情境聽起來像科幻小說，那可不是！ 這樣的虛擬分析師是你 Microsoft Defender 全面偵測回應套件的一部分，名稱是自動調查與回應。

自動化調查與回應能力，使您的資安營運團隊能大幅提升組織應對安全警示與事件的能力。 透過自動化調查與回應，您可以降低處理調查與應變活動的成本，並最大化威脅防護套件的效益。 自動化調查與回應功能協助您的資安營運團隊：

1. 判斷是否要針對威脅採取動作。
2. 採取 (或建議) 任何必要的補救動作。
3. 判斷是否要進行其他調查以及要進行哪些其他調查。
4. 針對其他警示重複採取必要程序。

自動化調查程序

警示會建立事件，從而啟動自動化調查。 自動化調查會對每一個證據做出決策。 決策可以：

• 惡意
• 可疑
• 找不到威脅

識別惡意或可疑實體的補救動作。 補救動作的範例包括：

• 將檔案傳送至隔離
• 停止程序
• 隔離裝置
• 封鎖 URL
• 其他動作

欲了解更多資訊，請參閱 Microsoft Defender 全面偵測回應中的修復措施。

根據您組織 自動化調查與回應能力的配置 ，修復行動會自動執行，或僅在安全運營團隊核准後執行。 所有行動，不論待處理或已完成，皆列於 行動中心。

當調查進行時，出現的任何其他相關警示會新增到調查中，直到調查完成。 如果在其他地方看到受影響的實體，則自動化調查會將其範圍擴大為包含該實體，而調查程序會重複。

在 Microsoft Defender 全面偵測回應中，每次自動化調查都會將訊號適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender 以及 Microsoft Defender for Office 365 之間進行關聯如下表所述：

查看調查清單

欲查看調查內容，請前往 事件頁面 。 選擇一個事件，然後選擇 「調查」 標籤。欲了解更多，請參閱 自動化調查的詳情與結果。

自動調查 & 回應卡

自動調查 & 回應卡可在Microsoft Defender入口網站 (https://security.microsoft.com) 首頁取得。 此卡片提供可檢視可進行的整治行動總數。 卡片還會概述所有警示及每項警示所需的核准時間。

透過自動調查 & 回應卡，您的安全運營團隊可透過選擇 「檢視待處理行動 」連結，快速導航至行動中心，並採取適當行動。 此卡能讓您的資安營運團隊更有效管理待核對的行動。

後續步驟

• 請參閱自動化調查與回應的前提條件
• 為您的組織設定自動化調查與回應
• 深入了解重要訊息中心