Del via


Konfigurer automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR

Microsoft Defender XDR indeholder effektive automatiserede undersøgelses- og svarfunktioner , der kan spare dit team for sikkerhedshandlinger meget tid og kræfter. Med selvreparerende funktioner efterligner disse funktioner de trin, som en sikkerhedsanalytiker ville udføre for at undersøge og reagere på trusler– kun hurtigere og med større evne til at skalere.

I denne artikel beskrives det, hvordan du konfigurerer automatiseret undersøgelse og svar i Microsoft Defender XDR ved hjælp af disse trin:

  1. Gennemse forudsætningerne.
  2. Gennemse eller rediger automatiseringsniveauet for enhedsgrupper.
  3. Gennemse dine politikker for sikkerhed og beskeder i Office 365.

Når du er konfigureret, kan du derefter få vist og administrere afhjælpningshandlinger i Løsningscenter. Og hvis det er nødvendigt, kan du foretage ændringer af automatiserede undersøgelsesindstillinger.

Forudsætninger for automatiseret undersøgelse og svar i Microsoft Defender XDR

Krav Detaljer
Abonnementskrav Et af disse abonnementer:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 med tilføjelsesprogrammet Microsoft 365 E5 Security
  • Microsoft 365 A3 med tilføjelsesprogrammet Microsoft 365 A5 Security
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Se Microsoft Defender XDR-licenskrav.
Netværkskrav
Krav til Windows-enhed
Beskyttelse af mailindhold og Office-filer
Tilladelser Hvis du vil konfigurere automatiserede undersøgelses- og svarfunktioner, skal du have en af følgende roller tildelt enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com):
  • Global administrator
  • Sikkerhedsadministrator
Hvis du vil arbejde med automatiserede undersøgelses- og svarfunktioner, f.eks. ved at gennemse, godkende eller afvise ventende handlinger, skal du se Påkrævede tilladelser til Opgaver i Løsningscenter.

Bemærk!

Microsoft anbefaler, at du bruger roller med færre tilladelser for at opnå bedre sikkerhed. Rollen Global administrator, som har mange tilladelser, bør kun bruges i nødsituationer, når der ikke er andre roller, der passer.

Gennemse eller rediger automatiseringsniveauet for enhedsgrupper

Om automatiserede undersøgelser kører, og om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse af dine enheder, afhænger af visse indstillinger, f.eks. organisationens politikker for enhedsgruppe. Gennemse det konfigurerede automatiseringsniveau for dine enhedsgruppepolitikker. Du skal være global administrator eller sikkerhedsadministrator for at kunne udføre følgende procedure:

  1. Gå til Microsoft Defender-portalen på , https://security.microsoft.com og log på.

  2. Gå til Indstillinger>Slutpunkter>Enhedsgrupper under Tilladelser.

  3. Gennemse politikker for enhedsgruppe. Se især kolonnen Afhjælpningsniveau . Vi anbefaler, at du bruger Fuld – afhjælper trusler automatisk. Du skal muligvis oprette eller redigere dine enhedsgrupper for at få det ønskede automatiseringsniveau. Du kan få hjælp til denne opgave i følgende artikler:

Gennemse dine politikker for sikkerhed og beskeder i Office 365

Microsoft leverer indbyggede beskedpolitikker , der hjælper med at identificere visse risici. Disse risici omfatter misbrug af Exchange-administratortilladelser, malwareaktivitet, potentielle eksterne og interne trusler og risici for administration af datalivscyklus. Nogle beskeder kan udløse automatiseret undersøgelse og svar i Office 365. Sørg for, at dine Defender for Office 365-funktioner er konfigureret korrekt.

Selvom visse beskeder og sikkerhedspolitikker kan udløse automatiserede undersøgelser, udføres der ingen afhjælpningshandlinger automatisk for mail og indhold. I stedet afventer alle afhjælpningshandlinger for mail- og mailindhold godkendelse af dit team for sikkerhedshandlinger i Løsningscenter.

Sikkerhedsindstillinger i Exchange Online Protection (EOP) og Defender for Office 365 hjælper med at beskytte mail og indhold. Vi anbefaler, at du bruger standard - og strenge forudindstillede sikkerhedspolitikker til at tildele beskyttelse til brugere.

Hvis du bruger brugerdefinerede politikker, kan du bruge Konfigurationsanalyse til at sammenligne dine politikindstillinger med standardindstillingerne og de forudindstillede indstillinger for den forudindstillede sikkerhedspolitik Standard og Strict. Du kan finde en detaljeret liste over alle politikindstillinger i tabellerne under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365-sikkerhed.

Du kan gennemse dine beskedpolitikker på Defender-portalen på https://security.microsoft.com>Politikker & regler>Beskedpolitik eller direkte på https://security.microsoft.com/alertpoliciesv2. Der findes flere standardpolitikker for beskeder i kategorien Trusselsadministration . Nogle af beskedpolitikkerne i kategorien Trusselsadministration kan udløse automatiseret undersøgelse og svar. Du kan få mere at vide under Politikker for advarsel om trusselsstyring.

Har du brug for at foretage ændringer af automatiserede undersøgelsesindstillinger?

Du kan vælge mellem flere indstillinger for at ændre indstillingerne for din automatiserede undersøgelses- og svarfunktion. Nogle indstillinger er angivet i følgende tabel:

For at gøre dette Følg disse trin
Angiv automatiseringsniveauer for grupper af enheder
  1. Konfigurer en eller flere enhedsgrupper. Se Opret og administrer enhedsgrupper.
  2. På Microsoft Defender-portalen skal du gå til Tilladelser>Slutpunkter roller & grupper>Enhedsgrupper.
  3. Vælg en enhedsgruppe, og gennemse dens indstilling for automatiseringsniveau . (Vi anbefaler, at du bruger Fuld – afhjælper trusler automatisk). Se Automatiseringsniveauer i automatiserede undersøgelses- og afhjælpningsfunktioner.
  4. Gentag trin 2 og 3 efter behov for alle dine enhedsgrupper.

Næste trin

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.