Управление автоматизированными исследованиями

Завершено

Управление автоматизированными исследованиями

Ваша группа операций безопасности получает оповещение всякий раз, когда Microsoft Defender обнаруживает вредоносный или подозрительный артефакт из конечной точки. Группам обеспечения информационной безопасности довольно сложно обрабатывать большое количество оповещений, возникающих из-за постоянного потока угроз, который может показаться бесконечным. Microsoft Defender для конечной точки включает возможности автоматического исследования и исправления (AIR), которые помогают группе обеспечения информационной безопасности повысить эффективность устранения угроз.

Технология автоматического исследования использует различные алгоритмы проверки и основана на процессах, используемых аналитиками безопасности. Возможности AIR направлены на проверку оповещений и совершение немедленных действий для устранения нарушений. Они значительно сокращают объем предупреждений, позволяя экспертам по операциям безопасности сосредоточиться на более изощренных угрозах и других важных задачах. Центр действий отслеживает все исследования, которые были инициированы автоматически, а также содержит сведения, такие как состояние исследования, источник обнаружения и любые действия, ожидающие выполнения, или завершенные действия.

Запуск автоматического исследования

После срабатывания оповещения применяется сборник схем безопасности. В зависимости от сценария безопасности может начаться автоматизированное расследование. Например, предположим, что на устройстве находится вредоносный файл. При обнаружении этого файла срабатывает оповещение, после чего начинается процесс автоматического исследования. Microsoft Defender для конечной точки проверяет наличие этого вредоносного файла на других устройствах в организации. Сведения о расследовании, включая вердикты (Вредоносный, Подозрительный и Угроз не обнаружено), доступны во время автоматизированного расследования и после его завершения. Дополнительные сведения о том, что происходит после получения решения, представлены в разделе "Результаты автоматического исследования и действия по исправлению".

Сведения об автоматическом исследовании

Во время автоматического исследования и после него можно просмотреть сведения об исследовании. Выберите оповещение, инициировавшее расследование, чтобы просмотреть сведения о расследовании. Отсюда можно перейти к вкладкам «Граф расследования», «Оповещения», «Устройства», «Доказательства», «Сущности» и «Журнал».

  • Оповещения — это те, которые инициировали расследование.

  • Устройства — устройства , на которых обнаружена угроза.

  • Доказательства — сущности, которые были обнаружены вредоносными во время расследования.

  • Сущности — сведения о каждой проанализированной сущности, включая определение каждого типа сущности (вредоносные, подозрительные или нет обнаруженных угроз).

  • Журнал — хронологическое, подробное представление всех действий расследования, предпринятых по оповещению.

  • Ожидающие действия - Если в результате расследования имеются действия, ожидающие утверждения, отображается вкладка "Ожидающие действия". На вкладке "Ожидающие действия" можно утвердить или отклонить каждое действие.

Расширение области автоматического исследования

Пока выполняется исследование, все оповещения, создаваемые на устройстве, будут добавляться к текущему автоматическому исследованию до его завершения. Кроме того, если на других устройствах встречается та же угроза, они добавляются к исследованию.

Если скомпрометированный объект обнаруживается на другом устройстве, процесс автоматического расследования расширяет свою область охвата, включая это устройство, и на этом устройстве запускается типовой сценарий безопасности. Если в ходе этого процесса расширения из одного и того же объекта обнаружено десять или более устройств, то такое действие по расширению требует утверждения и отображается на вкладке «Ожидающие действия».

Устранение угроз

По мере срабатывания оповещений и выполнения автоматического расследования для каждого исследуемого объекта доказательств формируется вердикт. Решения могут быть следующими — "Вредоносный", "Подозрительный" и "Угрозы не найдены".

По мере достижения решений автоматическое расследование может привести к одному или нескольким действиям по исправлению. К примерам действий по исправлению относятся помещение файла на карантин, остановка службы, удаление запланированной задачи и многое другое. (См. раздел "Действия по исправлению".)

В зависимости от уровня автоматизации, установленного для организации, а также других параметров безопасности, действия по исправлению могут выполняться автоматически или только после утверждения вашей группой обеспечения информационной безопасности. Другие параметры безопасности, которые могут повлиять на автоматическое исправление, включают защиту от потенциально нежелательных приложений (PUA).

Все меры по устранению, как ожидающие выполнения, так и завершенные, можно просмотреть в Центре действий https://security.microsoft.com. При необходимости ваша группа обеспечения информационной безопасности может отменить действие по исправлению.

Уровни автоматизации в автоматическом исследовании и возможности исправления

Возможности автоматического исследования и исправления (AIR) в Microsoft Defender для конечной точки можно настроить на выполнение в одном из нескольких уровней автоматизации. Уровень автоматизации влияет на способ выполнения действий по исправлению после исследований AIR — автоматически или только после утверждения.

  • Полная автоматизация (рекомендуется) означает, что действия по исправлению для артефактов, определенных как вредоносные, выполняются автоматически.

  • Частичная автоматизация означает, что некоторые действия по исправлению выполняются автоматически, тогда как другие действия необходимо утверждать. (См. раздел "Уровни автоматизации".)

  • Все действия по устранению проблем, как ожидающие выполнения, так и завершённые, отслеживаются в Центре действий.

Уровни автоматизации

Полное — автоматическое устранение угроз (также называется полной автоматизацией)

При полной автоматизации действия по исправлению выполняются автоматически. Все выполняемые действия по исправлению можно просмотреть в центре уведомлений на вкладке "Журнал". При необходимости действие исправления можно отменить.

Semi — требует утверждения для любого устранения (также называемого частичной автоматизацией)

При таком уровне полуавтоматизации для любых действий по устранению требуется одобрение. Такие действия, ожидающие обработки, можно просмотреть и подтвердить в Центре уведомлений на вкладке «Ожидающие».

Semi — требуется утверждение для исправления основных папок (также тип полуавтомации)

На этом уровне частичной автоматизации требуется утверждение всех действий по исправлению, которые необходимо выполнить в отношении файлов или исполняемых объектов, которые находятся в основных папках. К основным папкам относятся каталоги операционной системы, например Windows (\windows*).

Действия по исправлению в отношении файлов или исполняемых объектов, которые находятся в других (неосновных) папках, могут выполняться автоматически.

Ожидающие действия для файлов или исполняемых объектов в основных папках можно просмотреть и утвердить в центре уведомлений на вкладке "Ожидающие".

Действия, которые были выполнены в отношении файлов или исполняемых объектов в других папках, можно просмотреть в центре уведомлений на вкладке "История".

Semi — требуется утверждение для устранения папок, не относящихся к временным (также тип полуавтоматизации)

На этом уровне частичной автоматизации требуется утверждение всех действий по исправлению, необходимых для файлов или исполняемых объектов, которые не находятся во временных папках.

Примеры временных папок могут включать следующее:

  • \users*\appdata\local\temp*

  • \документы и настройки*\локальные настройки\temp*

  • \документы и настройки*\локальные настройки\временные*

  • \windows\temp*

  • \users*\downloads*

  • \Program Files\

  • \Program Files (x86)*

  • \documents и settings*\users*

Действия по исправлению в отношении файлов или исполняемых объектов, которые находятся во временных папках, могут выполняться автоматически.

Ожидающие действия для файлов или исполняемых файлов, которые не находятся во временных папках, можно просмотреть и одобрить в Центре уведомлений, на вкладке "Ожидающие".

Действия, выполненные над файлами или исполняемыми файлами во временных папках, можно просмотреть и утвердить в Центре действий на вкладке «Журнал».

Отсутствие автоматического ответа (также называется отсутствием автоматизации)

Если автоматизация отключена, автоматизированное расследование не запускается на устройствах вашей организации. В результате не выполняется и не ожидается никаких действий по исправлению в результате автоматического исследования. Однако в зависимости от того, как настроены антивирусная программа и функции защиты нового поколения, могут применяться и другие функции защиты от угроз, такие как защита от потенциально нежелательных приложений.

Использовать вариант без автоматизации не рекомендуется, поскольку это снижает общий уровень защищенности устройств вашей организации. Рекомендуется выбрать полную автоматизацию (или по крайней мере частичную автоматизацию).

Важные моменты, касающиеся уровней автоматизации

Полная автоматизация является надежной, эффективной и безопасной. Этот уровень рекомендуется для всех клиентов. Полная автоматизация позволяет освободить критически важные ресурсы службы безопасности, чтобы они могли сосредоточиться на решении стратегических задач. Если ваша команда информационной безопасности настроила группы устройств с определённым уровнем автоматизации, эти параметры не изменяются новыми параметрами по умолчанию, которые постепенно внедряются.