Данное изменение уровня автоматизации происходит после анализа телеметрии, который показал, что организации, использующие полную автоматизацию (уровень Full) по умолчанию, более успешны в устранении и сдерживании угроз по сравнению с организациями, использующими частичную автоматизацию (уровень Semi).
Microsoft объяснила целесообразность данного изменения:
Данные, собранные и проанализированные за последний год, показывают, что в организациях, использующих полную автоматизацию, было удалено на 40% вредоносных образцов больше, чем у клиентов, использующих более низкий уровень автоматизации.
Кроме того, полная автоматизация высвобождает критически важные ресурсы безопасности, чтобы клиенты могли больше сосредоточиться на своих стратегических инициативах.
Полная автоматизация позволяет быстрее избавиться от угроз
Когда на клиентских устройствах включена полная автоматизация, платформа безопасности конечных точек Microsoft автоматически создает действие по исправлению, которое удаляет или изолирует вредоносный объект, обнаруженный после расследования подозрительной активности.
Эти процессы выполняются в автоматическом режиме без необходимости удаленного подключения группы безопасности организации или ожидания подтверждения действия по исправлению.
Когда уровень автоматизации установлен на уровень Semi, все действия по исправлению требуют утверждения вручную, что резко снижает время реакции, потенциально позволяя обнаруженным вредоносным программам заразить другие устройства и нанести больший ущерб.
Данное изменение произошло после того, как Microsoft повысила точность обнаружения вредоносных программ, обновила инфраструктуру автоматических расследований инцидентов и добавила возможность отмены действий по исправлению.
С тех пор в Microsoft Defender for Endpoint были добавлены новые опции автоматического расследования и исправлений. Клиентские системы с полной автоматизацией (Full) получили возможность успешно устранять и сдерживать угрозы, в то время как пользователи клиентских систем с частичной автоматизацией (Semi) вынуждены ждать утверждения вручную.
Ранее настроенные параметры автоматизации не изменятся
Microsoft пояснила:
Новый уровень автоматизации по умолчанию может быть сохранен или изменен в соответствии с потребностями вашей организации.
Это изменение не повлияет и не отменит настройки группы устройств, которые были сконфигурированы ранее для управления уровнем автоматизации.
Чтобы начать использовать возможности общедоступной предварительной версии Microsoft Defender for Endpoint, клиенты должны вручную включить функции предварительной версии в Центре безопасности Microsoft Defender.
С октября Microsoft Defender for Endpoint также предоставляет пользователям возможности отслеживания уязвимых устройств Windows и macOS в среде организации.
В июне прошлого года Редмонд расширила применимость платформы обеспечения безопасности конечных точек. Теперь она доступна не только для систем Windows, но также для корпоративных клиентов Linux и для устройств Android.
Последние статьи #Windows
• Приложение «Ваш телефон» получит новый дизайн в стиле Windows 11
• Обзор: Макеты прикрепления и группы привязки в Windows 11
• Обновление KB5005611 Preview для Windows 10, версия 21H2, 21H1, 20H2 и 2004
• Как бесплатно обновить Windows 10 до Windows 11 уже сейчас
• Windows 11 Build 22000.194 доступен на канале Release Preview как необязательное обновление
• Официальные ISO-образы Windows 10, версия 21H2 (Build 19044.1237) доступны для инсайдеров