Konfigurer automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR

  • Artikel

Microsoft Defender XDR omfatter effektive automatiserede undersøgelses- og svarfunktioner, der kan spare dit team for sikkerhedshandlinger meget tid og kræfter. Med selvreparerende funktioner efterligner disse funktioner de trin, som en sikkerhedsanalytiker ville udføre for at undersøge og reagere på trusler– kun hurtigere og med større evne til at skalere.

I denne artikel beskrives det, hvordan du konfigurerer automatiseret undersøgelse og svar i Microsoft Defender XDR med disse trin:

  1. Gennemse forudsætningerne.
  2. Gennemse eller rediger automatiseringsniveauet for enhedsgrupper.
  3. Gennemse politikker for sikkerhed og beskeder i Office 365.

Når du er konfigureret, kan du derefter få vist og administrere afhjælpningshandlinger i Løsningscenter. Og hvis det er nødvendigt, kan du foretage ændringer af automatiserede undersøgelsesindstillinger.

Forudsætninger for automatiseret undersøgelse og svar i Microsoft Defender XDR

Krav Detaljer
Abonnementskrav Et af disse abonnementer:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 med tilføjelsesprogrammet Microsoft 365 E5 Sikkerhed
  • Microsoft 365 A3 med tilføjelsesprogrammet Microsoft 365 A5 Sikkerhed
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Se Microsoft Defender XDR licenskrav.
Netværkskrav
Krav til Windows-enhed
Beskyttelse af mailindhold og Office-filer
Tilladelser Hvis du vil konfigurere automatiserede undersøgelses- og svarfunktioner, skal du have en af følgende roller tildelt enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com):
  • Global administrator
  • Sikkerhedsadministrator
Hvis du vil arbejde med automatiserede undersøgelses- og svarfunktioner, f.eks. ved at gennemse, godkende eller afvise ventende handlinger, skal du se Påkrævede tilladelser til Opgaver i Løsningscenter.

Gennemse eller rediger automatiseringsniveauet for enhedsgrupper

Om automatiserede undersøgelser kører, og om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse af dine enheder, afhænger af visse indstillinger, f.eks. organisationens politikker for enhedsgruppe. Gennemse det konfigurerede automatiseringsniveau for dine enhedsgruppepolitikker. Du skal være global administrator eller sikkerhedsadministrator for at kunne udføre følgende procedure:

  1. Gå til Microsoft Defender-portalen på https://security.microsoft.com , og log på.

  2. Gå til Indstillinger>Slutpunkter>Enhedsgrupper under Tilladelser.

  3. Gennemse politikker for enhedsgruppe. Se især kolonnen Automation-niveau . Vi anbefaler, at du bruger Fuld – afhjælper trusler automatisk. Du skal muligvis oprette eller redigere dine enhedsgrupper for at få det ønskede automatiseringsniveau. Du kan få hjælp til denne opgave i følgende artikler:

Gennemse dine politikker for sikkerhed og beskeder i Office 365

Microsoft leverer indbyggede beskedpolitikker , der hjælper med at identificere visse risici. Disse risici omfatter misbrug af Exchange-administratortilladelser, malwareaktivitet, potentielle eksterne og interne trusler og risici for administration af datalivscyklus. Nogle beskeder kan udløse automatiseret undersøgelse og svar i Office 365. Sørg for, at dine [Defender for Office 365]/defender-office-365/mdo-about-funktioner er konfigureret korrekt.

Selvom visse beskeder og sikkerhedspolitikker kan udløse automatiserede undersøgelser, udføres der ingen afhjælpningshandlinger automatisk for mail og indhold. I stedet afventer alle afhjælpningshandlinger for mail- og mailindhold godkendelse af dit team for sikkerhedshandlinger i Løsningscenter.

Sikkerhedsindstillinger i Exchange Online Protection (EOP) og Defender for Office 365 hjælpe med at beskytte mail og indhold. Vi anbefaler, at du bruger standard - og strenge forudindstillede sikkerhedspolitikker til at tildele beskyttelse til brugere.

Hvis du bruger brugerdefinerede politikker, kan du bruge Konfigurationsanalyse til at sammenligne dine politikindstillinger med standardindstillingerne og de forudindstillede indstillinger for den forudindstillede sikkerhedspolitik Standard og Strict. Du kan finde en detaljeret liste over alle politikindstillinger i tabellerne under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

Du kan gennemse dine beskedpolitikker på Defender-portalen på https://security.microsoft.com>Politikker & regler>Beskedpolitik eller direkte på https://security.microsoft.com/alertpoliciesv2. Der findes flere standardpolitikker for beskeder i kategorien Trusselsadministration . Nogle af beskedpolitikkerne i kategorien Trusselsadministration kan udløse automatiseret undersøgelse og svar. Du kan få mere at vide under Politikker for advarsel om trusselsstyring.

Har du brug for at foretage ændringer af automatiserede undersøgelsesindstillinger?

Du kan vælge mellem flere indstillinger for at ændre indstillingerne for din automatiserede undersøgelses- og svarfunktion. Nogle indstillinger er angivet i følgende tabel:

For at gøre dette Følg disse trin
Angiv automatiseringsniveauer for grupper af enheder
  1. Konfigurer en eller flere enhedsgrupper. Se Create og administrer enhedsgrupper.
  2. I Microsoft Defender-portalen skal du gå til Tilladelser>Slutpunkter roller & grupper>Enhedsgrupper.
  3. Vælg en enhedsgruppe, og gennemse dens indstilling for automatiseringsniveau . (Vi anbefaler, at du bruger Fuld – afhjælper trusler automatisk). Se Automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner.
  4. Gentag trin 2 og 3 efter behov for alle dine enhedsgrupper.

Næste trin

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.