Данное изменение уровня автоматизации происходит после анализа телеметрии, который показал, что организации, использующие полную автоматизацию (уровень Full) по умолчанию, более успешны в устранении и сдерживании угроз по сравнению с организациями, использующими частичную автоматизацию (уровень Semi).
Microsoft объяснила целесообразность данного изменения:
Данные, собранные и проанализированные за последний год, показывают, что в организациях, использующих полную автоматизацию, было удалено на 40% вредоносных образцов больше, чем у клиентов, использующих более низкий уровень автоматизации.
Кроме того, полная автоматизация высвобождает критически важные ресурсы безопасности, чтобы клиенты могли больше сосредоточиться на своих стратегических инициативах.
Полная автоматизация позволяет быстрее избавиться от угроз
Когда на клиентских устройствах включена полная автоматизация, платформа безопасности конечных точек Microsoft автоматически создает действие по исправлению, которое удаляет или изолирует вредоносный объект, обнаруженный после расследования подозрительной активности.
Эти процессы выполняются в автоматическом режиме без необходимости удаленного подключения группы безопасности организации или ожидания подтверждения действия по исправлению.
Когда уровень автоматизации установлен на уровень Semi, все действия по исправлению требуют утверждения вручную, что резко снижает время реакции, потенциально позволяя обнаруженным вредоносным программам заразить другие устройства и нанести больший ущерб.
Данное изменение произошло после того, как Microsoft повысила точность обнаружения вредоносных программ, обновила инфраструктуру автоматических расследований инцидентов и добавила возможность отмены действий по исправлению.
С тех пор в Microsoft Defender for Endpoint были добавлены новые опции автоматического расследования и исправлений. Клиентские системы с полной автоматизацией (Full) получили возможность успешно устранять и сдерживать угрозы, в то время как пользователи клиентских систем с частичной автоматизацией (Semi) вынуждены ждать утверждения вручную.
Ранее настроенные параметры автоматизации не изменятся
Microsoft пояснила:
Новый уровень автоматизации по умолчанию может быть сохранен или изменен в соответствии с потребностями вашей организации.
Это изменение не повлияет и не отменит настройки группы устройств, которые были сконфигурированы ранее для управления уровнем автоматизации.
Чтобы начать использовать возможности общедоступной предварительной версии Microsoft Defender for Endpoint, клиенты должны вручную включить функции предварительной версии в Центре безопасности Microsoft Defender.
С октября Microsoft Defender for Endpoint также предоставляет пользователям возможности отслеживания уязвимых устройств Windows и macOS в среде организации.
В июне прошлого года Редмонд расширила применимость платформы обеспечения безопасности конечных точек. Теперь она доступна не только для систем Windows, но также для корпоративных клиентов Linux и для устройств Android.
Последние статьи #Windows
• Windows 11 получит улучшенную поддержку ключей доступа благодаря 1Password
• Эксперт: Microsoft могла потерять 400 миллионов пользователей Windows за три года
• Windows 11 версии 25H2: Всё, что известно о следующем обновлении ОС от Microsoft
• Как установить Windows 11, версия 25H2 уже сейчас
• Microsoft выпустила Windows 11, версия 25H2 для инсайдеров
• Обновление KB5060834 (Build 26120.4520) для Windows 11, версия 24H2 (Beta)