Automatisoitujen tutkimus- ja vastausominaisuuksien määrittäminen Microsoft Defender XDR
Microsoft Defender XDR sisältää tehokkaita automatisoituja tutkimus- ja reagointiominaisuuksia, jotka voivat säästää suojaustoimintatiimilläsi paljon aikaa ja vaivaa. Itsekorjautuvana nämä ominaisuudet jäljittelevät vaiheita, jotka tietoturva-analyytikko tekisi tutkiakseen uhkia ja vastatakseen niihin vain nopeammin ja entistä paremmin skaalatakseen.
Tässä artikkelissa kuvataan, miten voit määrittää automatisoidun tutkinnan ja vastauksen Microsoft Defender XDR seuraavien vaiheiden avulla:
- Tarkista edellytykset.
- Tarkista laiteryhmien automaatiotaso tai muuta sitä.
- Tarkista suojaus- ja hälytyskäytännöt Office 365.
Kun olet valmis, voit tarkastella ja hallita korjaustoimintoja toimintokeskuksessa. Ja tarvittaessa voit tehdä muutoksia automatisoituihin tutkinta-asetuksiin.
Microsoft Defender XDR automaattisen tutkinnan ja reagoinnin edellytykset
Vaatimus | Tiedot |
---|---|
Tilausvaatimukset | Jokin näistä tilauksista:
Katso Microsoft Defender XDR käyttöoikeusvaatimukset. |
Verkkovaatimukset | |
Windows-laitevaatimukset |
|
Sähköpostisisällön ja Office-tiedostojen suojaus |
|
Käyttöoikeudet | Jotta voit määrittää automatisoituja tutkimus- ja vastausominaisuuksia, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID (https://portal.azure.com) tai Microsoft 365 -hallintakeskus (https://admin.microsoft.com):
|
Laiteryhmien automaatiotason tarkistaminen tai muuttaminen
Se, suoritetaanko automatisoidut tutkimukset ja tehdäänkö korjaustoimintoja automaattisesti vai vain laitteiden hyväksynnän yhteydessä, riippuu tietyistä asetuksista, kuten organisaatiosi laiteryhmäkäytännöistä. Tarkista laiteryhmäkäytäntöjen määritetty automaatiotaso. Sinun on oltava yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit suorittaa seuraavat toimet:
Siirry Microsoft Defender portaaliin osoitteessa https://security.microsoft.com ja kirjaudu sisään.
Valitse Asetukset>Päätepisteet>Laiteryhmät kohdassa Käyttöoikeudet.
Tarkista laiteryhmäkäytännöt. Tutustu erityisesti automaatiotason sarakkeeseen. Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti. Laiteryhmiä on ehkä luotava tai muokattava, jotta saat haluamasi automaatiotason. Lisätietoja tästä tehtävästä on seuraavissa artikkeleissa:
Tutustu suojaus- ja hälytyskäytäntöihin Office 365
Microsoft tarjoaa sisäisiä ilmoituskäytäntöjä , jotka auttavat tunnistamaan tiettyjä riskejä. Näitä riskejä ovat Exchange-järjestelmänvalvojan oikeudet väärinkäyttö, haittaohjelmatoiminta, mahdolliset ulkoiset ja sisäiset uhat sekä tietojen elinkaaren hallinnan riskit. Jotkin hälytykset voivat käynnistää automatisoidun tutkinnan ja vastauksen Office 365. Varmista, että [Defender for Office 365]/defender-office-365/mdo-about-ominaisuudet on määritetty oikein.
Vaikka tietyt hälytykset ja suojauskäytännöt voivat käynnistää automatisoituja tutkimuksia, sähköpostin ja sisällön korjaustoimintoja ei toteuteta automaattisesti. Sen sijaan kaikki sähköposti- ja sähköpostisisällön korjaustoiminnot odottavat suojaustoimintatiimisi hyväksyntää toimintokeskuksessa.
Exchange Online Protection (EOP) -suojausasetukset ja Defender for Office 365 auttavat suojaamaan sähköpostia ja sisältöä. Suosittelemme määrittämään suojauksen käyttäjille vakio- ja strict-suojauskäytäntöjen avulla.
Jos käytät mukautettuja käytäntöjä, vertaa määritysanalysaattorin avulla käytäntöasetuksia vakio- ja strict-suojauskäytäntöasetuksiin. Yksityiskohtainen luettelo kaikista käytäntöasetuksista on taulukoissa Suositellut asetukset EOP:lle ja Microsoft Defender for Office 365 tietoturvalle.
Voit tarkastella ilmoituskäytäntöjä Defender-portaalissa kohdassa https://security.microsoft.com>Käytännöt & säännöt>Hälytyskäytäntö tai suoraan osoitteessa https://security.microsoft.com/alertpoliciesv2. Uhkien hallinta -luokassa on useita oletushälytyskäytäntöjä. Jotkin Uhkien hallinta -luokan ilmoituskäytännöistä voivat käynnistää automaattisen tutkinnan ja vastauksen. Lisätietoja on artikkelissa Uhkien hallinnan hälytyskäytännöt.
Haluatko tehdä muutoksia automatisoituihin tutkinta-asetuksiin?
Voit valita useista vaihtoehdoista automaattisen tutkinnan ja vastausominaisuuksien asetusten muuttamiseksi. Seuraavassa taulukossa on lueteltu joitakin asetuksia:
Voit tehdä tämän seuraavasti: | Seuraavasti |
---|---|
Laiteryhmien automaatiotasojen määrittäminen |
|
Seuraavat vaiheet
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle