Geautomatiseerde onderzoeks- en reactiemogelijkheden configureren in Microsoft Defender XDR

  • Artikel

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Microsoft Defender XDR bevat krachtige geautomatiseerde onderzoeks- en reactiemogelijkheden die uw beveiligingsteam veel tijd en moeite kunnen besparen. Met zelfherstel bootsen deze mogelijkheden de stappen na die een beveiligingsanalist zou nemen om bedreigingen te onderzoeken en erop te reageren, alleen sneller en met meer mogelijkheden om te schalen.

In dit artikel wordt beschreven hoe u geautomatiseerd onderzoek en antwoord configureert in Microsoft Defender XDR met de volgende stappen:

  1. Controleer de vereisten.
  2. Controleer of wijzig het automatiseringsniveau voor apparaatgroepen.
  3. Controleer uw beveiligings- en waarschuwingsbeleid in Office 365.

Nadat u alles hebt ingesteld, kunt u herstelacties weergeven en beheren in het Actiecentrum. En, indien nodig, kunt u wijzigingen aanbrengen in instellingen voor geautomatiseerd onderzoek.

Vereisten voor geautomatiseerd onderzoek en reactie in Microsoft Defender XDR

Vereiste Details
Abonnementsvereisten Een van deze abonnementen:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 met de Microsoft 365 E5 Security-invoegtoepassing
  • Microsoft 365 A3 met de Microsoft 365 A5 Security-invoegtoepassing
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Zie Microsoft Defender XDR licentievereisten.
Vereisten voor netwerkfirewall
Windows-apparaatvereisten
Beveiliging voor e-mailinhoud en Office-bestanden
Machtigingen Als u geautomatiseerde onderzoeks- en reactiemogelijkheden wilt configureren, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in de Microsoft 365-beheercentrum (https://admin.microsoft.com):
  • Globale beheerder
  • Beveiligingsbeheerder
Zie Vereiste machtigingen voor actiecentrumtaken als u wilt werken met geautomatiseerde onderzoeks- en reactiemogelijkheden, zoals het controleren, goedkeuren of weigeren van acties die in behandeling zijn.

Het automatiseringsniveau voor apparaatgroepen controleren of wijzigen

Of geautomatiseerde onderzoeken worden uitgevoerd en of herstelacties automatisch of alleen na goedkeuring voor uw apparaten worden uitgevoerd, zijn afhankelijk van bepaalde instellingen, zoals het apparaatgroepsbeleid van uw organisatie. Controleer het geconfigureerde automatiseringsniveau voor uw apparaatgroepsbeleid. U moet een globale beheerder of beveiligingsbeheerder zijn om de volgende procedure uit te voeren:

  1. Ga naar de Microsoft Defender portal op en meld u aanhttps://security.microsoft.com.

  2. Ga naar Instellingen>Eindpunten>Apparaatgroepen onder Machtigingen.

  3. Controleer uw apparaatgroepsbeleid. Kijk met name naar de kolom Automation-niveau . U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen. Mogelijk moet u uw apparaatgroepen maken of bewerken om het gewenste automatiseringsniveau te krijgen. Raadpleeg de volgende artikelen voor hulp bij deze taak:

Controleer uw beveiligings- en waarschuwingsbeleid in Office 365

Microsoft biedt ingebouwd waarschuwingsbeleid waarmee bepaalde risico's kunnen worden geïdentificeerd. Deze risico's omvatten misbruik van Exchange-beheerdersmachtigingen, malwareactiviteit, mogelijke externe en interne bedreigingen en risico's voor gegevenslevenscyclusbeheer. Sommige waarschuwingen kunnen geautomatiseerd onderzoek en reactie activeren in Office 365. Zorg ervoor dat uw Defender voor Office 365 functies correct zijn geconfigureerd.

Hoewel bepaalde waarschuwingen en beveiligingsbeleid geautomatiseerde onderzoeken kunnen activeren, worden er geen herstelacties automatisch uitgevoerd voor e-mail en inhoud. In plaats daarvan moeten alle herstelacties voor e-mail en e-mailinhoud worden goedgekeurd door uw beveiligingsteam in het actiecentrum.

Beveiligingsinstellingen in Exchange Online Protection (EOP) en Defender voor Office 365 helpen e-mail en inhoud te beveiligen. We raden u aan het standaard- en strikt vooraf ingestelde beveiligingsbeleid te gebruiken om beveiliging toe te wijzen aan gebruikers.

Als u aangepaste beleidsregels gebruikt, gebruikt u configuratieanalyse om uw beleidsinstellingen te vergelijken met de vooraf ingestelde standaard- en strikte beveiligingsbeleidsinstellingen. Zie de tabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365 beveiliging voor een gedetailleerde lijst met alle beleidsinstellingen.

U kunt uw waarschuwingsbeleid bekijken in de Defender-portal op https://security.microsoft.com>Beleidsregels & regels>Waarschuwingsbeleid of rechtstreeks op https://security.microsoft.com/alertpoliciesv2. Verschillende standaardwaarschuwingsbeleidsregels bevinden zich in de categorie Bedreigingsbeheer . Sommige waarschuwingsbeleidsregels in de categorie Bedreigingsbeheer kunnen geautomatiseerd onderzoek en reactie activeren. Zie Waarschuwingsbeleid voor bedreigingsbeheer voor meer informatie.

Wilt u wijzigingen aanbrengen in de instellingen voor geautomatiseerd onderzoek?

U kunt kiezen uit verschillende opties om instellingen te wijzigen voor uw geautomatiseerde onderzoeks- en reactiemogelijkheden. Enkele opties worden weergegeven in de volgende tabel:

Om dit te doen Volg deze stappen
Automatiseringsniveaus opgeven voor groepen apparaten
  1. Stel een of meer apparaatgroepen in. Zie Apparaatgroepen maken en beheren.
  2. Ga in de Microsoft Defender portal naar Machtigingen Eindpuntrollen>& groepen>Apparaatgroepen.
  3. Selecteer een apparaatgroep en controleer de instelling van het Automation-niveau . (U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen). Zie Automatiseringsniveaus in mogelijkheden voor geautomatiseerd onderzoek en herstel.
  4. Herhaal stap 2 en 3 indien van toepassing voor al uw apparaatgroepen.

Volgende stappen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.