Konfigurieren von Funktionen für automatische Angriffsunterbrechungen in Microsoft Defender XDR

Microsoft Defender XDR umfasst leistungsstarke funktionen für die Unterbrechung von Angriffen , die Ihre Umgebung vor komplexen, schwerwiegenden Angriffen schützen können.

In diesem Artikel wird beschrieben, wie Sie funktionen für automatische Angriffsunterbrechungen in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:

1. Überprüfen Sie die Voraussetzungen.
2. Überprüfen oder ändern Sie die automatisierten Antwortausschlüsse für Benutzer.

Nachdem Sie alles eingerichtet haben, können Sie eindämmungsaktionen in Incidents und im Info-Center anzeigen und verwalten. Und bei Bedarf können Sie Änderungen an den Einstellungen vornehmen.

Voraussetzungen für die automatische Angriffsunterbrechung in Microsoft Defender XDR

Anforderung	Details
Abonnementanforderungen	Eines dieser Abonnements: Microsoft 365 E5 oder A5 Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On Microsoft 365 E3 mit dem Enterprise Mobility + Security E5-Add-On Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On Windows 10 Enterprise E5 oder A5 Windows 11 Enterprise E5 oder A5 Enterprise Mobility + Security (EMS) E5 oder A5 Office 365 E5 oder A5 Microsoft Defender für Endpunkt (Plan 2) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Defender für Office 365 (Plan 2) Microsoft Defender für Unternehmen Weitere Informationen finden Sie unter Microsoft Defender XDR-Lizenzierungsanforderungen.
Bereitstellungsanforderungen	Bereitstellung über Defender-Produkte hinweg (z. B. Defender für Endpunkt, Defender für Office 365, Defender for Identity und Defender für Cloud-Apps) Je breiter die Bereitstellung, desto größer ist die Schutzabdeckung. Wenn beispielsweise ein Microsoft Defender für Cloud Apps-Signal in einer bestimmten Erkennung verwendet wird, ist dieses Produkt erforderlich, um das relevante spezifische Angriffsszenario zu erkennen. Ebenso sollte das relevante Produkt bereitgestellt werden, um eine automatisierte Antwortaktion auszuführen. Beispielsweise muss Microsoft Defender für Endpunkt automatisch ein Gerät enthalten. Die Geräteermittlung von Microsoft Defender für Endpunkt ist auf "Standardermittlung" festgelegt.
Berechtigungen	Zum Konfigurieren der Funktionen für automatische Angriffsunterbrechungen muss ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein: Globaler Administrator Sicherheitsadministrator Informationen zum Arbeiten mit automatisierten Untersuchungs- und Antwortfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Voraussetzungen für Microsoft Defender für Endpunkt

Mindestversion des Sense-Clients (MDE-Client)

Die mindestens erforderliche Version des Sense-Agents, damit die Aktion Benutzer enthalten funktioniert, ist v10.8470. Sie können die Version des Sense-Agents auf einem Gerät ermitteln, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatisierungseinstellung für Geräte Ihrer Organisation

Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien, wWhether automatisierte Untersuchungen ausgeführt werden, und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

2. Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.

3. Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Um eine Gerätegruppe vom automatisierten Einschluss auszuschließen, legen Sie die Automatisierungsebene auf keine automatisierte Antwort fest. Beachten Sie, dass dies nicht dringend empfohlen wird und nur für eine begrenzte Anzahl von Geräten erfolgen sollte.

Konfiguration der Geräteermittlung

Die Geräteermittlungseinstellungen müssen mindestens für "Standardermittlung" aktiviert werden. Informationen zum Konfigurieren der Geräteermittlung finden Sie unter Einrichten der Geräteermittlung.

Hinweis

Angriffsunterbrechungen können auf Geräten unabhängig vom Microsoft Defender Antivirus-Betriebszustand eines Geräts auftreten. Der Betriebszustand kann sich im Aktiv-, Passiv- oder EDR-Blockmodus befinden.

Voraussetzungen für Microsoft Defender for Identity

Einrichten der Überwachung auf Domänencontrollern

Informationen zum Einrichten der Überwachung auf Domänencontrollern finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle , um sicherzustellen, dass erforderliche Überwachungsereignisse auf den Domänencontrollern konfiguriert werden, auf denen der Defender for Identity-Sensor bereitgestellt wird.

Überprüfen von Aktionskonten

Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokale Active Directory-Konten durchzuführen, wenn eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Defender for Identity über die erforderlichen Berechtigungen verfügen. Standardmäßig nimmt der Defender for Identity-Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die Aktionen aus. Da die Standardeinstellung geändert werden kann, überprüfen Sie, ob Defender for Identity über die erforderlichen Berechtigungen verfügt oder das Standardkonto LocalSystem verwendet.

Weitere Informationen zu den Aktionskonten finden Sie unter Konfigurieren von Microsoft Defender for Identity-Aktionskonten.

Der Defender for Identity-Sensor muss auf dem Domänencontroller bereitgestellt werden, auf dem das Active Directory-Konto deaktiviert werden soll.

Hinweis

Wenn Sie über Automatisierungen zum Aktivieren oder Blockieren eines Benutzers verfügen, überprüfen Sie, ob die Automatisierungen die Unterbrechung beeinträchtigen können. Wenn beispielsweise eine Automatisierung vorhanden ist, um regelmäßig zu überprüfen und zu erzwingen, dass alle aktiven Mitarbeiter Konten aktiviert haben, könnte dies unbeabsichtigt Konten aktivieren, die durch eine Angriffsunterbrechung deaktiviert wurden, während ein Angriff erkannt wird.

Voraussetzungen für Microsoft Defender for Cloud Apps

Microsoft Office 365-Connector

Microsoft Defender für Cloud-Apps muss über den Connector mit Microsoft Office 365 verbunden sein. Informationen zum Verbinden von Defender für Cloud-Apps finden Sie unter Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps.

App-Governance

App Governance muss aktiviert sein. Informationen zum Aktivieren finden Sie in der Dokumentation zur App-Governance .

Voraussetzungen für Microsoft Defender für Office 365

Postfachspeicherort

Postfächer müssen in Exchange Online gehostet werden.

Postfachüberwachungsprotokollierung

Die folgenden Postfachereignisse müssen mindestens überwacht werden:

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• HardDelete

Informationen zum Verwalten der Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung .

Die Safelinks-Richtlinie muss vorhanden sein.

Überprüfen oder Ändern von Ausschlüssen für automatisierte Antworten für Benutzer

Automatische Angriffsunterbrechung ermöglicht den Ausschluss bestimmter Benutzerkonten von automatisierten Einschlussaktionen. Ausgeschlossene Benutzer sind nicht von automatisierten Aktionen betroffen, die durch eine Angriffsunterbrechung ausgelöst werden. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

2. Wechseln Sie zu Einstellungen>Microsoft Defender XDR>Identity Automatisierte Antwort. Überprüfen Sie die Benutzerliste, um Konten auszuschließen.

3. Um ein neues Benutzerkonto auszuschließen, wählen Sie Benutzerausschluss hinzufügen aus.

Das Ausschließen von Benutzerkonten wird nicht empfohlen, und Konten, die dieser Liste hinzugefügt werden, werden nicht in allen unterstützten Angriffstypen wie Business Email Compromise (BEC) und von Menschen betriebene Ransomware ausgesetzt.

Nächste Schritte

• Anzeigen der Details und Ergebnissen
• Abrufen von E-Mail-Benachrichtigungen für Antwortaktionen

Siehe auch

• Automatische Angriffsunterbrechung in Microsoft Defender XDR
• Automatische Angriffsunterbrechung für SAP

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.