在 Microsoft Defender XDR 中配置自动调查和响应功能
注意
想要体验Microsoft Defender XDR? 详细了解如何评估和试点Microsoft Defender XDR。
Microsoft Defender XDR包括强大的自动调查和响应功能,可为安全运营团队节省大量时间和精力。 通过 自我修复,这些功能模仿安全分析师在调查和响应威胁时所要执行的步骤,但速度更快,并且能够进行扩展。
本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动调查和响应:
然后,完成所有设置后,可以在 操作中心查看和管理修正操作。 如有必要,还可以 对自动调查设置进行更改。
Microsoft Defender XDR中自动调查和响应的先决条件
| 要求 | 详细信息 |
|---|---|
| 订阅要求 | 以下订阅之一:
请参阅Microsoft Defender XDR许可要求。 |
| 网络要求 | |
| Windows 设备要求 |
|
| 保护电子邮件内容和 Office 文件 |
|
| 权限 | 若要配置自动调查和响应功能,必须在Microsoft Entra ID () 或Microsoft 365 管理中心 (https://portal.azure.com) 中https://admin.microsoft.com分配以下角色之一:
|
查看或更改设备组的自动化级别
是运行自动调查,还是仅在设备批准后自动执行修正操作取决于某些设置,例如组织的设备组策略。 查看设备组策略的已配置自动化级别。 必须是全局管理员或安全管理员才能执行以下过程:
转到 Microsoft Defender 门户https://security.microsoft.com并登录。
转到“权限”下的“设置>终结点>”“设备组”。
查看设备组策略。 具体而言,请查看 “自动化级别 ”列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要获取有关此任务的帮助,请参阅以下文章:
查看Office 365中的安全和警报策略
Microsoft 提供有助于识别某些风险的内置 警报策略 。 这些风险包括 Exchange 管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及数据生命周期管理风险。 某些警报可以在Office 365触发自动调查和响应。 确保正确配置Defender for Office 365功能。
尽管某些警报和安全策略可以触发自动调查, 但不会自动对电子邮件和内容执行修正操作。 相反,电子邮件和电子邮件内容的所有修正操作都在操作 中心等待安全运营团队的批准。
Exchange Online Protection (EOP) 和Defender for Office 365中的安全设置有助于保护电子邮件和内容。 建议使用标准和严格 预设安全策略 向用户分配保护。
如果使用自定义策略,请使用 配置分析器 将策略设置与“标准”和“严格”预设的安全策略设置进行比较。 有关所有策略设置的详细列表,请参阅 EOP 和Microsoft Defender for Office 365安全性的建议设置中的表。
可以在 Defender 门户中>https://security.microsoft.com的“策略”& 规则>“”警报策略“或直接查看警报https://security.microsoft.com/alertpoliciesv2策略。 威胁 管理 类别中存在几个默认警报策略。 威胁管理类别中的某些警报策略可以触发自动调查和响应。 若要了解详细信息,请参阅 威胁管理警报策略。
需要更改自动调查设置?
可以从多个选项中进行选择,以更改自动调查和响应功能的设置。 下表列出了一些选项:
| 所执行的操作 | 按照以下步骤操作 |
|---|---|
| 指定设备组的自动化级别 |
|
后续步骤
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈