Konfigurace možností automatizovaného prověřování a reakce v Microsoft Defender XDR

  • Článek

Microsoft Defender XDR zahrnuje výkonné funkce automatizovaného vyšetřování a reakce, které vašemu týmu pro operace zabezpečení ušetří spoustu času a úsilí. Díky samoopravení tyto funkce napodobují kroky, které by bezpečnostní analytik provedl, aby prošetřil hrozby a reagoval na ně, a to jen rychleji a s větší schopností škálování.

Tento článek popisuje, jak nakonfigurovat automatizované šetření a reakce v Microsoft Defender XDR pomocí těchto kroků:

  1. Projděte si požadavky.
  2. Zkontrolujte nebo změňte úroveň automatizace pro skupiny zařízení.
  3. Zkontrolujte zásady zabezpečení a upozornění v Office 365.

Po nastavení pak můžete zobrazit a spravovat nápravné akce v Centru akcí. A v případě potřeby můžete nastavení automatizovaného vyšetřování změnit.

Předpoklady pro automatizované šetření a reakce v Microsoft Defender XDR

Požadavek Podrobnosti
Požadavky na předplatné Jedno z těchto předplatných:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
  • Microsoft 365 A3 doplňkem zabezpečení Microsoft 365 A5
  • Office 365 E5 plus Enterprise Mobility + Security E5 a Windows E5

Viz Microsoft Defender XDR licenční požadavky.
Požadavky sítě
Požadavky na zařízení s Windows
Ochrana obsahu e-mailu a souborů Office
Oprávnění Pokud chcete nakonfigurovat možnosti automatizovaného šetření a reakce, musíte mít přiřazenou jednu z následujících rolí v Microsoft Entra ID (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com):
  • Globální správce
  • Správce zabezpečení
Pokud chcete pracovat s funkcemi automatizovaného vyšetřování a reakce, například kontrolou, schvalováním nebo odmítnutím čekajících akcí, přečtěte si téma Požadovaná oprávnění pro úlohy Centra akcí.

Kontrola nebo změna úrovně automatizace pro skupiny zařízení

To, jestli se pro vaše zařízení spouští automatizovaná šetření a jestli se akce nápravy provádějí automaticky nebo jenom po schválení, závisí na určitých nastaveních, jako jsou zásady skupiny zařízení ve vaší organizaci. Projděte si nakonfigurovanou úroveň automatizace pro zásady skupiny zařízení. Abyste mohli provést následující postup, musíte být globálním správcem nebo správcem zabezpečení:

  1. Přejděte na portál Microsoft Defender na adrese https://security.microsoft.com a přihlaste se.

  2. V části Oprávnění přejděte na Nastavení>Koncové body>Skupiny zařízení.

  3. Zkontrolujte zásady skupiny zařízení. Podívejte se zejména na sloupec Úroveň automatizace . Doporučujeme použít úplné – automaticky napravit hrozby. Možná budete muset vytvořit nebo upravit skupiny zařízení, abyste získali požadovanou úroveň automatizace. Nápovědu k tomuto úkolu najdete v následujících článcích:

Kontrola zásad zabezpečení a upozornění v Office 365

Microsoft poskytuje integrované zásady upozornění , které pomáhají identifikovat určitá rizika. Mezi tato rizika patří zneužití oprávnění správce Exchange, aktivita malwaru, potenciální externí a interní hrozby a rizika správy životního cyklu dat. Některé výstrahy můžou v Office 365 aktivovat automatizované šetření a reakce. Ujistěte se, že jsou správně nakonfigurované funkce [Defender pro Office 365]/defender-office-365/mdo-about.

I když určitá upozornění a zásady zabezpečení můžou aktivovat automatizované šetření, pro e-mail a obsah se automaticky neprovedou žádné nápravné akce. Místo toho všechny akce nápravy e-mailu a e-mailového obsahu čekají na schválení vaším týmem pro operace zabezpečení v Centru akcí.

Nastavení zabezpečení v Exchange Online Protection (EOP) a Defender pro Office 365 pomáhají chránit e-maily a obsah. K přiřazení ochrany uživatelům doporučujeme použít přednastavené zásady zabezpečení Standard a Strict.

Pokud používáte vlastní zásady, pomocí analyzátoru konfigurace porovnejte nastavení zásad s nastavením standardních a striktních přednastavených zásad zabezpečení. Podrobný seznam všech nastavení zásad najdete v tabulkách v tématu Doporučené nastavení pro EOP a Microsoft Defender pro Office 365 zabezpečení.

Zásady upozornění si můžete prohlédnout na portálu Defender v části https://security.microsoft.com>Zásady & pravidla>Zásady upozornění nebo přímo na adrese https://security.microsoft.com/alertpoliciesv2. V kategorii Správa hrozeb je několik výchozích zásad upozornění. Některé zásady upozornění v kategorii Správa hrozeb můžou aktivovat automatizované prověřování a reakce. Další informace najdete v tématu Zásady upozornění správy hrozeb.

Potřebujete změnit nastavení automatizovaného vyšetřování?

Můžete si vybrat z několika možností, jak změnit nastavení automatizovaných možností vyšetřování a reakce. Některé možnosti jsou uvedené v následující tabulce:

Postup: Postupujte
Určení úrovní automatizace pro skupiny zařízení
  1. Nastavte jednu nebo více skupin zařízení. Viz Create a správa skupin zařízení.
  2. Na portálu Microsoft Defender přejděte naRole koncových bodů oprávnění> & skupiny >zařízení.
  3. Vyberte skupinu zařízení a zkontrolujte její nastavení úrovně Automatizace . (Doporučujeme použít úplné – automaticky napravit hrozby.) Viz Úrovně automatizace v automatizovaných možnostech vyšetřování a nápravy.
  4. Opakujte kroky 2 a 3 podle potřeby pro všechny skupiny zařízení.

Další kroky

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.