Настройка возможностей автоматического расследования и ответа в Microsoft 365 DefenderConfigure automated investigation and response capabilities in Microsoft 365 Defender

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Microsoft 365 Defender включает в себя мощные возможности автоматического расследования и реагирования, которые могут сэкономить много времени и усилий вашей группы операций безопасности.Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. С помощью самовосстановленияэти возможности имитируют действия аналитика безопасности для расследования и реагирования на угрозы, только быстрее и с большей возможностью масштабирования.With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale.

В этой статье описывается настройка автоматического расследования и ответа в Microsoft 365 Defender с помощью этих действий:This article describes how to configure automated investigation and response in Microsoft 365 Defender with these steps:

  1. Просмотрите необходимые условия.Review the prerequisites.
  2. Просмотрите или измените уровень автоматизации для групп устройств.Review or change the automation level for device groups.
  3. Просмотрите политики безопасности и оповещения в Office 365.Review your security and alert policies in Office 365.
  4. Убедитесь, что microsoft 365 Defender включен.Make sure Microsoft 365 Defender is turned on.

Затем после всех действий можно просматривать и управлять действиями по исправлению в центре действий.Then, after you're all set up, you can view and manage remediation actions in the Action center.

Необходимые условия для автоматического расследования и ответа в Microsoft 365 DefenderPrerequisites for automated investigation and response in Microsoft 365 Defender

ТребованияRequirement СведенияDetails
Требования к подписке:Subscription requirements Одна из этих подписок:One of these subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 A5- Microsoft 365 A5
- Microsoft 365 E3 с надстройка безопасности Microsoft 365 E5- Microsoft 365 E3 with the Microsoft 365 E5 Security add-on
- Microsoft 365 A3 с надстройка безопасности Microsoft 365 A5- Microsoft 365 A3 with the Microsoft 365 A5 Security add-on
- Office 365 E5 плюс корпоративная мобильность + безопасность E5 плюс Windows E5- Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

См. требования к лицензированию Microsoft 365 Defender.See Microsoft 365 Defender licensing requirements.

Требования к сетиNetwork requirements - Microsoft Defender for Identity включен- Microsoft Defender for Identity enabled
- Microsoft Cloud App Security configured- Microsoft Cloud App Security configured
- Microsoft Defender для интеграции удостоверений- Microsoft Defender for Identity integration
Требования к компьютеру Windows:Windows machine requirements -Windows 10 версии 1709 или более поздней (см. статью Сведения о выпуске Windows 10)- Windows 10, version 1709 or later installed (See Windows 10 release information)
- Настроены следующие службы защиты от угроз:- The following threat protection services configured:
- Microsoft Defender для конечной точки- Microsoft Defender for Endpoint
- Антивирус Microsoft Defender- Microsoft Defender Antivirus
Защита контента электронной почты и файлов OfficeProtection for email content and Office files Microsoft Defender для Office 365 настроенMicrosoft Defender for Office 365 configured
РазрешенияPermissions Чтобы настроить возможности автоматического расследования и реагирования, необходимо, чтобы роль глобального администратора или администратора безопасности была назначена в Azure Active Directory () или в центре администрирования https://portal.azure.com Microsoft 365 ( https://admin.microsoft.com ).To configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

Чтобы получить разрешения, необходимые для работы с автоматизированными возможностями расследования и реагирования, такими как проверка, одобрение или отклонение ожидающих действий, см. в документе Required permissions for Action Center tasks.To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

Обзор или изменение уровня автоматизации для групп устройствReview or change the automation level for device groups

Независимо от того, запускаются ли автоматические расследования и принимаются ли действия по исправлению автоматически или только после утверждения для устройств, зависят от определенных параметров, например политик группы устройств организации.Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. Просмотрите настроенный уровень автоматизации для политик групп устройств.Review the configured automation level for your device group policies.

  1. Перейдите в Центр безопасности защитника Майкрософт https://securitycenter.windows.com () и войдите.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
  2. Перейдите к группам устройств > "Параметры > разрешений".Go to Settings > Permissions > Device groups.
  3. Просмотрите политики группы устройств.Review your device group policies. В частности, посмотрите на столбец уровня исправлений.In particular, look at the Remediation level column. Рекомендуется автоматически использовать угрозы полного устранения.We recommend using Full - remediate threats automatically. Возможно, потребуется создать или изменить группы устройств, чтобы получить необходимый уровень автоматизации.You might need to create or edit your device groups to get the level of automation you want. Чтобы получить помощь в этой задаче, см. в следующих статьях:To get help with this task, see the following articles:

Просмотрите политики безопасности и оповещения в Office 365Review your security and alert policies in Office 365

Корпорация Майкрософт предоставляет встроенные политики оповещения, которые помогают выявлять определенные риски.Microsoft provides built-in alert policies that help identify certain risks. К этим рискам относятся злоупотребление разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией.These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Некоторые оповещения могут вызвать автоматическое расследование и ответ в Office 365.Some alerts can trigger automated investigation and response in Office 365. Убедитесь, что функции Defender для Office 365 настроены правильно.Make sure your Defender for Office 365 features are configured correctly.

Хотя определенные оповещения и политики безопасности могут вызывать автоматические расследования, для электронной почты и контента не принимаются автоматические действия по исправлению.Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. Вместо этого все действия по исправлению содержимого электронной почты и электронной почты ожидают утверждения вашей командой операций безопасности в Центре действий.Instead, all remediation actions for email and email content await approval by your security operations team in the Action center.

Параметры безопасности в Office 365 помогают защитить электронную почту и содержимое.Security settings in Office 365 help protect email and content. Чтобы просмотреть или изменить эти параметры, следуйте указаниям в "Защита от угроз".To view or change these settings, follow the guidance in Protect against threats.

  1. В центре безопасности Microsoft 365 () перейдите к политикам & https://security.microsoft.com > правил.In the Microsoft 365 security center (https://security.microsoft.com), go to Policies & Rules > Threat policies.
  2. Убедитесь, что все следующие политики настроены.Make sure all of the following policies are configured. Чтобы получить помощь и рекомендации, см. в справке "Защита от угроз".To get help and recommendations, see Protect against threats.
  3. Убедитесь, что Microsoft Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams включена.Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.
  4. Убедитесь, что автоматическая очистка без часов для защиты электронной почты действует.Make sure zero-hour auto purge for email protection is in effect.
  5. (Этот шаг необязателен.) Просмотрите политики оповещений Office 365 в центре соответствия требованиям Microsoft 365 https://compliance.microsoft.com/compliancepolicies ().(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). Несколько политик оповещений по умолчанию находятся в категории управление угрозами.Several default alert policies are in the Threat management category. Некоторые из этих оповещений могут вызвать автоматическое расследование и ответ.Some of these alerts can trigger automated investigation and response. Дополнительные дополнительные новости см. в дополнительных правилах оповещения по умолчанию.To learn more, see Default alert policies.

Убедитесь, что microsoft 365 Defender включенMake sure Microsoft 365 Defender is turned on

MTP на

  1. Вход в центр безопасности Microsoft 365 ( https://security.microsoft.com ).Sign in to the Microsoft 365 security center (https://security.microsoft.com).
  2. В области навигации посмотрите на происшествия, центр действий и охоту, как показано на предыдущем изображении.In the navigation pane, look for Incidents, Action center, and Hunting, as shown in the preceding image.
  3. В области навигации выберите Параметры > Microsoft 365 Defender.In the navigation pane, choose Settings > Microsoft 365 Defender. Подтверди, что microsoft 365 Defender включен.Confirm that Microsoft 365 Defender is turned on.

Совет

Нужна помощь?Need help? Включив Microsoft 365 Defender.See Turn on Microsoft 365 Defender.

Дальнейшие действияNext steps