Konfigurowanie możliwości zautomatyzowanego badania i reagowania w Microsoft Defender XDR
Microsoft Defender XDR obejmuje zaawansowane funkcje zautomatyzowanego badania i reagowania, które pozwalają zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku. Dzięki samonaprawianiu te możliwości naśladują kroki, które analityk zabezpieczeń podejmie w celu zbadania zagrożeń i reagowania na nie, tylko szybciej i z większą możliwością skalowania.
W tym artykule opisano sposób konfigurowania zautomatyzowanego badania i reagowania w Microsoft Defender XDR, wykonując następujące kroki:
- Zapoznaj się z wymaganiami wstępnymi.
- Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń.
- Przejrzyj zasady zabezpieczeń i alertów w Office 365.
Następnie po skonfigurowaniu można wyświetlać akcje korygowania i zarządzać nimi w centrum akcji. W razie potrzeby możesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania.
Wymagania wstępne dotyczące zautomatyzowanego badania i reagowania w Microsoft Defender XDR
Wymóg | Szczegóły |
---|---|
Wymagania dotyczące subskrypcji | Jedna z tych subskrypcji:
Zobacz wymagania dotyczące licencjonowania Microsoft Defender XDR. |
Wymagania dotyczące sieci | |
Wymagania dotyczące urządzeń z systemem Windows |
|
Ochrona zawartości poczty e-mail i plików pakietu Office |
|
Uprawnienia | Aby skonfigurować możliwości zautomatyzowanego badania i reagowania, musisz mieć jedną z następujących ról przypisanych do Tożsamość Microsoft Entra (https://portal.azure.com) lub w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com):
|
Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń
To, czy są uruchamiane zautomatyzowane badania i czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu dla urządzeń, zależą od pewnych ustawień, takich jak zasady grupy urządzeń w organizacji. Przejrzyj skonfigurowany poziom automatyzacji dla zasad grupy urządzeń. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:
Przejdź do portalu Microsoft Defender pod adresem https://security.microsoft.com i zaloguj się.
Przejdź do pozycji Ustawienia>punkty końcowe>Grupy urządzeń w obszarze Uprawnienia.
Przejrzyj zasady grupy urządzeń. W szczególności przyjrzyj się kolumnie poziom automatyzacji . Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Może być konieczne utworzenie lub edytowanie grup urządzeń w celu uzyskania żądanego poziomu automatyzacji. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:
Przejrzyj zasady zabezpieczeń i alertów w Office 365
Firma Microsoft udostępnia wbudowane zasady alertów , które ułatwiają identyfikowanie pewnych zagrożeń. Te zagrożenia obejmują nadużywanie uprawnień administratora programu Exchange, działanie złośliwego oprogramowania, potencjalne zagrożenia zewnętrzne i wewnętrzne oraz ryzyko związane z zarządzaniem cyklem życia danych. Niektóre alerty mogą wyzwalać automatyczne badanie i reagowanie w Office 365. Upewnij się, że funkcje [Ochrona usługi Office 365 w usłudze Defender]/defender-office-365/mdo-about są poprawnie skonfigurowane.
Mimo że niektóre alerty i zasady zabezpieczeń mogą wyzwalać zautomatyzowane badania, żadne akcje korygowania nie są wykonywane automatycznie dla poczty e-mail i zawartości. Zamiast tego wszystkie akcje korygowania zawartości poczty e-mail i wiadomości e-mail czekają na zatwierdzenie przez zespół ds. operacji zabezpieczeń w Centrum akcji.
Ustawienia zabezpieczeń w Exchange Online Protection (EOP) i Ochrona usługi Office 365 w usłudze Defender pomagają chronić pocztę e-mail i zawartość. Zalecamy przypisanie ochrony użytkownikom przy użyciu standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń .
Jeśli używasz zasad niestandardowych, użyj analizatora konfiguracji , aby porównać ustawienia zasad ze standardowymi i ścisłymi ustawieniami wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać szczegółową listę wszystkich ustawień zasad, zobacz tabele w temacie Zalecane ustawienia dotyczące operacji EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender.
Zasady alertów można przejrzeć w portalu usługi Defender pod adresem https://security.microsoft.com>Zasady & reguł>alertów lub bezpośrednio pod adresem https://security.microsoft.com/alertpoliciesv2. Kilka domyślnych zasad alertów znajduje się w kategorii Zarządzanie zagrożeniami . Niektóre zasady alertów w kategorii Zarządzanie zagrożeniami mogą wyzwalać automatyczne badanie i reagowanie. Aby dowiedzieć się więcej, zobacz Zasady alertów zarządzania zagrożeniami.
Chcesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania?
Możesz wybrać jedną z kilku opcji zmiany ustawień funkcji zautomatyzowanego badania i reagowania. Niektóre opcje są wymienione w poniższej tabeli:
Aby to zrobić | Wykonaj następujące kroki |
---|---|
Określanie poziomów automatyzacji dla grup urządzeń |
|
Następne kroki
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla