Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR
Microsoft Defender XDR umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen, die Ihrem Sicherheitsteam viel Zeit und Aufwand sparen können. Mit der Selbstreparatur imitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst unternehmen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Möglichkeiten zur Skalierung.
In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:
- Überprüfen Sie die Voraussetzungen.
- Überprüfen oder ändern Sie die Automatisierungsebene für Gerätegruppen.
- Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.
Nachdem Sie alles eingerichtet haben, können Sie Wartungsaktionen im Info-Center anzeigen und verwalten. Außerdem können Sie bei Bedarf Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen.
Voraussetzungen für automatisierte Untersuchung und Reaktion in Microsoft Defender XDR
Anforderung | Details |
---|---|
Abonnementanforderungen | Eines dieser Abonnements:
Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen. |
Netzwerkanforderungen | |
Windows-Geräteanforderungen |
|
Schutz für E-Mail-Inhalte und Office-Dateien |
|
Berechtigungen | Um automatisierte Untersuchungs- und Antwortfunktionen konfigurieren zu können, muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
|
Überprüfen oder Ändern der Automatisierungsebene für Gerätegruppen
Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer organization. Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:
Wechseln Sie zum Microsoft Defender-Portal unter, https://security.microsoft.com und melden Sie sich an.
Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.
Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:
Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365
Microsoft bietet integrierte Warnungsrichtlinien , mit denen bestimmte Risiken identifiziert werden können. Zu diesen Risiken gehören der Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Risiken für die Datenlebenszyklusverwaltung. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365 auslösen. Stellen Sie sicher, dass Ihre [Defender for Office 365]/defender-office-365/mdo-about-Features ordnungsgemäß konfiguriert sind.
Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden keine Korrekturmaßnahmen für E-Mails und Inhalte automatisch ausgeführt. Stattdessen müssen alle Korrekturaktionen für E-Mails und E-Mail-Inhalte von Ihrem Sicherheitsteam im Info-Center genehmigt werden.
Sicherheitseinstellungen in Exchange Online Protection (EOP) und Defender for Office 365 helfen beim Schutz von E-Mails und Inhalten. Es wird empfohlen, die voreingestellten Sicherheitsrichtlinien Standard und Strict zu verwenden, um Benutzern Schutz zuzuweisen.
Wenn Sie benutzerdefinierte Richtlinien verwenden, verwenden Sie das Konfigurationsanalysetool , um Ihre Richtlinieneinstellungen mit den voreingestellten Sicherheitsrichtlinieneinstellungen Standard und Strict zu vergleichen. Eine ausführliche Auflistung aller Richtlinieneinstellungen finden Sie in den Tabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.
Sie können Ihre Warnungsrichtlinien im Defender-Portal unter https://security.microsoft.com>Richtlinien & Regeln>Warnungsrichtlinie oder direkt unter https://security.microsoft.com/alertpoliciesv2überprüfen. Mehrere Standardwarnungsrichtlinien befinden sich in der Kategorie Bedrohungsverwaltung . Einige der Warnungsrichtlinien in der Kategorie Bedrohungsverwaltung können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Warnungsrichtlinien für die Bedrohungsverwaltung.
Müssen Sie Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen?
Sie können aus mehreren Optionen wählen, um Einstellungen für Ihre automatisierten Untersuchungs- und Reaktionsfunktionen zu ändern. Einige Optionen sind in der folgenden Tabelle aufgeführt:
Zweck | Führen Sie diese Schritte aus. |
---|---|
Angeben von Automatisierungsebenen für Gerätegruppen |
|
Nächste Schritte
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für