Automatizált vizsgálati és válaszképességek konfigurálása a Microsoft Defender XDR

  • Cikk

Microsoft Defender XDR hatékony automatizált vizsgálati és reagálási képességeket tartalmaz, amelyekkel a biztonsági üzemeltetési csapat sok időt és energiát takaríthat meg. Az önjavítás révén ezek a képességek utánozzák a biztonsági elemzők által a fenyegetések kivizsgálásának és megválaszolásának lépéseit, csak gyorsabban és nagyobb skálázási képességgel.

Ez a cikk az automatizált vizsgálat és reagálás konfigurálását ismerteti Microsoft Defender XDR az alábbi lépésekkel:

  1. Tekintse át az előfeltételeket.
  2. Tekintse át vagy módosítsa az eszközcsoportok automatizálási szintjét.
  3. Tekintse át a biztonsági és riasztási szabályzatokat a Office 365.

A beállítás után a Műveletközpontban megtekintheti és kezelheti a szervizelési műveleteket. Szükség esetén módosíthatja az automatizált vizsgálati beállításokat.

Az automatizált vizsgálat és reagálás előfeltételei a Microsoft Defender XDR

Követelmény Részletek
Előfizetési követelmények Az alábbi előfizetések egyike:
  • Microsoft 365 E5
  • Microsoft 365 A5 csomag
  • Microsoft 365 E3 a Microsoft 365 Biztonság E5 csomag bővítménnyel
  • Microsoft 365 A3 csomag a Microsoft 365 A5 csomag Security bővítménnyel
  • Office 365 E5 csomag plusz Enterprise Mobility + Security E5 és Windows E5

Lásd: Microsoft Defender XDR licencelési követelmények.
Hálózati követelmények
Windows-eszközökre vonatkozó követelmények
E-mail-tartalmak és Office-fájlok védelme
Engedélyek Az automatizált vizsgálati és válaszképességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com):
  • Globális rendszergazda
  • Biztonsági rendszergazda
Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Eszközcsoportok automatizálási szintjének áttekintése vagy módosítása

Az, hogy az automatizált vizsgálatok futnak-e, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával történik-e, bizonyos beállításoktól, például a szervezet eszközcsoport-szabályzataitól függenek. Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

  1. Nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és jelentkezzen be.

  2. Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.

  3. Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg különösen az Automation-szint oszlopot. Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. A feladattal kapcsolatos segítségért tekintse meg az alábbi cikkeket:

Biztonsági és riasztási szabályzatok áttekintése a Office 365

A Microsoft beépített riasztási szabályzatokat biztosít, amelyek segítenek azonosítani bizonyos kockázatokat. Ilyen kockázat például az Exchange rendszergazdai engedélyekkel való visszaélése, a kártevők tevékenysége, a lehetséges külső és belső fenyegetések, valamint az adatok életciklusának kezelése. Egyes riasztások automatikus vizsgálatot és választ válthatnak ki Office 365. Győződjön meg arról, hogy a [Office 365-höz készült Defender]/defender-office-365/mdo-about funkciói megfelelően vannak konfigurálva.

Bár bizonyos riasztások és biztonsági szabályzatok automatikus vizsgálatokat indíthatnak, a rendszer nem hajt végre automatikus javítási műveleteket az e-mailek és a tartalmak esetében. Ehelyett az e-mailek és e-mailek tartalmának szervizelési műveletei a biztonsági üzemeltetési csapat jóváhagyására várnak a Műveletközpontban.

A Exchange Online Védelmi szolgáltatás (EOP) és a Office 365-höz készült Defender biztonsági beállításai segítenek az e-mailek és a tartalmak védelmében. Javasoljuk, hogy a standard és a szigorú előzetes biztonsági szabályzatokkal rendeljen védelmet a felhasználókhoz.

Ha egyéni szabályzatokat használ, a Konfigurációelemzővel hasonlítsa össze a szabályzatbeállításokat a Standard és a Szigorú előre beállított biztonsági házirend-beállításokkal. Az összes szabályzatbeállítás részletes listáját az Ajánlott beállítások az EOP-hoz és Office 365-höz készült Microsoft Defender biztonsághoz című témakörben találja.

A riasztási szabályzatokat a Defender portálon https://security.microsoft.com> tekintheti át a Szabályzatok & szabályok>Riasztási szabályzat című témakörben, vagy közvetlenül a címenhttps://security.microsoft.com/alertpoliciesv2. Számos alapértelmezett riasztási szabályzat a Fenyegetéskezelés kategóriában található. A Fenyegetéskezelés kategóriában szereplő riasztási szabályzatok némelyike automatikus vizsgálatot és választ válthat ki. További információ: Fenyegetéskezelési riasztási szabályzatok.

Módosítania kell az automatizált vizsgálati beállításokat?

Számos lehetőség közül választhat az automatizált vizsgálati és válaszképességek beállításainak módosításához. Néhány lehetőség az alábbi táblázatban található:

Ehhez Kövesse az alábbi lépéseket
Automatizálási szintek megadása eszközcsoportokhoz
  1. Állítson be egy vagy több eszközcsoportot. Lásd: eszközcsoportok Létrehozás és kezelése.
  2. A Microsoft Defender portálon lépjen az Engedélyvégpontok>szerepkörök & azEszközcsoportok csoporthoz>.
  3. Válasszon ki egy eszközcsoportot, és tekintse át az Automation-szint beállítását. (Azt javasoljuk, hogy a Teljes – fenyegetések automatikus elhárítása lehetőséget használja. Lásd: Automatizálási szintek az automatizált vizsgálati és javítási képességekben.
  4. Ismételje meg a 2. és a 3. lépést az összes eszközcsoport esetében.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.