Konfigurera funktioner för automatisk undersökning och svar i Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Microsoft 365 Defender innehåller kraftfulla automatiska undersöknings- och svarsfunktioner som kan spara mycket tid och arbete från ditt säkerhetsteam. Med självbetjäningimiterar de här funktionerna de steg en säkerhetsanalytiker skulle vidta för att undersöka och reagera på hot, bara snabbare och med större skalningsmöjligheter.

I den här artikeln beskrivs hur du konfigurerar automatisk undersökning och svar i Microsoft 365 Defender med hjälp av följande steg:

  1. Granska förutsättningarna.
  2. Granska eller ändra automationsnivån för enhetsgrupper.
  3. Granska dina principer för säkerhet och aviseringar i Office 365.
  4. Kontrollera att Microsoft 365 Defender är aktiverat.

När du är konfigurerad kan du sedan visa och hantera åtgärder i Åtgärdscenter.

Förutsättningar för automatiserad undersökning och svar i Microsoft 365 Defender



Krav Information
Prenumerationskrav En av dessa prenumerationer:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 med Microsoft 365 E5 Security tillägg
  • Microsoft 365 A3 med Microsoft 365 A5 säkerhets tillägget
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Se Microsoft 365 Defender licenskrav.

Nätverkskrav
Windows enhetskrav
Skydd för e-postinnehåll och Office filer Microsoft Defender för Office 365 konfigurerad
Behörigheter Om du vill konfigurera funktioner för automatisk undersökning och svar måste du ha rollen Global administratör eller Säkerhetsadministratör tilldelad i antingen Azure Active Directory () eller https://portal.azure.com i Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ).

Information om hur du får de behörigheter som krävs för att arbeta med automatiska undersöknings- och svarsfunktioner, till exempel att granska, godkänna eller avvisa väntande åtgärder, finns i Obligatoriska behörigheter för aktiviteter i Åtgärdscenter.

Granska eller ändra automationsnivån för enhetsgrupper

Om automatiserade undersökningar körs och om åtgärder vidtas automatiskt eller bara vid godkännande för dina enheter beror på vissa inställningar, till exempel organisationens enhetsgruppsprinciper. Granska den konfigurerade automationsnivån för enhetens gruppprinciper.

  1. Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.

  2. Gå till Inställningar > Slutpunkter > enhetsgrupper under Behörigheter.

  3. Granska principer för din enhetsgrupp. Titta särskilt på kolumnen Automationsnivå. Vi rekommenderar att du använder Fullständigt – åtgärda hot automatiskt. Du kan behöva skapa eller redigera enhetsgrupper för att få den automatisering du vill ha. Om du behöver hjälp med den här uppgiften kan du läsa följande artiklar:

Granska dina säkerhet- och aviseringsprinciper i Office 365

Microsoft tillhandahåller inbyggda aviseringsprinciper som hjälper till att identifiera vissa risker. Dessa risker omfattar Exchange av administratörsbehörighet, missbruk av skadlig programvara, potentiella externa och interna hot samt risker för informationsstyrning. Vissa aviseringar kan utlösa automatisk undersökning och svar i Office 365. Se till att Defender för Office 365 funktioner är korrekt konfigurerade.

Även om vissa varningar och säkerhetsprinciper kan utlösa automatiska undersökningar, vidtas inga åtgärder automatiskt för e-post och innehåll. I stället väntar alla åtgärder för e-post- och e-postinnehåll på godkännande från säkerhetsåtgärdsteamet i Åtgärdscenter.

Säkerhetsinställningarna i Office 365 skydda e-post och innehåll. Om du vill visa eller ändra dessa inställningar följer du vägledning i Skydda mot hot.

  1. I Microsoft 365 Defender går dutill Principer för & principer för hot mot > regler.

  2. Kontrollera att alla följande principer har konfigurerats. Mer information om hur du får hjälp och rekommendationer finns i Skydda mot hot.

  3. Kontrollera att Valv bifogade filer för SharePoint, OneDrive och Microsoft Teams är aktiverat.

  4. Kontrollera att ZAP (Zero-hour auto purge) Exchange Online är i kraft.

  5. (Det här steget är valfritt.) Granska Office 365 principer för avisering i Microsoft 365 Efterlevnadscenter ( https://compliance.microsoft.com/compliancepolicies ). Flera standardaviseringsprinciper finns i kategorin Hothantering. Vissa av dessa varningar kan utlösa automatisk undersökning och svar. Mer information finns i Standardaviseringsprinciper.

Kontrollera att Microsoft 365 Defender är aktiverat

Så här kontrollerar du Microsoft 365 Defender är aktiverat.

  1. Logga in på Microsoft 365 Defender portalen

  2. Leta efter Incidenter i &, Letar och Åtgärdscenter som visas i bilden ovan.

Tips

Behöver du hjälp? Se Aktivera Microsoft 365 Defender.

Nästa steg