圖片來源: 

微軟

微軟周日(1/17)宣布,將把Microsoft Defender for Endpoint端點安全的威脅調查與整治能力的預設值,從原本的半(Semi)自動切換成全(Full)自動,以讓系統在確定裝置上的威脅實體之後,能夠直接採取整治行動,而不必再經過管理人員的允許,降低企業被危害的機率。只要是加入公開預覽版的Microsoft Defender for Endpoint用戶,在2月16日就會自動升級到此一新預設。

Microsoft Defender for Endpoint原本的自動調查與整治能力的預設值為半自動,它會在偵測到機器上的可疑行動之後自動展開調查,針對惡意實體進行分析,調查相關的檔案、程序、服務、登錄機碼,或是任何可能含有惡意證據的區域,之後列出惡意/可疑/乾淨清單,同時對於惡意的實體建立整治行動的建議。

半自動與全自動的差異始於此處,在半自動的設定中,整治行動必須經由管理人員自遠端連結裝置並核准之後才進行,而在全自動的設定中,在提出整治行動的建議之後就會直接採取緩解措施,像是移除或限制惡意實體。而假設所偵測到的裝置或檔案並非真正的威脅,管理人員則可撤銷該整治行動。

微軟說明,他們一直在提升惡意程式偵測的準確性,改善自動化調查基礎設施,也新增了撤銷整治行動的選項,根據這一年來的資料蒐集與分析,採用全自動化設定的組織所移除的可靠惡意程式樣本,比其它設定多出了40%,對於那些仍以半自動作為預設的業者而言,將會因為還要等待管理人員手動批准,而曝露在高度風險中。

總之,微軟期望企業可以信任Microsoft Defender for Endpoint的自動調查能力、惡意程式判別能力、所建議的整治行動,以及撤銷整治行動的能力。

此一新的設定將會率先出現在Microsoft Defender for Endpoint的公開預覽版中,只要參與預覽版的Microsoft Defender for Endpoint客戶,將會在今年的2月16日看到此一預設值的變更,但客戶也可將預設切換為半自動。

熱門新聞

Advertisement