Mogelijkheden voor automatische aanvalsonderbreking configureren in Microsoft Defender XDR

Artikel
04/27/2024

Microsoft Defender XDR bevat krachtige mogelijkheden voor het onderbreken van geautomatiseerde aanvallen die uw omgeving kunnen beschermen tegen geavanceerde aanvallen met een hoge impact.

In dit artikel wordt beschreven hoe u mogelijkheden voor automatische aanvalsonderbreking configureert in Microsoft Defender XDR met de volgende stappen:

Controleer de vereisten.
Bekijk of wijzig de uitsluitingen van geautomatiseerde reacties voor gebruikers.

Nadat u alles hebt ingesteld, kunt u insluitingsacties weergeven en beheren in Incidenten en het Actiecentrum. En, indien nodig, kunt u wijzigingen aanbrengen in instellingen.

Vereisten voor automatische onderbreking van aanvallen in Microsoft Defender XDR

Vereiste	Details
Abonnementsvereisten	Een van deze abonnementen: Microsoft 365 E5 of A5 Microsoft 365 E3 met de Microsoft 365 E5 Security-invoegtoepassing Microsoft 365 E3 met de Enterprise Mobility + Security E5-invoegtoepassing Microsoft 365 A3 met de Microsoft 365 A5 Security-invoegtoepassing Windows 10 Enterprise E5 of A5 Windows 11 Enterprise E5 of A5 Enterprise Mobility + Security (EMS) E5 of A5 Office 365 E5 of A5 Microsoft Defender voor Eindpunt Microsoft Defender for Identity Microsoft Defender for Cloud Apps Defender voor Office 365 (abonnement 2) Microsoft Defender voor Bedrijven Zie Microsoft Defender XDR licentievereisten.
Implementatievereisten	Implementatie in Defender-producten (bijvoorbeeld Defender voor Eindpunt, Defender voor Office 365, Defender for Identity en Defender for Cloud Apps) Hoe breder de implementatie, hoe groter de beschermingsdekking is. Als bijvoorbeeld een Microsoft Defender for Cloud Apps-signaal wordt gebruikt bij een bepaalde detectie, is dit product vereist om het relevante specifieke aanvalsscenario te detecteren. Op dezelfde manier moet het relevante product worden geïmplementeerd om een geautomatiseerde reactieactie uit te voeren. Microsoft Defender voor Eindpunt moet bijvoorbeeld automatisch een apparaat bevatten. Microsoft Defender voor Eindpunt apparaatdetectie is ingesteld op 'standaarddetectie'
Machtigingen	Als u mogelijkheden voor automatische aanvalsonderbreking wilt configureren, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in de Microsoft 365-beheercentrum (https://admin.microsoft.com): Globale beheerder Beveiligingsbeheerder Zie Vereiste machtigingen voor actiecentrumtaken als u wilt werken met geautomatiseerde onderzoeks- en reactiemogelijkheden, zoals het controleren, goedkeuren of weigeren van acties die in behandeling zijn.

Vereiste

Details

Abonnementsvereisten

Een van deze abonnementen:

Microsoft 365 E5 of A5
Microsoft 365 E3 met de Microsoft 365 E5 Security-invoegtoepassing
Microsoft 365 E3 met de Enterprise Mobility + Security E5-invoegtoepassing
Microsoft 365 A3 met de Microsoft 365 A5 Security-invoegtoepassing
Windows 10 Enterprise E5 of A5
Windows 11 Enterprise E5 of A5
Enterprise Mobility + Security (EMS) E5 of A5
Office 365 E5 of A5
Microsoft Defender voor Eindpunt
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Defender voor Office 365 (abonnement 2)
Microsoft Defender voor Bedrijven

Zie Microsoft Defender XDR licentievereisten.

Implementatievereisten

Implementatie in Defender-producten (bijvoorbeeld Defender voor Eindpunt, Defender voor Office 365, Defender for Identity en Defender for Cloud Apps)

Hoe breder de implementatie, hoe groter de beschermingsdekking is. Als bijvoorbeeld een Microsoft Defender for Cloud Apps-signaal wordt gebruikt bij een bepaalde detectie, is dit product vereist om het relevante specifieke aanvalsscenario te detecteren.
Op dezelfde manier moet het relevante product worden geïmplementeerd om een geautomatiseerde reactieactie uit te voeren. Microsoft Defender voor Eindpunt moet bijvoorbeeld automatisch een apparaat bevatten.

Microsoft Defender voor Eindpunt apparaatdetectie is ingesteld op 'standaarddetectie'

Machtigingen

Als u mogelijkheden voor automatische aanvalsonderbreking wilt configureren, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in de Microsoft 365-beheercentrum (https://admin.microsoft.com):

Globale beheerder
Beveiligingsbeheerder

Zie Vereiste machtigingen voor actiecentrumtaken als u wilt werken met geautomatiseerde onderzoeks- en reactiemogelijkheden, zoals het controleren, goedkeuren of weigeren van acties die in behandeling zijn.

vereisten voor Microsoft Defender voor Eindpunt

Minimale sense-clientversie (MDE-client)

De minimale sense-agentversie die is vereist om de actie Gebruiker bevatten te laten werken, is v10.8470. U kunt de versie van de Sense Agent op een apparaat identificeren door de volgende PowerShell-opdracht uit te voeren:

Get-ItemProperty -Pad 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatiseringsinstelling voor apparaten van uw organisatie

Controleer het geconfigureerde automatiseringsniveau voor uw apparaatgroepsbeleid, wWanneer er geautomatiseerde onderzoeken worden uitgevoerd en of herstelacties automatisch of alleen na goedkeuring voor uw apparaten worden uitgevoerd, zijn afhankelijk van bepaalde instellingen. U moet een globale beheerder of beveiligingsbeheerder zijn om de volgende procedure uit te voeren:

Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
Ga naar Instellingen>Eindpunten>Apparaatgroepen onder Machtigingen.
Controleer uw apparaatgroepsbeleid. Bekijk de kolom Automation-niveau . U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen. Mogelijk moet u uw apparaatgroepen maken of bewerken om het gewenste automatiseringsniveau te krijgen. Als u een apparaatgroep wilt uitsluiten van geautomatiseerde insluiting, stelt u het automatiseringsniveau in op geen geautomatiseerd antwoord. Houd er rekening mee dat dit niet ten zeerste wordt aanbevolen en alleen moet worden gedaan voor een beperkt aantal apparaten.

Configuratie van apparaatdetectie

Instellingen voor apparaatdetectie moeten minimaal worden geactiveerd op Standaarddetectie. Meer informatie over het configureren van apparaatdetectie in Apparaatdetectie instellen.

Opmerking

Aanvalsonderbreking kan optreden op apparaten die onafhankelijk zijn van de Microsoft Defender Antivirus-besturingssysteemstatus van een apparaat. De bedrijfsstatus kan actief, passief of EDR-blokmodus zijn.

vereisten voor Microsoft Defender for Identity

Controle instellen op domeincontrollers

Meer informatie over het instellen van controle in domeincontrollers in Auditbeleid configureren voor Windows-gebeurtenislogboeken om ervoor te zorgen dat vereiste controlegebeurtenissen worden geconfigureerd op de domeincontrollers waarop de Defender for Identity-sensor is geïmplementeerd.

Actieaccounts configureren

Met Defender for Identity kunt u herstelacties uitvoeren die gericht zijn op on-premises Active Directory-accounts in het geval dat een identiteit wordt gecompromitteerd. Als u deze acties wilt uitvoeren, moet Defender for Identity over de vereiste machtigingen beschikken om dit te doen. Standaard imiteert de Defender for Identity-sensor het LocalSystem-account van de domeincontroller en voert de acties uit. Omdat de standaardwaarde kan worden gewijzigd, controleert u of Defender for Identity over de vereiste machtigingen beschikt.

Meer informatie over de actieaccounts vindt u in Microsoft Defender for Identity actieaccounts configureren

De Defender for Identity-sensor moet worden geïmplementeerd op de domeincontroller waarop het Active Directory-account moet worden uitgeschakeld.

Opmerking

Als u automatiseringen hebt ingesteld om een gebruiker te activeren of te blokkeren, controleert u of de automatiseringen onderbrekingen kunnen verstoren. Als er bijvoorbeeld een automatisering is ingesteld om regelmatig te controleren en af te dwingen dat alle actieve werknemers accounts hebben ingeschakeld, kan dit onbedoeld accounts activeren die zijn gedeactiveerd door aanvalsonderbreking tijdens het detecteren van een aanval.

vereisten voor Microsoft Defender for Cloud Apps

Microsoft Office 365 connector

Microsoft Defender for Cloud Apps moet via de connector zijn verbonden met Microsoft Office 365. Zie Microsoft 365 verbinden met Microsoft Defender for Cloud Apps om verbinding te maken met Defender for Cloud Apps.

App-beheer

App Governance moet zijn ingeschakeld. Raadpleeg de documentatie over app-beheer om deze in te schakelen.

vereisten voor Microsoft Defender voor Office 365

Locatie van postvakken

Postvakken moeten worden gehost in Exchange Online.

Logboekregistratie van postvakcontrole

De volgende postvakgebeurtenissen moeten minimaal worden gecontroleerd:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Raadpleeg Postvakcontrole beheren voor meer informatie over het beheren van postvakcontrole.

Safelinks-beleid moet aanwezig zijn.

Automatische antwoorduitsluitingen voor gebruikers controleren of wijzigen

Automatische aanvalsonderbreking maakt het mogelijk specifieke gebruikersaccounts uit te sluiten van geautomatiseerde insluitingsacties. Uitgesloten gebruikers worden niet beïnvloed door geautomatiseerde acties die worden geactiveerd door aanvalsonderbreking. U moet een globale beheerder of beveiligingsbeheerder zijn om de volgende procedure uit te voeren:

Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
Ga naar Instellingen>Microsoft Defender XDR>Automatisch antwoordidentiteit. Controleer de gebruikerslijst om accounts uit te sluiten.
Als u een nieuw gebruikersaccount wilt uitsluiten, selecteert u Uitsluiting van gebruiker toevoegen.

Het uitsluiten van gebruikersaccounts wordt niet aanbevolen en accounts die aan deze lijst worden toegevoegd, worden niet onderbroken in alle ondersteunde aanvalstypen, zoals zakelijke e-mailcompromittatie (BEC) en door mensen beheerde ransomware.

Volgende stappen

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.

Share via