Microsoft Defender for Endpoint (dawniej jako Microsoft Defender ATP) zmienia sposób reagowania na zagrożenia. Aby zwiększyć ochronę punktów końcowych, domyślnie ustawiony jest już nie średni poziom automatyzacji, który wymaga zatwierdzenia jakichkolwiek środków zaradczych, lecz poziom pełny, w którym zagrożenia niwelowane są automatycznie. Zmiana weszła w życie u użytkowników wersji zapoznawczej.
Gdy w Microsoft Defender for Endpoint podnoszony jest alert, zautomatyzowane dochodzenie natychmiast zaczyna działać na maszynie, na której wykryto podejrzaną aktywność. Zaczyna się ono od analizy złośliwych podmiotów, które są częścią alertu, i kontynuuje, gromadząc i badając inne powiązane z tym podmioty. Zautomatyzowane dochodzenie bada pliki, procesy, usługi, klucze rejestru i inne obszary, które mogą zawierać dowody powiązane z zagrożeniem.
Rezultatem zautomatyzowanego dochodzenia, zapoczątkowanego przez alert, jest lista powiązanych podmiotów znalezionych na urządzeniu i ich werdykty (szkodliwy, podejrzany lub czysty). Dla każdego złośliwego podmiotu dochodzenie utworzy akcję zapobiegawczą, która po zatwierdzeniu usunie albo powstrzyma złośliwy podmiot, który został znaleziony w dochodzeniu. Działania te są zdefiniowane, zarządzane i wykonywane przez Microsoft Defender for Endpoint — bez konieczności zdalnego łączenia się z urządzeniem ze strony zespołu operacji.
— Israel Cohen-Pavon, Microsoft Tech Community
Dotąd akcje zapobiegawcze domyślnie wymagały zatwierdzenia. Teraz, gdy domyślny jest pełny poziom automatyzacji, działania zatwierdzane są natychmiastowo, bez oczekiwania na administratora. Poziom można oczywiście zmienić na średni, aby nadal było wymagane ręczne zatwierdzenie. To jednak może spowodować stratę cennego czasu, w którym malware jest w stanie wyrządzić szkody i roznieść się na inne urządzenia.
341f31d.png)