Automatisoitujen tutkimus- ja vastausominaisuuksien määrittäminen Microsoft Defender XDR

  • Artikkeli

Microsoft Defender XDR sisältää tehokkaita automatisoituja tutkimus- ja reagointiominaisuuksia, jotka voivat säästää suojaustoimintatiimilläsi paljon aikaa ja vaivaa. Itsekorjautuvana nämä ominaisuudet jäljittelevät vaiheita, jotka tietoturva-analyytikko tekisi tutkiakseen uhkia ja vastatakseen niihin vain nopeammin ja entistä paremmin skaalatakseen.

Tässä artikkelissa kuvataan, miten voit määrittää automatisoidun tutkinnan ja vastauksen Microsoft Defender XDR seuraavien vaiheiden avulla:

  1. Tarkista edellytykset.
  2. Tarkista laiteryhmien automaatiotaso tai muuta sitä.
  3. Tarkista suojaus- ja hälytyskäytännöt Office 365.

Kun olet valmis, voit tarkastella ja hallita korjaustoimintoja toimintokeskuksessa. Ja tarvittaessa voit tehdä muutoksia automatisoituihin tutkinta-asetuksiin.

Microsoft Defender XDR automaattisen tutkinnan ja reagoinnin edellytykset

Vaatimus Tiedot
Tilausvaatimukset Jokin näistä tilauksista:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 Microsoft 365 E5 Security apuohjelman kanssa
  • Microsoft 365 A3 Microsoft 365 A5 Security -apuohjelman kanssa
  • Office 365 E5 sekä Enterprise Mobility + Security E5 ja Windows E5

Katso Microsoft Defender XDR käyttöoikeusvaatimukset.
Verkkovaatimukset
Windows-laitevaatimukset
Sähköpostisisällön ja Office-tiedostojen suojaus
Käyttöoikeudet Jotta voit määrittää automatisoituja tutkimus- ja vastausominaisuuksia, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID (https://portal.azure.com) tai Microsoft 365 -hallintakeskus (https://admin.microsoft.com):
  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja
Jos haluat käsitellä automatisoituja tutkimus- ja vastaustoimintoja, kuten tarkastelemalla, hyväksymällä tai hylkäämällä odottavia toimintoja, katso Toimintokeskuksen tehtävien pakolliset käyttöoikeudet.

Laiteryhmien automaatiotason tarkistaminen tai muuttaminen

Se, suoritetaanko automatisoidut tutkimukset ja tehdäänkö korjaustoimintoja automaattisesti vai vain laitteiden hyväksynnän yhteydessä, riippuu tietyistä asetuksista, kuten organisaatiosi laiteryhmäkäytännöistä. Tarkista laiteryhmäkäytäntöjen määritetty automaatiotaso. Sinun on oltava yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit suorittaa seuraavat toimet:

  1. Siirry Microsoft Defender portaaliin osoitteessa https://security.microsoft.com ja kirjaudu sisään.

  2. Valitse Asetukset>Päätepisteet>Laiteryhmät kohdassa Käyttöoikeudet.

  3. Tarkista laiteryhmäkäytännöt. Tutustu erityisesti automaatiotason sarakkeeseen. Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti. Laiteryhmiä on ehkä luotava tai muokattava, jotta saat haluamasi automaatiotason. Lisätietoja tästä tehtävästä on seuraavissa artikkeleissa:

Tutustu suojaus- ja hälytyskäytäntöihin Office 365

Microsoft tarjoaa sisäisiä ilmoituskäytäntöjä , jotka auttavat tunnistamaan tiettyjä riskejä. Näitä riskejä ovat Exchange-järjestelmänvalvojan oikeudet väärinkäyttö, haittaohjelmatoiminta, mahdolliset ulkoiset ja sisäiset uhat sekä tietojen elinkaaren hallinnan riskit. Jotkin hälytykset voivat käynnistää automatisoidun tutkinnan ja vastauksen Office 365. Varmista, että [Defender for Office 365]/defender-office-365/mdo-about-ominaisuudet on määritetty oikein.

Vaikka tietyt hälytykset ja suojauskäytännöt voivat käynnistää automatisoituja tutkimuksia, sähköpostin ja sisällön korjaustoimintoja ei toteuteta automaattisesti. Sen sijaan kaikki sähköposti- ja sähköpostisisällön korjaustoiminnot odottavat suojaustoimintatiimisi hyväksyntää toimintokeskuksessa.

Exchange Online Protection (EOP) -suojausasetukset ja Defender for Office 365 auttavat suojaamaan sähköpostia ja sisältöä. Suosittelemme määrittämään suojauksen käyttäjille vakio- ja strict-suojauskäytäntöjen avulla.

Jos käytät mukautettuja käytäntöjä, vertaa määritysanalysaattorin avulla käytäntöasetuksia vakio- ja strict-suojauskäytäntöasetuksiin. Yksityiskohtainen luettelo kaikista käytäntöasetuksista on taulukoissa Suositellut asetukset EOP:lle ja Microsoft Defender for Office 365 tietoturvalle.

Voit tarkastella ilmoituskäytäntöjä Defender-portaalissa kohdassa https://security.microsoft.com>Käytännöt & säännöt>Hälytyskäytäntö tai suoraan osoitteessa https://security.microsoft.com/alertpoliciesv2. Uhkien hallinta -luokassa on useita oletushälytyskäytäntöjä. Jotkin Uhkien hallinta -luokan ilmoituskäytännöistä voivat käynnistää automaattisen tutkinnan ja vastauksen. Lisätietoja on artikkelissa Uhkien hallinnan hälytyskäytännöt.

Haluatko tehdä muutoksia automatisoituihin tutkinta-asetuksiin?

Voit valita useista vaihtoehdoista automaattisen tutkinnan ja vastausominaisuuksien asetusten muuttamiseksi. Seuraavassa taulukossa on lueteltu joitakin asetuksia:

Voit tehdä tämän seuraavasti: Seuraavasti
Laiteryhmien automaatiotasojen määrittäminen
  1. Määritä vähintään yksi laiteryhmä. Katso laiteryhmien Create ja hallinta.
  2. Siirry Microsoft Defender portaalissa kohtaan KäyttöoikeudetPäätepisteet-roolit> & ryhmät >Laiteryhmät.
  3. Valitse laiteryhmä ja tarkista sen automaatiotason asetus. (Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti). Katso Automaatiotasot automatisoiduissa tutkinta- ja korjaustoiminnoissa.
  4. Toista vaiheet 2 ja 3 tarpeen mukaan kaikille laiteryhmille.

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.