Konfigurera funktioner för automatisk undersökning och svar i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Microsoft 365 Defender innehåller kraftfulla automatiska undersöknings- och svarsfunktioner som kan spara mycket tid och arbete från ditt säkerhetsteam. Med självbetjäningimiterar de här funktionerna de steg en säkerhetsanalytiker skulle vidta för att undersöka och reagera på hot, bara snabbare och med större skalningsmöjligheter.
I den här artikeln beskrivs hur du konfigurerar automatisk undersökning och svar i Microsoft 365 Defender med hjälp av följande steg:
- Granska förutsättningarna.
- Granska eller ändra automationsnivån för enhetsgrupper.
- Granska dina principer för säkerhet och aviseringar i Office 365.
- Kontrollera att Microsoft 365 Defender är aktiverat.
När du är konfigurerad kan du sedan visa och hantera åtgärder i Åtgärdscenter.
Förutsättningar för automatiserad undersökning och svar i Microsoft 365 Defender
| Krav | Information |
|---|---|
| Prenumerationskrav | En av dessa prenumerationer:
|
| Nätverkskrav | |
| Windows enhetskrav |
|
| Skydd för e-postinnehåll och Office filer | Microsoft Defender för Office 365 konfigurerad |
| Behörigheter | Om du vill konfigurera funktioner för automatisk undersökning och svar måste du ha rollen Global administratör eller Säkerhetsadministratör tilldelad i antingen Azure Active Directory () eller https://portal.azure.com i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ). Information om hur du får de behörigheter som krävs för att arbeta med automatiska undersöknings- och svarsfunktioner, till exempel att granska, godkänna eller avvisa väntande åtgärder, finns i Obligatoriska behörigheter för aktiviteter i Åtgärdscenter. |
Granska eller ändra automationsnivån för enhetsgrupper
Om automatiserade undersökningar körs och om åtgärder vidtas automatiskt eller bara vid godkännande för dina enheter beror på vissa inställningar, till exempel organisationens enhetsgruppsprinciper. Granska den konfigurerade automationsnivån för enhetens gruppprinciper.
Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
Gå till Inställningar > Slutpunkter > enhetsgrupper under Behörigheter.
Granska principer för din enhetsgrupp. Titta särskilt på kolumnen Automationsnivå. Vi rekommenderar att du använder Fullständigt – åtgärda hot automatiskt. Du kan behöva skapa eller redigera enhetsgrupper för att få den automatisering du vill ha. Om du behöver hjälp med den här uppgiften kan du läsa följande artiklar:
Granska dina säkerhet- och aviseringsprinciper i Office 365
Microsoft tillhandahåller inbyggda aviseringsprinciper som hjälper till att identifiera vissa risker. Dessa risker omfattar Exchange av administratörsbehörighet, missbruk av skadlig programvara, potentiella externa och interna hot samt risker för informationsstyrning. Vissa aviseringar kan utlösa automatisk undersökning och svar i Office 365. Se till att Defender för Office 365 funktioner är korrekt konfigurerade.
Även om vissa varningar och säkerhetsprinciper kan utlösa automatiska undersökningar, vidtas inga åtgärder automatiskt för e-post och innehåll. I stället väntar alla åtgärder för e-post- och e-postinnehåll på godkännande från säkerhetsåtgärdsteamet i Åtgärdscenter.
Säkerhetsinställningarna i Office 365 skydda e-post och innehåll. Om du vill visa eller ändra dessa inställningar följer du vägledning i Skydda mot hot.
I Microsoft 365 Defender går dutill Principer för & principer för hot mot > regler.
Kontrollera att alla följande principer har konfigurerats. Mer information om hur du får hjälp och rekommendationer finns i Skydda mot hot.
Kontrollera att Valv bifogade filer för SharePoint, OneDrive och Microsoft Teams är aktiverat.
Kontrollera att ZAP (Zero-hour auto purge) Exchange Online är i kraft.
(Det här steget är valfritt.) Granska Office 365 principer för avisering i Microsoft 365 Efterlevnadscenter ( https://compliance.microsoft.com/compliancepolicies ). Flera standardaviseringsprinciper finns i kategorin Hothantering. Vissa av dessa varningar kan utlösa automatisk undersökning och svar. Mer information finns i Standardaviseringsprinciper.
Kontrollera att Microsoft 365 Defender är aktiverat
Logga in på Microsoft 365 Defender portalen
Leta efter Incidenter i &, Letar och Åtgärdscenter som visas i bilden ovan.
- Om du ser & händelser i &, Om det gäller Microsoft 365 Defender åtgärdscenter är Microsoft 365 Defender aktiverat. Läs avsnittet Granska eller ändra automatiseringsnivån för enhetsgrupper i den här artikeln.
- Om du inte ser Incidenter, Åtgärdscenter eller Microsoft 365 Defender kanske inte är aktiverat. I det här fallet går du till Åtgärdscenter.
Tips
Behöver du hjälp? Se Aktivera Microsoft 365 Defender.