在 Microsoft Defender 全面偵測回應 中設定自動化調查和回應功能
Microsoft Defender 全面偵測回應 包含強大的自動化調查和回應功能,可節省安全性作業小組許多時間和精力。 透過 自我修復,這些功能會模擬安全性分析師在調查和回應威脅時所採取的步驟,只有更快,而且有更多調整能力。
本文說明如何使用下列步驟,在 Microsoft Defender 全面偵測回應 中設定自動化調查和回應:
然後,在您全部設定完成之後,您就可以 在控制中心檢視和管理補救動作。 而且,如有必要,您可以 變更自動化調查設定。
Microsoft Defender 全面偵測回應 中自動化調查和回應的必要條件
需求 | 詳細資料 |
---|---|
訂閱需求 | 下列其中一個訂用帳戶:
請參閱 Microsoft Defender 全面偵測回應 授權需求。 |
網路要求 | |
Windows 裝置需求 |
|
電子郵件內容和 Office 檔案的保護 |
|
權限 | 若要設定自動化調查和回應功能,您必須在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中https://admin.microsoft.com指派下列其中一個角色:
|
檢閱或變更裝置群組的自動化層級
自動調查是否執行,以及是否自動採取補救動作,或只在核准您的裝置時,取決於特定設定,例如貴組織的裝置組策略。 檢閱為您的裝置組策略設定的自動化層級。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:
移至 Microsoft Defender 入口https://security.microsoft.com網站,然後登入。
移至 [許可權]> 下的 [設定端點>裝置群組]。
檢閱您的裝置組策略。 特別是,請查看 [自動化層級] 數據行 。 建議您 自動使用完整 - 補救威脅。 您可能需要建立或編輯裝置群組,以取得您想要的自動化層級。 若要取得這項工作的協助,請參閱下列文章:
在 Office 365 中檢閱您的安全性和警示原則
Microsoft 提供內建 的警示原則 ,可協助識別特定風險。 這些風險包括 Exchange 系統管理員許可權濫用、惡意代碼活動、潛在的外部和內部威脅,以及數據生命週期管理風險。 某些警示可能會在 Office 365 中觸發自動化調查和回應。 請確定您的 [適用於 Office 365 的 Defender]/defender-office-365/mdo-about 功能已正確設定。
雖然某些警示和安全策略可以觸發自動化調查, 但不會自動對電子郵件和內容採取任何補救動作。 相反地,電子郵件和電子郵件內容的所有補救動作都會等待控制中心的安全性作業小組核 准。
Exchange Online Protection (EOP) 和 適用於 Office 365 的 Defender 中的安全性設定可協助保護電子郵件和內容。 我們建議使用標準和嚴格 預設安全策略 ,將保護指派給使用者。
如果您使用自定義原則,請使用組態 分析器 來比較原則設定與標準和嚴格預設安全策略設定。 如需所有原則設定的詳細清單,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定中的數據表。
您可以在 Defender 入口網站中檢閱 警示原則 ,網 & https://security.microsoft.com>規則>警示原則 或直接在 https://security.microsoft.com/alertpoliciesv2。 有數個預設警示原則位於 威脅管理 類別中。 威脅管理類別中的某些警示原則可以觸發自動化調查和回應。 若要深入瞭解,請參閱 威脅管理警示原則。
需要對自動化調查設定進行變更嗎?
您可以從數個選項中選擇,以變更自動化調查和回應功能的設定。 下表列出一些選項:
若要執行這項操作 | 請遵循下列步驟 |
---|---|
指定裝置群組的自動化層級 |
|
後續步驟
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應