Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR

Artikel
04/26/2024

Microsoft Defender XDR umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen, die Ihrem Sicherheitsteam viel Zeit und Aufwand sparen können. Mit der Selbstreparatur imitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst unternehmen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Möglichkeiten zur Skalierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:

Überprüfen Sie die Voraussetzungen.
Überprüfen oder ändern Sie die Automatisierungsebene für Gerätegruppen.
Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.

Nachdem Sie alles eingerichtet haben, können Sie Wartungsaktionen im Info-Center anzeigen und verwalten. Außerdem können Sie bei Bedarf Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen.

Voraussetzungen für automatisierte Untersuchung und Reaktion in Microsoft Defender XDR

Anforderung	Details
Abonnementanforderungen	Eines dieser Abonnements: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5 Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen.
Netzwerkanforderungen	Microsoft Defender for Identity aktiviert Microsoft Defender for Cloud Apps konfiguriert Microsoft Defender for Identity Integration
Windows-Geräteanforderungen	Windows 11 Windows 10, Version 1709 oder höher installiert (siehe Windows-Versionsinformationen) Die folgenden Bedrohungsschutzdienste sind konfiguriert: Microsoft Defender für Endpunkt Microsoft Defender Antivirus
Schutz für E-Mail-Inhalte und Office-Dateien	Microsoft Defender for Office 365 ist konfiguriert Automatisierte Untersuchungs- und Wiederherstellungsfunktionen in Defender für Endpunkt sind konfiguriert (erforderlich für manuelle Antwortaktionen, z. B. löschen von E-Mail-Nachrichten auf Geräten).
Berechtigungen	Um automatisierte Untersuchungs- und Antwortfunktionen konfigurieren zu können, muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein: Globaler Administrator Sicherheitsadministrator Informationen zum Arbeiten mit automatisierten Untersuchungs- und Antwortfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Überprüfen oder Ändern der Automatisierungsebene für Gerätegruppen

Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer organization. Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

Wechseln Sie zum Microsoft Defender-Portal unter, https://security.microsoft.com und melden Sie sich an.
Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.
Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:
- Wie Bedrohungen behoben werden
- Erstellen und Verwalten von Gerätegruppen

Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365

Microsoft bietet integrierte Warnungsrichtlinien , mit denen bestimmte Risiken identifiziert werden können. Zu diesen Risiken gehören der Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Risiken für die Datenlebenszyklusverwaltung. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365 auslösen. Stellen Sie sicher, dass Ihre Defender for Office 365 Features ordnungsgemäß konfiguriert sind.

Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden keine Korrekturmaßnahmen für E-Mails und Inhalte automatisch ausgeführt. Stattdessen müssen alle Korrekturaktionen für E-Mails und E-Mail-Inhalte von Ihrem Sicherheitsteam im Info-Center genehmigt werden.

Sicherheitseinstellungen in Exchange Online Protection (EOP) und Defender for Office 365 helfen beim Schutz von E-Mails und Inhalten. Es wird empfohlen, die voreingestellten Sicherheitsrichtlinien Standard und Strict zu verwenden, um Benutzern Schutz zuzuweisen.

Wenn Sie benutzerdefinierte Richtlinien verwenden, verwenden Sie das Konfigurationsanalysetool , um Ihre Richtlinieneinstellungen mit den voreingestellten Sicherheitsrichtlinieneinstellungen Standard und Strict zu vergleichen. Eine ausführliche Auflistung aller Richtlinieneinstellungen finden Sie in den Tabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.

Sie können Ihre Warnungsrichtlinien im Defender-Portal unter https://security.microsoft.com>Richtlinien & Regeln>Warnungsrichtlinie oder direkt unter https://security.microsoft.com/alertpoliciesv2überprüfen. Mehrere Standardwarnungsrichtlinien befinden sich in der Kategorie Bedrohungsverwaltung . Einige der Warnungsrichtlinien in der Kategorie Bedrohungsverwaltung können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Warnungsrichtlinien für die Bedrohungsverwaltung.

Müssen Sie Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen?

Sie können aus mehreren Optionen wählen, um Einstellungen für Ihre automatisierten Untersuchungs- und Reaktionsfunktionen zu ändern. Einige Optionen sind in der folgenden Tabelle aufgeführt:

Zweck	Führen Sie diese Schritte aus.
Angeben von Automatisierungsebenen für Gerätegruppen	Richten Sie eine oder mehrere Gerätegruppen ein. Weitere Informationen finden Sie unter Create und Verwalten von Gerätegruppen. Wechseln Sie im Microsoft Defender-Portal zu Berechtigungen>Endpunktrollen & Gruppen>Gerätegruppen. Wählen Sie eine Gerätegruppe aus, und überprüfen Sie deren Einstellung auf Automatisierungsebene . (Es wird empfohlen, Vollständig zu verwenden – Bedrohungen automatisch beheben). Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen. Wiederholen Sie die Schritte 2 und 3 je nach Bedarf für alle Gerätegruppen.

Zweck

Führen Sie diese Schritte aus.

Angeben von Automatisierungsebenen für Gerätegruppen

Richten Sie eine oder mehrere Gerätegruppen ein. Weitere Informationen finden Sie unter Create und Verwalten von Gerätegruppen.
Wechseln Sie im Microsoft Defender-Portal zu Berechtigungen>Endpunktrollen & Gruppen>Gerätegruppen.
Wählen Sie eine Gerätegruppe aus, und überprüfen Sie deren Einstellung auf Automatisierungsebene . (Es wird empfohlen, Vollständig zu verwenden – Bedrohungen automatisch beheben). Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen.
Wiederholen Sie die Schritte 2 und 3 je nach Bedarf für alle Gerätegruppen.

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.