微软周日(1/17)宣布,将把Microsoft Defender for Endpoint端点安全的威胁调查与整治能力的默认值,从原本的半(Semi)自动切换成全(Full)自动,以让系统在确定设备上的威胁实体之后,能够直接采取整治行动,而不必再经过管理人员的允许,降低企业被危害的几率。只要是加入公开预览版的Microsoft Defender for Endpoint用户,在2月16日就会自动升级到该新默认。
Microsoft Defender for Endpoint原本的自动调查与整治能力的默认值为半自动,它会在侦测到机器上的可疑行动之后自动展开调查,针对恶意实体进行分析,调查相关的文件、程序、服务、登录机码,或是任何可能含有恶意证据的区域,之后列出恶意/可疑/干净清单,同时对于恶意的实体创建整治行动的建议。
半自动与全自动的差异始于此处,在半自动的设置中,整治行动必须经由管理人员自远程连接设备并核准之后才进行,而在全自动的设置中,在提出整治行动的建议之后就会直接采取缓解措施,像是移除或限制恶意实体。而假设所侦测到的设备或文件并非真正的威胁,管理人员则可撤销该整治行动。
微软说明,他们一直在提升恶意程序侦测的准确性,改善自动化调查基础设施,也添加了撤销整治行动的选项,根据这一年来的资料搜集与分析,采用全自动化设置的组织所移除的可靠恶意程序样本,比其它设置多出了40%,对于那些仍以半自动作为默认的企业而言,将会因为还要等待管理人员手动批准,而暴露在高度风险中。
总之,微软期望企业可以信任Microsoft Defender for Endpoint的自动调查能力、恶意程序判别能力、所建议的整治行动,以及撤销整治行动的能力。
该新的设置将会率先出现在Microsoft Defender for Endpoint的公开预览版中,只要参与预览版的Microsoft Defender for Endpoint客户,将会在今年的2月16日看到该默认值的变更,但客户也可将默认切换为半自动。