Day12:今天来谈一下Microsoft-Defender-for-Endpoint的设定及管理自动化

在Microsoft Defender for Endpoint中有提供自动化调查和补救功能。

自动化设定选项可让我们控制对装置套用自动化的方式。

我们对於装置有不同的补救自动化需求,可以建立装置群组以管理补救层级。

装置群组提供两种主要功能：设定补救层级，以及设定安全性存取权。

我们设计符合这两项功能需求的装置群组,接着为每个装置群组设定补救层级，并指派装置。

[设定]/[一般] 区域中的 [进阶功能] 页面提供下列自动化相关设定：

-自动化调查

启用调查及回应的自动化功能。

-在封锁模式中启用 EDR

启用之後，适用於端点的 Microsoft Defender 会采用行为封锁及围堵功能，

将入侵後端点侦测和回应 (EDR) 观察到的恶意程序码成品或行为全部封锁。

-自动解决警示

如果自动化调查找不到任何威胁或已成功补救所有恶意程序码成品，

警示就会自动解决。

-允许或封锁档案

请确定已开启 Windows Defender 防毒软件，并在您的组织中启用云端式保护功能

，以使用允许或封锁档案功能。

管理自动化上传

启用档案内容分析功能，即可让特定档案和电子邮件附件自动上传至云端，

以便在自动化调查中接受其他检查。指定副档名名称和电子邮件附件副档名名称，