קביעת תצורה של יכולות חקירה ותגובה אוטומטיות ב- Microsoft Defender XDR

מאמר
06/11/2024

ה- XDR של Microsoft Defender כולל יכולות חקירה ותגובה אוטומטיות רבות-עוצמה, אשר יכולות לחסוך לצוות פעולות האבטחה שלך זמן רב ומאמץ רב. בעזרת ריפוי עצמי, יכולות אלה מחקות את השלבים שנבצע מנתח אבטחה כדי לחקור ולהגיב לאיומים, רק מהר יותר, וביכולות רבות יותר של קנה מידה.

מאמר זה מתאר כיצד לקבוע את התצורה של חקירה ותגובה אוטומטיות ב- Microsoft Defender XDR באמצעות השלבים הבאים:

סקור את הדרישות המוקדמות.
סקור או שנה את רמת האוטומציה עבור קבוצות מכשירים.
סקור את מדיניות האבטחה וההתראות שלך ב- Office 365.

לאחר מכן, לאחר ההגדרה, תוכל להציג ולנהל פעולות תיקון במרכז הפעולות. כמו כן, במידת הצורך, באפשרותך לבצע שינויים בהגדרות חקירה אוטומטיות.

דרישות מוקדמות לחקירה ותגובה אוטומטיות ב- Microsoft Defender XDR

דרישה	פרטים
דרישות מנוי	אחד מה מינויים אלה: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 עם ההרחבה 'אבטחת Microsoft 365 E5' Microsoft 365 A3 עם ההרחבה 'אבטחה' של Microsoft 365 A5 Office 365 E5 וכן Enterprise Mobility + Security E5 וכן Windows E5 ראה את דרישות הרישוי של Microsoft Defender XDR.
דרישות רשת	Microsoft Defender for Identity זמין תצורת Microsoft Defender for Cloud Apps נקבעה שילוב של Microsoft Defender for Identity
דרישות מכשיר Windows	Windows 11 Windows 10, גירסה 1709 או גירסה מתקדמת יותר מותקנת (ראה פרטי הפצה של Windows) תצורת השירותים הבאים להגנה מפני איומים נקבעה: Microsoft Defender עבור נקודת קצה האנטי-וירוס של Microsoft Defender
הגנה עבור תוכן דואר אלקטרוני וקבצים של Office	תצורת Microsoft Defender עבור Office 365 נקבעה יכולות חקירה ותיקון אוטומטיות ב- Defender for Endpoint מוגדרות (נדרשות לפעולות תגובה ידניות, כגון מחיקת הודעות דואר אלקטרוני במכשירים)
הרשאות	כדי לקבוע את התצורה של יכולות חקירה ותגובה אוטומטיות, עליך להקצות אחד מהתפקידים הבאים במזהה Entra () של Microsoft אוhttps://portal.azure.com במרכז הניהול של Microsoft 365 (https://admin.microsoft.com): מנהל מערכת כללי מנהל אבטחה כדי לעבוד עם יכולות חקירה ותגובה אוטומטיות, כגון על-ידי סקירה, אישור או דחייה של פעולות ממתינות, ראה הרשאות נדרשות עבור משימות של מרכז הפעולות.

סקירה או שינוי של רמת האוטומציה עבור קבוצות מכשירים

השאלה אם חקירות אוטומטיות פועלות, ואם פעולות תיקון נקטות באופן אוטומטי או רק בעת אישור עבור המכשירים שלך תלויות בהגדרות מסוימות, כגון מדיניות קבוצתית של המכשירים של הארגון שלך. סקור את רמת האוטומציה שתצורתה נקבעה עבור מדיניות קבוצתית של המכשיר שלך. עליך להיות מנהל מערכת כללי או מנהל אבטחה כדי לבצע את ההליך הבא:

עבור אל פורטל Microsoft Defender בכתובת https://security.microsoft.com והיכנס.
עבור אל הגדרות>נקודות קצה קבוצות>מכשיריםתחת הרשאות.
סקור את המדיניות הקבוצתית של המכשיר שלך. באופן ספציפי, עיין בעמודה רמת תיקון. אנו ממליצים להשתמש ב- Full - לתקן איומים באופן אוטומטי. ייתכן שיהיה עליך ליצור או לערוך את קבוצות המכשירים שלך כדי לקבל את רמת האוטומציה הרצויה. כדי לקבל עזרה עבור משימה זו, עיין במאמרים הבאים:
- כיצד איומים מתווקווים
- יצירה וניהול של קבוצות מכשירים

סקור את מדיניות האבטחה וההתראות שלך ב- Office 365

Microsoft מספקת מדיניות התראה מוכללת שמסייעת לזהות סיכונים מסוימים. סיכונים אלה כוללים שימוש לרעה בהרשאות מנהל מערכת של Exchange, פעילות של תוכנות זדוניות, איומים חיצוניים ו פנימיים פוטנציאליים וסיכוני ניהול מחזור חיים של נתונים. התראות מסוימות יכולות להפעיל חקירה ותגובה אוטומטיות ב- Office 365. ודא שתצורת התכונות של Defender for Office 365 נקבעה כראוי.

למרות שהתראות ומדיניות אבטחה מסוימות יכולות להפעיל חקירות אוטומטיות, לא ינקטו פעולות תיקון באופן אוטומטי עבור דואר אלקטרוני ותוכן. במקום זאת, כל פעולות התיקון עבור דואר אלקטרוני ותוכן דואר אלקטרוני ממתינות לאישור של צוות פעולות האבטחה שלך במרכז הפעולות.

הגדרות אבטחה ב- Exchange Online Protection (EOP) וב- Defender עבור Office 365 עוזרות להגן על דואר אלקטרוני ותוכן. אנו ממליצים להשתמש במדיניות האבטחה הקבועה מראש Standard ו- Strict כדי להקצות הגנה למשתמשים.

אם אתה משתמש במדיניות מותאמת אישית, השתמש במנתח התצורה כדי להשוות את הגדרות המדיניות שלך להגדרות מדיניות האבטחה הקבועות מראש הרגילות והקפדןות. לקבלת רשימה מפורטת של כל הגדרות המדיניות, עיין בטבלאות תחת הגדרות מומלצות עבור EOP ו- Microsoft Defender עבור אבטחת Office 365.

באפשרותך לסקור את מדיניות ההתראה שלך בפורטל Defender https://security.microsoft.com> תחת כללי מדיניות & התראה>או ישירות בכתובת https://security.microsoft.com/alertpoliciesv2. כמה פריטי מדיניות של התראות המוגדרים כברירת מחדל נמצאים בקטגוריה ניהול איומים. חלק ממדיניות ההתראה בקטגוריה ניהול איומים יכולים להפעיל חקירה ותגובה אוטומטיות. לקבלת מידע נוסף, ראה מדיניות התראות לניהול איומים.

צריך לבצע שינויים בהגדרות חקירה אוטומטיות?

באפשרותך לבחור מבין כמה אפשרויות כדי לשנות הגדרות עבור יכולות החקירה והתגובה האוטומטיות שלך. חלק מהאפשרויות מפורטות בטבלה הבאה:

לשם כך	בצע שלבים אלה
ציון רמות אוטומציה עבור קבוצות של מכשירים	הגדר קבוצת מכשירים אחת או יותר. ראה יצירה וניהול של קבוצות מכשירים. בפורטל Microsoft Defender, עבור אל תפקידי נקודות>קצה של הרשאות & קבוצות>מכשירים. בחר קבוצת מכשירים ועיין בהגדרה רמת האוטומציה שלה. (מומלץ להשתמש באופן אוטומטי באיומים מלאים - לתקן איומים). ראה רמות אוטומציה ביכולות חקירה ותיקון אוטומטיות. חזור על שלבים 2 ו- 3 בהתאם לכל קבוצות המכשירים שלך.

לשם כך

בצע שלבים אלה

ציון רמות אוטומציה עבור קבוצות של מכשירים

הגדר קבוצת מכשירים אחת או יותר. ראה יצירה וניהול של קבוצות מכשירים.
בפורטל Microsoft Defender, עבור אל תפקידי נקודות>קצה של הרשאות & קבוצות>מכשירים.
בחר קבוצת מכשירים ועיין בהגדרה רמת האוטומציה שלה. (מומלץ להשתמש באופן אוטומטי באיומים מלאים - לתקן איומים). ראה רמות אוטומציה ביכולות חקירה ותיקון אוטומטיות.
חזור על שלבים 2 ו- 3 בהתאם לכל קבוצות המכשירים שלך.

השלבים הבאים

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

שתף באמצעות