Automatizált vizsgálati és válaszképességek konfigurálása a Microsoft Defender XDR
Microsoft Defender XDR hatékony automatizált vizsgálati és reagálási képességeket tartalmaz, amelyekkel a biztonsági üzemeltetési csapat sok időt és energiát takaríthat meg. Az önjavítás révén ezek a képességek utánozzák a biztonsági elemzők által a fenyegetések kivizsgálásának és megválaszolásának lépéseit, csak gyorsabban és nagyobb skálázási képességgel.
Ez a cikk az automatizált vizsgálat és reagálás konfigurálását ismerteti Microsoft Defender XDR az alábbi lépésekkel:
- Tekintse át az előfeltételeket.
- Tekintse át vagy módosítsa az eszközcsoportok automatizálási szintjét.
- Tekintse át a biztonsági és riasztási szabályzatokat a Office 365.
A beállítás után a Műveletközpontban megtekintheti és kezelheti a szervizelési műveleteket. Szükség esetén módosíthatja az automatizált vizsgálati beállításokat.
Az automatizált vizsgálat és reagálás előfeltételei a Microsoft Defender XDR
Követelmény | Részletek |
---|---|
Előfizetési követelmények | Az alábbi előfizetések egyike:
Lásd: Microsoft Defender XDR licencelési követelmények. |
Hálózati követelmények | |
Windows-eszközökre vonatkozó követelmények |
|
E-mail-tartalmak és Office-fájlok védelme |
|
Engedélyek | Az automatizált vizsgálati és válaszképességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com):
|
Eszközcsoportok automatizálási szintjének áttekintése vagy módosítása
Az, hogy az automatizált vizsgálatok futnak-e, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával történik-e, bizonyos beállításoktól, például a szervezet eszközcsoport-szabályzataitól függenek. Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:
Nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és jelentkezzen be.
Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.
Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg különösen az Automation-szint oszlopot. Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. A feladattal kapcsolatos segítségért tekintse meg az alábbi cikkeket:
Biztonsági és riasztási szabályzatok áttekintése a Office 365
A Microsoft beépített riasztási szabályzatokat biztosít, amelyek segítenek azonosítani bizonyos kockázatokat. Ilyen kockázat például az Exchange rendszergazdai engedélyekkel való visszaélése, a kártevők tevékenysége, a lehetséges külső és belső fenyegetések, valamint az adatok életciklusának kezelése. Egyes riasztások automatikus vizsgálatot és választ válthatnak ki Office 365. Győződjön meg arról, hogy a [Office 365-höz készült Defender]/defender-office-365/mdo-about funkciói megfelelően vannak konfigurálva.
Bár bizonyos riasztások és biztonsági szabályzatok automatikus vizsgálatokat indíthatnak, a rendszer nem hajt végre automatikus javítási műveleteket az e-mailek és a tartalmak esetében. Ehelyett az e-mailek és e-mailek tartalmának szervizelési műveletei a biztonsági üzemeltetési csapat jóváhagyására várnak a Műveletközpontban.
A Exchange Online Védelmi szolgáltatás (EOP) és a Office 365-höz készült Defender biztonsági beállításai segítenek az e-mailek és a tartalmak védelmében. Javasoljuk, hogy a standard és a szigorú előzetes biztonsági szabályzatokkal rendeljen védelmet a felhasználókhoz.
Ha egyéni szabályzatokat használ, a Konfigurációelemzővel hasonlítsa össze a szabályzatbeállításokat a Standard és a Szigorú előre beállított biztonsági házirend-beállításokkal. Az összes szabályzatbeállítás részletes listáját az Ajánlott beállítások az EOP-hoz és Office 365-höz készült Microsoft Defender biztonsághoz című témakörben találja.
A riasztási szabályzatokat a Defender portálon https://security.microsoft.com> tekintheti át a Szabályzatok & szabályok>Riasztási szabályzat című témakörben, vagy közvetlenül a címenhttps://security.microsoft.com/alertpoliciesv2. Számos alapértelmezett riasztási szabályzat a Fenyegetéskezelés kategóriában található. A Fenyegetéskezelés kategóriában szereplő riasztási szabályzatok némelyike automatikus vizsgálatot és választ válthat ki. További információ: Fenyegetéskezelési riasztási szabályzatok.
Módosítania kell az automatizált vizsgálati beállításokat?
Számos lehetőség közül választhat az automatizált vizsgálati és válaszképességek beállításainak módosításához. Néhány lehetőség az alábbi táblázatban található:
Ehhez | Kövesse az alábbi lépéseket |
---|---|
Automatizálási szintek megadása eszközcsoportokhoz |
|
Következő lépések
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: