Данное изменение уровня автоматизации происходит после анализа телеметрии, который показал, что организации, использующие полную автоматизацию (уровень Full) по умолчанию, более успешны в устранении и сдерживании угроз по сравнению с организациями, использующими частичную автоматизацию (уровень Semi).
Microsoft объяснила целесообразность данного изменения:
Данные, собранные и проанализированные за последний год, показывают, что в организациях, использующих полную автоматизацию, было удалено на 40% вредоносных образцов больше, чем у клиентов, использующих более низкий уровень автоматизации.
Кроме того, полная автоматизация высвобождает критически важные ресурсы безопасности, чтобы клиенты могли больше сосредоточиться на своих стратегических инициативах.
Полная автоматизация позволяет быстрее избавиться от угроз
Когда на клиентских устройствах включена полная автоматизация, платформа безопасности конечных точек Microsoft автоматически создает действие по исправлению, которое удаляет или изолирует вредоносный объект, обнаруженный после расследования подозрительной активности.
Эти процессы выполняются в автоматическом режиме без необходимости удаленного подключения группы безопасности организации или ожидания подтверждения действия по исправлению.
Когда уровень автоматизации установлен на уровень Semi, все действия по исправлению требуют утверждения вручную, что резко снижает время реакции, потенциально позволяя обнаруженным вредоносным программам заразить другие устройства и нанести больший ущерб.
Данное изменение произошло после того, как Microsoft повысила точность обнаружения вредоносных программ, обновила инфраструктуру автоматических расследований инцидентов и добавила возможность отмены действий по исправлению.
С тех пор в Microsoft Defender for Endpoint были добавлены новые опции автоматического расследования и исправлений. Клиентские системы с полной автоматизацией (Full) получили возможность успешно устранять и сдерживать угрозы, в то время как пользователи клиентских систем с частичной автоматизацией (Semi) вынуждены ждать утверждения вручную.
Ранее настроенные параметры автоматизации не изменятся
Microsoft пояснила:
Новый уровень автоматизации по умолчанию может быть сохранен или изменен в соответствии с потребностями вашей организации.
Это изменение не повлияет и не отменит настройки группы устройств, которые были сконфигурированы ранее для управления уровнем автоматизации.
Чтобы начать использовать возможности общедоступной предварительной версии Microsoft Defender for Endpoint, клиенты должны вручную включить функции предварительной версии в Центре безопасности Microsoft Defender.
С октября Microsoft Defender for Endpoint также предоставляет пользователям возможности отслеживания уязвимых устройств Windows и macOS в среде организации.
В июне прошлого года Редмонд расширила применимость платформы обеспечения безопасности конечных точек. Теперь она доступна не только для систем Windows, но также для корпоративных клиентов Linux и для устройств Android.
Последние статьи #Windows
• Обновление KB5053656 (Build 26100.3624) Preview для Windows 11, версия 24H2
• Последние обновления Windows вызывают проблемы с удаленным рабочим столом
• Microsoft обновила игровую панель Windows
• Обновлённый интерфейс входа в учётную запись Microsoft: тёмная тема, Fluent 2 и адаптация под любые экраны
• Windows 11 Build 27823 (Canary): Что нового, готовые ISO-образы
• Microsoft исправила проблему с USB-принтерами в Windows 11 с помощью обновления KB5053657