Konfigurer funksjoner for automatiske angrepsavbrudd i Microsoft Defender XDR

Microsoft Defender XDR inkluderer kraftige automatiserte angrepsavbruddsfunksjoner som kan beskytte miljøet mot avanserte angrep med høy effekt.

Denne artikkelen beskriver hvordan du konfigurerer funksjoner for automatisk angrepsavbrudd i Microsoft Defender XDR med disse trinnene:

1. Se gjennom forutsetningene.
2. Se gjennom eller endre de automatiserte svarutelukkelsene for brukere.

Når alt er konfigurert, kan du deretter vise og administrere oppbevaringshandlinger i hendelser og handlingssenteret. Og om nødvendig kan du gjøre endringer i innstillingene.

Forutsetninger for automatisk angrepsforstyrrelse i Microsoft Defender XDR

Kravet	Detaljer
Abonnementskrav	Ett av disse abonnementene: Microsoft 365 E5 eller A5 Microsoft 365 E3 med Microsoft 365 E5 Security tillegget Microsoft 365 E3 med Enterprise Mobility + Security E5-tillegget Microsoft 365 A3 med sikkerhetstillegget Microsoft 365 A5 Windows 10 Enterprise E5 eller A5 Windows 11 Enterprise E5 eller A5 Enterprise Mobility + Security (EMS) E5 eller A5 Office 365 E5 eller A5 Microsoft Defender for endepunkt Microsoft Defender for identitet Microsoft Defender for skyapper Defender for Office 365 (Plan 2) Microsoft Defender for Business Se Microsoft Defender XDR lisensieringskrav.
Distribusjonskrav	Distribusjon på tvers av Defender-produkter (for eksempel Defender for Endpoint, Defender for Office 365, Defender for Identity og Defender for Cloud Apps) Jo bredere distribusjonen er, jo større er beskyttelsesdekningen. Hvis for eksempel et Microsoft Defender for Cloud Apps signal brukes i en bestemt gjenkjenning, kreves dette produktet for å oppdage det relevante spesifikke angrepsscenariet. På samme måte bør det relevante produktet distribueres for å utføre en automatisert responshandling. For eksempel må Microsoft Defender for endepunkt automatisk inneholde en enhet. Microsoft Defender for endepunkt enhetsoppdagelse er satt til «standard oppdagelse»
Tillatelser	Hvis du vil konfigurere funksjoner for automatiske angrepsavbrudd, må du ha én av følgende roller tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller i Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com): Global Administrator Sikkerhetsadministrator Hvis du vil arbeide med automatiserte undersøkelses- og svarfunksjoner, for eksempel ved å se gjennom, godkjenne eller avvise ventende handlinger, kan du se Nødvendige tillatelser for handlingssenteroppgaver.

Microsoft Defender for endepunkt forutsetninger

Minimumsversjon av Sense-klient (MDE klient)

Minimumsversjonen av Sanseagenten som kreves for at handlingen Inneholder bruker skal fungere, er v10.8470. Du kan identifisere Sense Agent-versjonen på en enhet ved å kjøre følgende PowerShell-kommando:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatiseringsinnstilling for organisasjonens enheter

Se gjennom det konfigurerte automatiseringsnivået for enhetsgruppepolicyer, kjøring av automatiserte undersøkelser, og om utbedringshandlinger utføres automatisk eller bare ved godkjenning for enhetene dine, avhenger av bestemte innstillinger. Du må være global administrator eller sikkerhetsadministrator for å utføre følgende fremgangsmåte:

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com) og logg på.

2. Gå til Enhetsgrupper> forinnstillinger-endepunkter> under Tillatelser.

3. Se gjennom gruppepolicyene for enheten. Se på kolonnen automatiseringsnivå . Vi anbefaler at du bruker Full – utbedr trusler automatisk. Du må kanskje opprette eller redigere enhetsgruppene for å få ønsket automatiseringsnivå. Hvis du vil utelate en enhetsgruppe fra automatisert innesigelse, angir du automatiseringsnivået til ingen automatisert respons. Vær oppmerksom på at dette ikke anbefales på det sterkeste, og bør bare gjøres for et begrenset antall enheter.

Konfigurasjon for enhetsoppdagelse

Innstillingene for enhetsoppdagelse må aktiveres til «Standard discovery» som et minimum. Finn ut hvordan du konfigurerer enhetsoppdagelse i Konfigurer enhetsoppdagelse.

Obs!

Angrepsavbrudd kan fungere på enheter uavhengig av enhetens Microsoft Defender antivirusdriftstilstand. Driftstilstanden kan være i aktiv, passiv eller EDR-blokkmodus.

Microsoft Defender for identitet forutsetninger

Konfigurere overvåking i domenekontrollere

Lær hvordan du konfigurerer overvåking i domenekontrollere i Konfigurer overvåkingspolicyer for Windows-hendelseslogger for å sikre at nødvendige overvåkingshendelser er konfigurert på domenekontrollerne der Defender for Identity-sensoren distribueres.

Konfigurer handlingskontoer

Defender for Identity lar deg utføre utbedringshandlinger rettet mot lokal Active Directory kontoer i tilfelle en identitet blir kompromittert. Hvis du vil utføre disse handlingene, må Defender for Identity ha de nødvendige tillatelsene til å gjøre dette. Som standard representerer Defender for Identity-sensoren LocalSystem-kontoen til domenekontrolleren og utfører handlingene. Siden standardinnstillingen kan endres, må du validere at Defender for Identity har de nødvendige tillatelsene.

Du finner mer informasjon om handlingskontoene i Konfigurer Microsoft Defender for identitet handlingskontoer

Defender for Identity-sensoren må distribueres på domenekontrolleren der Active Directory-kontoen skal slås av.

Obs!

Hvis du har automatiseringer på plass for å aktivere eller blokkere en bruker, må du kontrollere om automatiseringene kan forstyrre avbruddet. Hvis det for eksempel er en automatisering på plass for regelmessig å kontrollere og håndheve at alle aktive ansatte har aktivert kontoer, kan dette utilsiktet aktivere kontoer som ble deaktivert av angrepsforstyrrelser mens et angrep oppdages.

Microsoft Defender for Cloud Apps forutsetninger

Microsoft Office 365 Connector

Microsoft Defender for Cloud Apps må være koblet til Microsoft Office 365 gjennom koblingen. Hvis du vil koble Defender for Skyapper, kan du se Koble Microsoft 365 til Microsoft Defender for Cloud Apps.

Appstyring

Appstyring må være aktivert. Se dokumentasjonen for appstyring for å slå den på.

Microsoft Defender for Office 365 forutsetninger

Plassering av postbokser

Postbokser må driftes i Exchange Online.

Overvåkingslogging for postboks

Følgende postbokshendelser må overvåkes som minimum:

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• HardDelete

Se gjennom behandle postboksovervåking for å lære om behandling av postboksovervåking.

Safelinks-policyen må være til stede.

Se gjennom eller endre automatisk svarutelukkelse for brukere

Automatisk angrepsavbrudd gjør det mulig å ekskludere bestemte brukerkontoer fra automatiserte oppbevaringshandlinger. Ekskluderte brukere blir ikke påvirket av automatiserte handlinger utløst av angrepsforstyrrelser. Du må være global administrator eller sikkerhetsadministrator for å utføre følgende fremgangsmåte:

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com) og logg på.

2. Gå til Innstillinger>Microsoft Defender XDR>Identitet automatisert svar. Kontroller brukerlisten for å utelate kontoer.

3. Hvis du vil utelate en ny brukerkonto, velger du Legg til brukerutelukkelse.

Det anbefales ikke å ekskludere brukerkontoer, og kontoer som legges til i denne listen, blir ikke suspendert i alle støttede angrepstyper som forretnings-e-postkompromisse (BEC) og menneskestyrt løsepengevirus.

Neste trinn

• Vis detaljer og resultater
• Få e-postvarsler for svarhandlinger

Se også

• Automatisk angrepsforstyrrelse i Microsoft Defender XDR
• Automatisk angrepsavbrudd for SAP

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.