Konfigurowanie możliwości zautomatyzowanego badania i reagowania w Microsoft Defender XDR

Artykuł
04/26/2024

Microsoft Defender XDR obejmuje zaawansowane funkcje zautomatyzowanego badania i reagowania, które pozwalają zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku. Dzięki samonaprawianiu te możliwości naśladują kroki, które analityk zabezpieczeń podejmie w celu zbadania zagrożeń i reagowania na nie, tylko szybciej i z większą możliwością skalowania.

W tym artykule opisano sposób konfigurowania zautomatyzowanego badania i reagowania w Microsoft Defender XDR, wykonując następujące kroki:

Zapoznaj się z wymaganiami wstępnymi.
Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń.
Przejrzyj zasady zabezpieczeń i alertów w Office 365.

Następnie po skonfigurowaniu można wyświetlać akcje korygowania i zarządzać nimi w centrum akcji. W razie potrzeby możesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania.

Wymagania wstępne dotyczące zautomatyzowanego badania i reagowania w Microsoft Defender XDR

Wymóg	Szczegóły
Wymagania dotyczące subskrypcji	Jedna z tych subskrypcji: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 z dodatkiem Zabezpieczenia platformy Microsoft 365 E5 Microsoft 365 A3 z dodatkiem Microsoft 365 A5 Security Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5 Zobacz wymagania dotyczące licencjonowania Microsoft Defender XDR.
Wymagania dotyczące sieci	Microsoft Defender for Identity włączone Microsoft Defender for Cloud Apps skonfigurowane integracja Microsoft Defender for Identity
Wymagania dotyczące urządzeń z systemem Windows	Windows 11 Windows 10 zainstalowana wersja 1709 lub nowsza (zobacz informacje o wersji systemu Windows) Skonfigurowano następujące usługi ochrony przed zagrożeniami: Ochrona punktu końcowego w usłudze Microsoft Defender Program antywirusowy Microsoft Defender
Ochrona zawartości poczty e-mail i plików pakietu Office	Ochrona usługi Office 365 w usłudze Microsoft Defender jest skonfigurowany Skonfigurowano funkcje zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint (wymagane do akcji ręcznego reagowania, takich jak usuwanie wiadomości e-mail na urządzeniach)
Uprawnienia	Aby skonfigurować możliwości zautomatyzowanego badania i reagowania, musisz mieć jedną z następujących ról przypisanych do Tożsamość Microsoft Entra (https://portal.azure.com) lub w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com): Administrator globalny Administrator zabezpieczeń Aby pracować z możliwościami zautomatyzowanego badania i reagowania, takimi jak przeglądanie, zatwierdzanie lub odrzucanie oczekujących akcji, zobacz Wymagane uprawnienia do zadań centrum akcji.

Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń

To, czy są uruchamiane zautomatyzowane badania i czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu dla urządzeń, zależą od pewnych ustawień, takich jak zasady grupy urządzeń w organizacji. Przejrzyj skonfigurowany poziom automatyzacji dla zasad grupy urządzeń. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:

Przejdź do portalu Microsoft Defender pod adresem https://security.microsoft.com i zaloguj się.
Przejdź do pozycji Ustawienia>punkty końcowe>Grupy urządzeń w obszarze Uprawnienia.
Przejrzyj zasady grupy urządzeń. W szczególności przyjrzyj się kolumnie poziom automatyzacji . Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Może być konieczne utworzenie lub edytowanie grup urządzeń w celu uzyskania żądanego poziomu automatyzacji. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:
- Jak są korygowane zagrożenia
- Twórz grupy urządzeń i zarządzaj nimi

Przejrzyj zasady zabezpieczeń i alertów w Office 365

Firma Microsoft udostępnia wbudowane zasady alertów , które ułatwiają identyfikowanie pewnych zagrożeń. Te zagrożenia obejmują nadużywanie uprawnień administratora programu Exchange, działanie złośliwego oprogramowania, potencjalne zagrożenia zewnętrzne i wewnętrzne oraz ryzyko związane z zarządzaniem cyklem życia danych. Niektóre alerty mogą wyzwalać automatyczne badanie i reagowanie w Office 365. Upewnij się, że funkcje [Ochrona usługi Office 365 w usłudze Defender]/defender-office-365/mdo-about są poprawnie skonfigurowane.

Mimo że niektóre alerty i zasady zabezpieczeń mogą wyzwalać zautomatyzowane badania, żadne akcje korygowania nie są wykonywane automatycznie dla poczty e-mail i zawartości. Zamiast tego wszystkie akcje korygowania zawartości poczty e-mail i wiadomości e-mail czekają na zatwierdzenie przez zespół ds. operacji zabezpieczeń w Centrum akcji.

Ustawienia zabezpieczeń w Exchange Online Protection (EOP) i Ochrona usługi Office 365 w usłudze Defender pomagają chronić pocztę e-mail i zawartość. Zalecamy przypisanie ochrony użytkownikom przy użyciu standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń .

Jeśli używasz zasad niestandardowych, użyj analizatora konfiguracji , aby porównać ustawienia zasad ze standardowymi i ścisłymi ustawieniami wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać szczegółową listę wszystkich ustawień zasad, zobacz tabele w temacie Zalecane ustawienia dotyczące operacji EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zasady alertów można przejrzeć w portalu usługi Defender pod adresem https://security.microsoft.com>Zasady & reguł>alertów lub bezpośrednio pod adresem https://security.microsoft.com/alertpoliciesv2. Kilka domyślnych zasad alertów znajduje się w kategorii Zarządzanie zagrożeniami . Niektóre zasady alertów w kategorii Zarządzanie zagrożeniami mogą wyzwalać automatyczne badanie i reagowanie. Aby dowiedzieć się więcej, zobacz Zasady alertów zarządzania zagrożeniami.

Chcesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania?

Możesz wybrać jedną z kilku opcji zmiany ustawień funkcji zautomatyzowanego badania i reagowania. Niektóre opcje są wymienione w poniższej tabeli:

Aby to zrobić	Wykonaj następujące kroki
Określanie poziomów automatyzacji dla grup urządzeń	Skonfiguruj co najmniej jedną grupę urządzeń. Zobacz Twórca i zarządzanie grupami urządzeń. W portalu Microsoft Defender przejdź do pozycji Role punktów końcowych> uprawnień& grup>urządzeń. Wybierz grupę urządzeń i przejrzyj jej ustawienie poziomu automatyzacji . (Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Zobacz Poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania. Powtórz kroki 2 i 3 odpowiednio do wszystkich grup urządzeń.

Aby to zrobić

Wykonaj następujące kroki

Określanie poziomów automatyzacji dla grup urządzeń

Skonfiguruj co najmniej jedną grupę urządzeń. Zobacz Twórca i zarządzanie grupami urządzeń.
W portalu Microsoft Defender przejdź do pozycji Role punktów końcowych> uprawnień& grup>urządzeń.
Wybierz grupę urządzeń i przejrzyj jej ustawienie poziomu automatyzacji . (Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Zobacz Poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania.
Powtórz kroki 2 i 3 odpowiednio do wszystkich grup urządzeń.

Następne kroki

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.