Teilen über


Konfigurieren von automatisierten Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR

Microsoft Defender XDR umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen , die Ihrem Sicherheitsteam viel Zeit und Aufwand sparen können. Mit der Selbstreparatur imitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst unternehmen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Möglichkeiten zur Skalierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:

  1. Überprüfen Sie die Voraussetzungen.
  2. Überprüfen oder ändern Sie die Automatisierungsebene für Gerätegruppen.
  3. Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.

Nachdem Sie alles eingerichtet haben, können Sie Wartungsaktionen im Info-Center anzeigen und verwalten. Außerdem können Sie bei Bedarf Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen.

Voraussetzungen für automatisierte Untersuchung und Reaktion in Microsoft Defender XDR

Anforderung Details
Abonnementanforderungen Eines dieser Abonnements:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On
  • Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Weitere Informationen finden Sie unter Microsoft Defender XDR-Lizenzierungsanforderungen.
Netzwerkanforderungen
Windows-Geräteanforderungen
Schutz für E-Mail-Inhalte und Office-Dateien
Berechtigungen Zum Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
  • Globaler Administrator
  • Sicherheitsadministrator
Informationen zum Arbeiten mit automatisierten Untersuchungs- und Antwortfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Hinweis

Microsoft empfiehlt die Verwendung von Rollen mit weniger Berechtigungen, um die Sicherheit zu verbessern. Die Rolle "Globaler Administrator", die über viele Berechtigungen verfügt, sollte nur in Notfällen verwendet werden, wenn keine andere Rolle passt.

Überprüfen oder Ändern der Automatisierungsebene für Gerätegruppen

Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer Organisation. Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

  1. Wechseln Sie zum Microsoft Defender-Portal unter , https://security.microsoft.com und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.

  3. Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte Wartungsebene an. Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:

Überprüfen Ihrer Sicherheits- und Warnungsrichtlinien in Office 365

Microsoft bietet integrierte Warnungsrichtlinien , mit denen bestimmte Risiken identifiziert werden können. Zu diesen Risiken gehören der Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Risiken für die Datenlebenszyklusverwaltung. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365 auslösen. Stellen Sie sicher, dass Ihre Defender für Office 365-Features ordnungsgemäß konfiguriert sind.

Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden keine Korrekturmaßnahmen für E-Mails und Inhalte automatisch ausgeführt. Stattdessen müssen alle Korrekturaktionen für E-Mails und E-Mail-Inhalte von Ihrem Sicherheitsteam im Info-Center genehmigt werden.

Sicherheitseinstellungen in Exchange Online Protection (EOP) und Defender für Office 365 tragen zum Schutz von E-Mails und Inhalten bei. Es wird empfohlen, die voreingestellten Sicherheitsrichtlinien Standard und Strict zu verwenden, um Benutzern Schutz zuzuweisen.

Wenn Sie benutzerdefinierte Richtlinien verwenden, verwenden Sie das Konfigurationsanalysetool , um Ihre Richtlinieneinstellungen mit den voreingestellten Sicherheitsrichtlinieneinstellungen Standard und Strict zu vergleichen. Eine ausführliche Auflistung aller Richtlinieneinstellungen finden Sie in den Tabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365-Sicherheit.

Sie können Ihre Warnungsrichtlinien im Defender-Portal unter https://security.microsoft.com>Richtlinien & Regeln>Warnungsrichtlinie oder direkt unter https://security.microsoft.com/alertpoliciesv2überprüfen. Mehrere Standardwarnungsrichtlinien befinden sich in der Kategorie Bedrohungsverwaltung . Einige der Warnungsrichtlinien in der Kategorie Bedrohungsverwaltung können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Warnungsrichtlinien für die Bedrohungsverwaltung.

Müssen Sie Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen?

Sie können aus mehreren Optionen wählen, um Einstellungen für Ihre automatisierten Untersuchungs- und Reaktionsfunktionen zu ändern. Einige Optionen sind in der folgenden Tabelle aufgeführt:

Zweck Führen Sie diese Schritte aus.
Angeben von Automatisierungsebenen für Gerätegruppen
  1. Richten Sie eine oder mehrere Gerätegruppen ein. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
  2. Navigieren Sie im Microsoft Defender-Portal zu Berechtigungen>Endpunktrollen & Gruppen>Gerätegruppen.
  3. Wählen Sie eine Gerätegruppe aus, und überprüfen Sie deren Einstellung auf Automatisierungsebene . (Es wird empfohlen, Vollständig zu verwenden – Bedrohungen automatisch beheben). Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen.
  4. Wiederholen Sie die Schritte 2 und 3 je nach Bedarf für alle Gerätegruppen.

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.