Jaa

Automaattisten tutkimus- ja vastausominaisuuksien määrittäminen Microsoft Defender XDR:ssä

  • Artikkeli

Microsoft Defender XDR sisältää tehokkaita automatisoituja tutkimus- ja vastausominaisuuksia , jotka voivat säästää suojaustoimintatiimin aikaa ja vaivaa. Itsekorjautuvana nämä ominaisuudet jäljittelevät vaiheita, jotka tietoturva-analyytikko tekisi tutkiakseen uhkia ja vastatakseen niihin vain nopeammin ja entistä paremmin skaalatakseen.

Tässä artikkelissa kuvataan, miten voit määrittää automaattisen tutkinnan ja vastauksen Microsoft Defender XDR :ssä seuraavien vaiheiden avulla:

  1. Tarkista edellytykset.
  2. Tarkista laiteryhmien automaatiotaso tai muuta sitä.
  3. Tarkista suojaus- ja ilmoituskäytännöt Office 365:ssä.

Kun olet valmis, voit tarkastella ja hallita korjaustoimintoja toimintokeskuksessa. Ja tarvittaessa voit tehdä muutoksia automatisoituihin tutkinta-asetuksiin.

Automaattisen tutkinnan ja reagoinnin edellytykset Microsoft Defender XDR:ssä

Vaatimus Tiedot
Tilausvaatimukset Jokin näistä tilauksista:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 ja Microsoft 365 E5 Security -lisäosa
  • Microsoft 365 A3 ja Microsoft 365 A5 Security -lisäosa
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Katso Microsoft Defenderin XDR-käyttöoikeusvaatimukset.
Verkkovaatimukset
Windows-laitevaatimukset
Sähköpostisisällön ja Office-tiedostojen suojaus
Käyttöoikeudet Jotta voit määrittää automatisoituja tutkimus- ja vastausominaisuuksia, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID:ssä (https://portal.azure.com) tai Microsoft 365 -hallintakeskuksessa (https://admin.microsoft.com):
  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja
Jos haluat käsitellä automatisoituja tutkimus- ja vastaustoimintoja, kuten tarkastelemalla, hyväksymällä tai hylkäämällä odottavia toimintoja, katso Toimintokeskuksen tehtävien pakolliset käyttöoikeudet.

Huomautus

Microsoft suosittelee käyttämään rooleja, joilla on vähemmän käyttöoikeuksia suojauksen parantamiseksi. Yleisen järjestelmänvalvojan roolia, jolla on useita käyttöoikeuksia, tulisi käyttää hätätilanteissa vain, kun mikään muu rooli ei sovi.

Laiteryhmien automaatiotason tarkistaminen tai muuttaminen

Se, suoritetaanko automatisoidut tutkimukset ja tehdäänkö korjaustoimintoja automaattisesti vai vain laitteiden hyväksynnän yhteydessä, riippuu tietyistä asetuksista, kuten organisaatiosi laiteryhmäkäytännöistä. Tarkista laiteryhmäkäytäntöjen määritetty automaatiotaso. Sinun on oltava yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit suorittaa seuraavat toimet:

  1. Siirry Microsoft Defender -portaaliin osoitteessa https://security.microsoft.com ja kirjaudu sisään.

  2. Valitse Asetukset>Päätepisteet>Laiteryhmät kohdassa Käyttöoikeudet.

  3. Tarkista laiteryhmäkäytännöt. Tutustu erityisesti Korjaus-tason sarakkeeseen. Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti. Laiteryhmiä on ehkä luotava tai muokattava, jotta saat haluamasi automaatiotason. Lisätietoja tästä tehtävästä on seuraavissa artikkeleissa:

Office 365:n suojaus- ja hälytyskäytäntöjen tarkistaminen

Microsoft tarjoaa sisäisiä ilmoituskäytäntöjä , jotka auttavat tunnistamaan tiettyjä riskejä. Näitä riskejä ovat Exchange-järjestelmänvalvojan oikeudet väärinkäyttö, haittaohjelmatoiminta, mahdolliset ulkoiset ja sisäiset uhat sekä tietojen elinkaaren hallinnan riskit. Jotkin hälytykset voivat käynnistää automatisoidun tutkinnan ja vastauksen Office 365:ssä. Varmista, että Defender for Office 365 :n ominaisuudet on määritetty oikein.

Vaikka tietyt hälytykset ja suojauskäytännöt voivat käynnistää automatisoituja tutkimuksia, sähköpostin ja sisällön korjaustoimintoja ei toteuteta automaattisesti. Sen sijaan kaikki sähköposti- ja sähköpostisisällön korjaustoiminnot odottavat suojaustoimintatiimisi hyväksyntää toimintokeskuksessa.

Exchange Online Protectionin (EOP) ja Defender for Office 365:n suojausasetukset auttavat suojaamaan sähköpostia ja sisältöä. Suosittelemme määrittämään suojauksen käyttäjille vakio- ja strict-suojauskäytäntöjen avulla.

Jos käytät mukautettuja käytäntöjä, vertaa määritysanalysaattorin avulla käytäntöasetuksia vakio- ja strict-suojauskäytäntöasetuksiin. Katso yksityiskohtainen luettelo kaikista käytäntöasetuksista ohjeartikkelista Suositellut asetukset EOP:lle ja Microsoft Defender office 365:lle -suojaus.

Voit tarkastella ilmoituskäytäntöjä Defender-portaalissa kohdassa https://security.microsoft.com>Käytännöt & säännöt>Hälytyskäytäntö tai suoraan osoitteessa https://security.microsoft.com/alertpoliciesv2. Uhkien hallinta -luokassa on useita oletushälytyskäytäntöjä. Jotkin Uhkien hallinta -luokan ilmoituskäytännöistä voivat käynnistää automaattisen tutkinnan ja vastauksen. Lisätietoja on artikkelissa Uhkien hallinnan hälytyskäytännöt.

Haluatko tehdä muutoksia automatisoituihin tutkinta-asetuksiin?

Voit valita useista vaihtoehdoista automaattisen tutkinnan ja vastausominaisuuksien asetusten muuttamiseksi. Seuraavassa taulukossa on lueteltu joitakin asetuksia:

Voit tehdä tämän seuraavasti: Toimi seuraavasti
Laiteryhmien automaatiotasojen määrittäminen
  1. Määritä vähintään yksi laiteryhmä. Katso Laiteryhmien luominen ja hallinta.
  2. Siirry Microsoft Defender -portaalissa kohtaan Käyttöoikeudet>Päätepisteet-roolit & ryhmät>Laiteryhmät.
  3. Valitse laiteryhmä ja tarkista sen automaatiotason asetus. (Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti). Katso Automaatiotasot automatisoiduissa tutkinta- ja korjaustoiminnoissa.
  4. Toista vaiheet 2 ja 3 tarpeen mukaan kaikille laiteryhmille.

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.