Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
По состоянию на 1 сентября 2026 года автоматизированное расследование и реагирование (AIR) больше не будет выполняться как отдельный процесс расследования и не будет доступно для запуска вручную в оповещениях и средствах исправления Microsoft Defender для конечной точки.
- Возможности обнаружения и реагирования AIR для Defender для конечной точки уже включены в стек антивирусной защиты по умолчанию Microsoft Defender для конечной точки и выполняются автоматически. Для расследований по запросу выполните полную антивирусную проверку по мере необходимости.
- Это изменение применяется только к Microsoft Defender для конечной точки. Возможности AIR для Defender для Office 365 остаются доступными.
Во время и после автоматического исследования определяются действия по исправлению вредоносных или подозрительных элементов. Некоторые типы действий по исправлению выполняются на устройствах, также называемых конечными точками. Другие действия по исправлению выполняются в отношении удостоверений, учетных записей и содержимого электронной почты. Кроме того, некоторые типы действий по исправлению могут выполняться автоматически, тогда как другие типы действий по исправлению выполняются вручную командой безопасности вашей организации. Когда автоматическое исследование приводит к одному или нескольким действиям по исправлению, исследование завершается только при выполнении, утверждении или отклонении действий по исправлению.
Важно!
То, выполняются ли действия по исправлению автоматически или только после утверждения, зависит от определенных параметров, таких как уровни автоматизации. Дополнительные сведения см. в следующих разделах:
- Настройка возможностей автоматического исследования и реагирования в Microsoft Defender XDR
- Настройка учетных записей для выполнения действий в Microsoft Defender для удостоверений
- Устранение угроз на устройствах
- Угрозы и меры по исправлению для содержимого электронной почты & средств совместной работы
В следующей таблице перечислены действия по исправлению, которые в настоящее время поддерживаются в Microsoft Defender XDR.
| Действия по исправлению устройства (конечной точки) | Действия по устранению проблем с электронной почтой | Пользователи (учетные записи) |
|---|---|---|
| — Собрать пакет данных расследования — Изоляция устройства (это действие можно отменить) — Выключение компьютера — Выполнение релизного кода — Освобождение из карантина - Запросить образец — ограничение выполнения кода (это действие можно отменить). — Запуск проверки на вирусы — Остановка и помещение в карантин — Изолировать устройства от сети |
— Блокировать URL-адрес (во время щелчка) — Обратимое удаление сообщений электронной почты или кластеров — Сообщение электронной почты о карантине — Поместить вложение электронной почты в карантин — Отключить внешнюю пересылку почты |
— Отключить пользователя - Сбросить пароль пользователя — подтвердите, что пользователь скомпрометирован. |
Меры по устранению, ожидающие утверждения или уже выполненные, можно просмотреть в Центре действий.
Действия по исправлению, следующие за автоматизированным исследованием
После завершения автоматического расследования выдается вердикт по всем участвующим доказательствам. В зависимости от решения выявляются действия по исправлению. В некоторых случаях меры по устранению принимаются автоматически; в других случаях меры по устранению требуют утверждения. Все зависит от того, как настроено автоматическое исследование и реагирование.
В таблице ниже перечислены возможные заключения и результаты.
| Заключение | Затронутые сущности | Результаты |
|---|---|---|
| Вредоносные | Устройства (конечные точки) | Действия по исправлению выполняются автоматически (при условии, что для групп устройств вашей организации задано значение Полное — устранять угрозы автоматически) |
| Скомпрометирован | Пользователи | Действия по исправлению выполняются автоматически |
| Вредоносные | Содержимое электронной почты (URL-адреса или вложения) | Рекомендуемые действия по исправлению ожидают утверждения |
| Подозрительно | Устройства или содержимое электронной почты | Рекомендуемые действия по исправлению ожидают утверждения |
| Угрозы не найдены | Устройства или содержимое электронной почты | Действия по исправлению не требуются |
Действия по исправлению, выполняемые вручную
Помимо действий по исправлению, которые следуют за автоматизированным исследованием, команда по операциям безопасности может выполнять определенные действия по исправлению вручную. Вот эти действия:
- Действие с устройством, выполняемое вручную, например изоляция устройства или помещение файла в карантин
- Выполняемое вручную действие с электронной почтой, например обратимое удаление сообщений электронной почты
- Действие пользователя вручную, например отключение пользователя или сброс пароля пользователя
- Расширенные действия охоты на устройствах, пользователях или электронной почте
- Explorer: действие с содержимым электронной почты, например перемещение письма в папку нежелательной почты, обратимое удаление письма или безвозвратное удаление письма
- Действие динамического ответа вручную, например удаление файла, остановка процесса и удаление запланированной задачи
- Действие оперативного реагирования с API Microsoft Defender для конечной точки, например, изоляция устройства, запуск антивирусной проверки и получение сведений о файле
Дальнейшие действия
- Откройте Центр уведомлений
- Просмотр действий по исправлению и управление ими
- Устраните ложноположительные и ложноотрицательные результаты
- Изолировать устройства от сети
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.