Konfigurieren von automatisierten Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR
Microsoft Defender XDR umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen , die Ihrem Sicherheitsteam viel Zeit und Aufwand sparen können. Mit der Selbstreparatur imitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst unternehmen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Möglichkeiten zur Skalierung.
In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:
- Überprüfen Sie die Voraussetzungen.
- Überprüfen oder ändern Sie die Automatisierungsebene für Gerätegruppen.
- Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.
Nachdem Sie alles eingerichtet haben, können Sie Wartungsaktionen im Info-Center anzeigen und verwalten. Außerdem können Sie bei Bedarf Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen.
Voraussetzungen für automatisierte Untersuchung und Reaktion in Microsoft Defender XDR
Anforderung | Details |
---|---|
Abonnementanforderungen | Eines dieser Abonnements:
Weitere Informationen finden Sie unter Microsoft Defender XDR-Lizenzierungsanforderungen. |
Netzwerkanforderungen | |
Windows-Geräteanforderungen |
|
Schutz für E-Mail-Inhalte und Office-Dateien |
|
Berechtigungen | Zum Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
|
Hinweis
Microsoft empfiehlt die Verwendung von Rollen mit weniger Berechtigungen, um die Sicherheit zu verbessern. Die Rolle "Globaler Administrator", die über viele Berechtigungen verfügt, sollte nur in Notfällen verwendet werden, wenn keine andere Rolle passt.
Überprüfen oder Ändern der Automatisierungsebene für Gerätegruppen
Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer Organisation. Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:
Wechseln Sie zum Microsoft Defender-Portal unter , https://security.microsoft.com und melden Sie sich an.
Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.
Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte Wartungsebene an. Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:
Überprüfen Ihrer Sicherheits- und Warnungsrichtlinien in Office 365
Microsoft bietet integrierte Warnungsrichtlinien , mit denen bestimmte Risiken identifiziert werden können. Zu diesen Risiken gehören der Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Risiken für die Datenlebenszyklusverwaltung. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365 auslösen. Stellen Sie sicher, dass Ihre Defender für Office 365-Features ordnungsgemäß konfiguriert sind.
Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden keine Korrekturmaßnahmen für E-Mails und Inhalte automatisch ausgeführt. Stattdessen müssen alle Korrekturaktionen für E-Mails und E-Mail-Inhalte von Ihrem Sicherheitsteam im Info-Center genehmigt werden.
Sicherheitseinstellungen in Exchange Online Protection (EOP) und Defender für Office 365 tragen zum Schutz von E-Mails und Inhalten bei. Es wird empfohlen, die voreingestellten Sicherheitsrichtlinien Standard und Strict zu verwenden, um Benutzern Schutz zuzuweisen.
Wenn Sie benutzerdefinierte Richtlinien verwenden, verwenden Sie das Konfigurationsanalysetool , um Ihre Richtlinieneinstellungen mit den voreingestellten Sicherheitsrichtlinieneinstellungen Standard und Strict zu vergleichen. Eine ausführliche Auflistung aller Richtlinieneinstellungen finden Sie in den Tabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365-Sicherheit.
Sie können Ihre Warnungsrichtlinien im Defender-Portal unter https://security.microsoft.com>Richtlinien & Regeln>Warnungsrichtlinie oder direkt unter https://security.microsoft.com/alertpoliciesv2überprüfen. Mehrere Standardwarnungsrichtlinien befinden sich in der Kategorie Bedrohungsverwaltung . Einige der Warnungsrichtlinien in der Kategorie Bedrohungsverwaltung können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Warnungsrichtlinien für die Bedrohungsverwaltung.
Müssen Sie Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen?
Sie können aus mehreren Optionen wählen, um Einstellungen für Ihre automatisierten Untersuchungs- und Reaktionsfunktionen zu ändern. Einige Optionen sind in der folgenden Tabelle aufgeführt:
Zweck | Führen Sie diese Schritte aus. |
---|---|
Angeben von Automatisierungsebenen für Gerätegruppen |
|
Nächste Schritte
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.