Обзор автоматического исследования

Предварительные условия

Ваша подписка должна включать Defender для конечной точки или Defender для бизнеса.

Important

По состоянию на 1 сентября 2026 г. автоматизированное расследование и реагирование (AIR) больше не будет работать как отдельный опыт исследования или быть доступным для ручной активации в Microsoft Defender.

Возможности обнаружения и реагирования AIR уже включены в стек антивирусной защиты по умолчанию Microsoft Defender и выполняются автоматически. Для расследований по запросу выполните полную антивирусную проверку по мере необходимости.

Примечание.

  • Для автоматического исследования и реагирования требуется Microsoft Defender антивирусная программа для работы в пассивном или активном режиме. Если Microsoft Defender антивирусная программа отключена или удалена, автоматическое исследование и реагирование будут работать неправильно.
  • Для автоматического исследования и реагирования на Windows Server 2012 R2 и Windows Server 2016 требуется установить единый агент.

Поддерживаемые операционные системы

Автоматическое исследование и ответы поддерживаются в следующих операционных системах:

  • Windows Server 2012 R2 (предварительная версия)
  • Windows Server 2016 (предварительная версия)
  • Windows Server 2019 г. и более поздних версий
  • Windows 10 версии 1709 или более поздней версии (ОС сборки 16299.1085 с обновлением KB4493441)
  • Windows 10 версии 1803 (сборка ОС 17134.704 с KB4493464) или более поздняя
  • Windows 10, сведения о выпуске версии 1803 или более поздней версии
  • Windows 11
  • Azure Stack HCI, версия ОС 23H2 и более поздние версии

Хотите узнать, как работает автоматизированное исследование и реагирование? Посмотрите следующее видео:

Технология автоматического исследования использует различные алгоритмы проверки и основана на процессах, используемых аналитиками безопасности. Возможности AIR направлены на проверку оповещений и совершение немедленных действий для устранения нарушений. Они значительно сокращают объем предупреждений, позволяя экспертам по операциям безопасности сосредоточиться на более изощренных угрозах и других важных задачах. Все меры по устранению, ожидающие выполнения или завершенные, отслеживаются в Центре действий. В Центре действий ожидающие действия можно утвердить (или отклонить), а выполненные действия при необходимости можно отменить.

В этом разделе представлен обзор автоматизированного исследования и реагирования (AIR) и ссылки на следующие действия и дополнительные ресурсы.

Как начинается автоматическое исследование

Автоматическое исследование может начаться при срабатывании оповещения или при инициировании исследования оператором безопасности.

Ситуация Что происходит
Активируется оповещение Как правило, автоматическое исследование начинается при срабатывании оповещения и создании инцидента . Например, предположим, что вредоносный файл находится на устройстве. При обнаружении этого файла активируется оповещение и создается инцидент. На устройстве начинается автоматизированный процесс исследования. Так как другие оповещения создаются из-за того же файла на других устройствах, они добавляются в связанный инцидент и в автоматическое исследование.
Расследование запускается вручную Автоматизированное исследование может быть запущено вручную командой по обеспечению безопасности. Например, предположим, что оператор безопасности просматривает список устройств и замечает, что устройство имеет высокий уровень риска. Оператор безопасности может выбрать устройство в списке, чтобы открыть его всплывающий элемент, а затем выбрать Запуск автоматического исследования.

Как автоматизированное расследование расширяет область охвата

Пока выполняется исследование, все другие оповещения, созданные с устройства, добавляются в текущее автоматическое исследование до тех пор, пока это исследование не будет завершено. Кроме того, если та же угроза наблюдается на других устройствах, эти устройства добавляются в исследование.

Если скомпрометированный объект обнаруживается на другом устройстве, процесс автоматизированного расследования расширяет свою область охвата, включая это устройство, и на этом устройстве запускается общий сценарий безопасности. Если в процессе расширения из одной сущности найдено 10 или более устройств, это действие расширения требует утверждения и отображается на вкладке Ожидающие действия .

Способы устранения угроз

По мере активации оповещений и выполнения автоматического расследования для каждого исследуемого доказательства выдается вердикт. Вердикты могут быть:

  • Вредоносные;
  • Подозрительные; Или
  • Угрозы не найдены.

По мере вынесения вердиктов автоматизированные исследования могут привести к одному или нескольким действиям по исправлению. Примеры действий по исправлению включают отправку файла в карантин, остановку службы, удаление запланированной задачи и многое другое. Полный список см. в разделе "Действия по исправлению".

В зависимости от уровня автоматизации, установленного для вашей организации, а также от других параметров безопасности действия по исправлению могут выполняться автоматически или только после утверждения вашей группой по операциям безопасности. Дополнительные параметры безопасности, которые могут повлиять на автоматическое исправление, включают защиту от потенциально нежелательных приложений (PUA).

Все меры по устранению, ожидающие выполнения или завершенные, отслеживаются в Центре действий. При необходимости команда по операциям безопасности может отменить действие по исправлению. Дополнительные сведения см. в статье Проверка и утверждение действий по исправлению после автоматического исследования.

Совет

Ознакомьтесь с новой страницей унифицированных исследований на портале Microsoft Defender. Дополнительные сведения см. на странице Унифицированное исследование.

Дальнейшие действия

Используйте следующие ресурсы, чтобы продолжить настройку и изучение автоматизированного исследования и реагирования:

См. также

Дополнительные сведения см. в следующих статьях: