Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Возможности автоматического исследования и исправления (AIR) в Microsoft Defender для бизнеса предварительно настроены и не настраиваются. В Microsoft Defender для конечной точки вы можете настроить AIR для одного из нескольких уровней автоматизации. Уровень автоматизации влияет на то, выполняются ли действия по исправлению после исследований AIR автоматически или только после утверждения.
Important
По состоянию на 1 сентября 2026 г. автоматизированное расследование и реагирование (AIR) больше не будет работать как отдельный опыт исследования или быть доступным для ручной активации в Microsoft Defender.
Возможности обнаружения и реагирования AIR уже включены в стек антивирусной защиты по умолчанию Microsoft Defender и выполняются автоматически. Для расследований по запросу выполните полную антивирусную проверку по мере необходимости.
- Полная автоматизация (рекомендуется) означает, что действия по исправлению выполняются автоматически для артефактов, которые считаются вредоносными. (Полная автоматизация задана по умолчанию в Defender для бизнеса.)
- Полуавтоматизация означает, что некоторые действия по исправлению выполняются автоматически, а другие действия по исправлению ожидают утверждения перед выполнением. (См. таблицу в разделе Уровни автоматизации.)
- Все меры по устранению, независимо от того, ожидают ли они выполнения или уже завершены, отслеживаются в Центре действий (https://security.microsoft.com).
Совет
Для достижения наилучших результатов рекомендуется использовать полную автоматизацию при настройке AIR. Данные, собранные и проанализированные за последний год, показывают, что клиенты, использующие полную автоматизацию, удалили на 40 % больше образцов вредоносных программ с высоким уровнем достоверности, чем клиенты, использующие более низкие уровни автоматизации. Полная автоматизация поможет освободить ресурсы операций безопасности, чтобы сосредоточиться на стратегических инициативах.
Примечание.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
Уровни автоматизации
| Уровень автоматизации | Описание |
|---|---|
|
Полная — автоматически устраняет угрозы (также называется полной автоматизацией) |
При полной автоматизации действия по исправлению выполняются автоматически для сущностей, которые считаются вредоносными. Все выполняемые действия по исправлению можно просмотреть в центре уведомлений на вкладке Журнал . При необходимости действие по исправлению можно отменить. Полная автоматизация рекомендуется и выбрана по умолчанию для клиентов с Defender для конечной точки, которые были созданы 16 августа 2020 г. или позже, при этом группы устройств еще не определены. Полная автоматизация устанавливается по умолчанию в Defender для бизнеса. |
|
Semi — требуется утверждение для всех папок (также называется полуавтомитой) |
При таком уровне полуавтомиляции для действий по исправлению всех файлов требуется утверждение. Такие действия, ожидающие обработки, можно просмотреть и утвердить в Центре действий на вкладке Pending. Срок ожидания таких действий истекает через семь дней. Если время ожидания действия истекло, поведение будет таким же, как при отклонении действия. Этот уровень полуавтомализа по умолчанию выбран для клиентов, созданных до 16 августа 2020 г. с Microsoft Defender для конечной точки без определения групп устройств. |
|
Semi — требуется утверждение для исправления основных папок (также тип частичной автоматизации) |
При таком уровне полуавтоматизации требуется подтверждение любых мер по устранению проблем в отношении файлов или исполняемых объектов, находящихся в системных папках. Основные папки включают каталоги операционной системы, например Windows (\windows\*). Действия по исправлению можно выполнять автоматически для файлов или исполняемых файлов, которые находятся в других (неядерных) папках. Отложенные действия для файлов или исполняемых объектов в системных папках можно просмотреть и утвердить в Action Center на вкладке Отложено. Действия, выполненные с файлами или исполняемыми объектами в других папках, можно просмотреть в Центре действий на вкладке История. |
|
Semi — требуется одобрение для устранения проблем в папках, не являющихся временными. (также тип частичной автоматизации) |
При таком уровне полуавтоматизации требуется подтверждение для любых действий по устранению, необходимых для файлов или исполняемых файлов, которые не* находятся во временных папках. Временные папки могут включать следующие примеры:
Действия по исправлению могут выполняться автоматически для файлов или исполняемых файлов, которые находятся во временных папках. Действия, ожидающие рассмотрения для файлов и исполняемых объектов, которые не находятся во временных папках, можно просмотреть и утвердить в Центре уведомлений на вкладке Ожидающие. Действия, выполненные над файлами или исполняемыми файлами во временных папках, можно просмотреть и одобрить в Центре действий на вкладке История. |
|
Нет автоматического ответа (также называется отсутствием автоматизации) |
При отсутствии автоматизации автоматическое исследование не выполняется на устройствах вашей организации. В результате в результате автоматического исследования никакие действия по исправлению не выполняются или не ожидаются. Однако могут действовать другие функции защиты от угроз, такие как защита от потенциально нежелательных приложений, в зависимости от того, как настроены антивирусные программы и функции защиты следующего поколения. * Не рекомендуется использовать параметр без автоматизации, так как это снижает уровень безопасности устройств вашей организации. Рассмотрите возможность настройки уровня автоматизации до полной автоматизации (или, по крайней мере, частичной автоматизации). |
Важные моменты об уровнях автоматизации
Полная автоматизация оказалась надежной, эффективной и безопасной и рекомендуется для всех клиентов. Полная автоматизация освобождает критически важные ресурсы безопасности, чтобы они могли сосредоточиться на ваших стратегических инициативах.
Новые клиенты (в том числе клиенты, созданные 16 августа 2020 г. или позже) с Defender для конечной точки по умолчанию настроены на полную автоматизацию.
Defender для бизнеса по умолчанию использует полную автоматизацию. Defender для бизнеса не использует группы устройств так же, как Defender для конечной точки. Таким образом, полная автоматизация включается и применяется ко всем устройствам в Defender для бизнеса.
Если ваша команда безопасности настроила группы устройств с определённым уровнем автоматизации, эти параметры не будут изменены новыми параметрами по умолчанию, которые сейчас внедряются.
Вы можете сохранить параметры автоматизации по умолчанию или изменить их в соответствии с потребностями организации. Чтобы изменить параметры, задайте уровень автоматизации.
Примечание.
Defender для бизнеса требует защиты в режиме реального времени для автоматического расследования. Чтобы включить автоматическое исследование, необходимо включить защиту в режиме реального времени и в активном режиме.