קביעת תצורה של יכולות הפרעה אוטומטית בתקיפה Microsoft Defender XDR

מאמר
04/26/2024

Microsoft Defender XDR כולל יכולות רבות-עוצמה של הפרעות תקיפה אוטומטיות, אשר יכולות להגן על הסביבה שלך מפני מתקפות מתוחכמות ובעלות השפעה גבוהה.

מאמר זה מתאר כיצד לקבוע את התצורה של יכולות הפרעה אוטומטית בתקיפה Microsoft Defender XDR באמצעות השלבים הבאים:

סקור את הדרישות המוקדמות.
סקור או שנה את אי-ההכללות האוטומטיות בתגובה עבור משתמשים.

לאחר מכן, לאחר ההגדרה, תוכל להציג ולנהל פעולות כלולה באירועים ובמרכז הפעולות. כמו כן, במידת הצורך, באפשרותך לבצע שינויים בהגדרות.

דרישות מוקדמות להפרעה אוטומטית בתקיפה Microsoft Defender XDR

דרישה	פרטים
דרישות מנוי	אחד מה מינויים אלה: Microsoft 365 E5 או A5 Microsoft 365 E3 עם אבטחה של Microsoft 365 E5 ההרחבה Microsoft 365 E3 עם ההרחבה Enterprise Mobility + Security E5 Microsoft 365 A3 עם Microsoft 365 A5 'אבטחה' Windows 10 Enterprise E5 או A5 Windows 11 מיזם של E5 או A5 Enterprise Mobility + Security (EMS) E5 או A5 Office 365 E5 או A5 Microsoft Defender עבור נקודת קצה Microsoft Defender עבור זהות Microsoft Defender עבור יישומי ענן Defender עבור Office 365 (תוכנית 2) Microsoft Defender for Business ראה Microsoft Defender XDR לדרישות הרישוי.
דרישות פריסה	פריסה בכל מוצרי Defender (לדוגמה, Defender for Endpoint, Defender עבור Office 365, Defender for Identity ו- Defender for Cloud Apps) הפריסה רחבה יותר, כך כיסוי ההגנה גדול יותר. לדוגמה, אם אות יישומי ענן של Microsoft Defender משמש בזיהוי מסוים, מוצר זה נדרש כדי לזהות את תרחיש התקיפה הרלוונטי הספציפי. באופן דומה, יש לפרוס את המוצר הרלוונטי כדי לבצע פעולת תגובה אוטומטית. לדוגמה, Microsoft Defender עבור נקודת קצה נדרשת כדי להכיל מכשיר באופן אוטומטי. Microsoft Defender עבור נקודת קצה של המכשיר מוגדר ל'גילוי רגיל'
הרשאות	כדי לקבוע את התצורה של יכולות הפרעה אוטומטית בתקיפה, עליך להקצות אחד מהתפקידים הבאים Microsoft Entra מזהה (https://portal.azure.com) או מרכז הניהול של Microsoft 365 (https://admin.microsoft.com): מנהל מערכת כללי מנהל אבטחה כדי לעבוד עם יכולות חקירה ותגובה אוטומטיות, כגון על-ידי סקירה, אישור או דחייה של פעולות ממתינות, ראה הרשאות נדרשות עבור משימות של מרכז הפעולות.

דרישה

פרטים

דרישות מנוי

אחד מה מינויים אלה:

Microsoft 365 E5 או A5
Microsoft 365 E3 עם אבטחה של Microsoft 365 E5 ההרחבה
Microsoft 365 E3 עם ההרחבה Enterprise Mobility + Security E5
Microsoft 365 A3 עם Microsoft 365 A5 'אבטחה'
Windows 10 Enterprise E5 או A5
Windows 11 מיזם של E5 או A5
Enterprise Mobility + Security (EMS) E5 או A5
Office 365 E5 או A5
Microsoft Defender עבור נקודת קצה
Microsoft Defender עבור זהות
Microsoft Defender עבור יישומי ענן
Defender עבור Office 365 (תוכנית 2)
Microsoft Defender for Business

ראה Microsoft Defender XDR לדרישות הרישוי.

דרישות פריסה

פריסה בכל מוצרי Defender (לדוגמה, Defender for Endpoint, Defender עבור Office 365, Defender for Identity ו- Defender for Cloud Apps)

הפריסה רחבה יותר, כך כיסוי ההגנה גדול יותר. לדוגמה, אם אות יישומי ענן של Microsoft Defender משמש בזיהוי מסוים, מוצר זה נדרש כדי לזהות את תרחיש התקיפה הרלוונטי הספציפי.
באופן דומה, יש לפרוס את המוצר הרלוונטי כדי לבצע פעולת תגובה אוטומטית. לדוגמה, Microsoft Defender עבור נקודת קצה נדרשת כדי להכיל מכשיר באופן אוטומטי.

Microsoft Defender עבור נקודת קצה של המכשיר מוגדר ל'גילוי רגיל'

הרשאות

כדי לקבוע את התצורה של יכולות הפרעה אוטומטית בתקיפה, עליך להקצות אחד מהתפקידים הבאים Microsoft Entra מזהה (https://portal.azure.com) או מרכז הניהול של Microsoft 365 (https://admin.microsoft.com):

מנהל מערכת כללי
מנהל אבטחה

כדי לעבוד עם יכולות חקירה ותגובה אוטומטיות, כגון על-ידי סקירה, אישור או דחייה של פעולות ממתינות, ראה הרשאות נדרשות עבור משימות של מרכז הפעולות.

Microsoft Defender עבור נקודת קצה מוקדמות

גירסת לקוח חיישן מינימלי (לקוח MDE)

גירסת סוכן חיישן המינימום הנדרשת כדי שהפעולה ' כלול משתמש' יפעלו היא v10.8470. באפשרותך לזהות את גירסת Sense Agent במכשיר על-ידי הפעלת הפקודה הבאה של PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

הגדרת אוטומציה עבור מכשירי הארגון שלך

סקור את רמת האוטומציה שתצורתה נקבעה עבור מדיניות קבוצתית של המכשיר שלך, לאחר שהחקירות האוטומטיות פועלות ואם פעולות התיקון נלקחות באופן אוטומטי או רק בעת אישור עבור המכשירים שלך, תלויות בהגדרות מסוימות. עליך להיות מנהל מערכת כללי או מנהל אבטחה כדי לבצע את ההליך הבא:

עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.
עבור אל הגדרות>נקודות קצה קבוצות>מכשיריםתחת הרשאות.
סקור את המדיניות הקבוצתית של המכשיר שלך. עיין בעמודה רמת אוטומציה . אנו ממליצים להשתמש ב- Full - לתקן איומים באופן אוטומטי. ייתכן שיהיה עליך ליצור או לערוך את קבוצות המכשירים שלך כדי לקבל את רמת האוטומציה הרצויה. כדי לא לכלול קבוצת מכשירים בכלולים אוטומטיים, הגדר את רמת האוטומציה שלה ללא תגובה אוטומטית. שים לב שתהליך זה אינו מומלץ במיוחד ויש לבצע אותו רק עבור מספר מוגבל של מכשירים.

תצורת גילוי מכשיר

יש להפעיל את הגדרות גילוי המכשיר ל'גילוי רגיל' לכל הפחות. למד כיצד לקבוע את התצורה של גילוי מכשירים ב'הגדרת גילוי מכשירים'.

הערה

הפרעה בתקיפה יכולה לפעול במכשירים ללא תלות במצב הפעלה של Microsoft Defender אנטי-וירוס של מכשיר. מצב ההפעלה יכול להיות במצב חסימה פעיל, פאסיבי או EDR.

Microsoft Defender עבור זהות מוקדמות

הגדרת ביקורת בבקרי תחום

למד כיצד להגדיר ביקורת בבקרי תחום תחת קביעת תצורה של מדיניות ביקורת עבור יומני אירועים של Windows כדי להבטיח שאירועי ביקורת נדרשים מוגדרים בבקרי התחום שבהם נפרס חיישן Defender for Identity.

קביעת תצורה של חשבונות פעולה

Defender for Identity מאפשר לך לבצע פעולות תיקון הממיקוד Active Directory מקומי חשבונות במקרה שזהות נחשפת לסכנה. כדי לבצע פעולות אלה, על Defender for Identity להיות בעל ההרשאות הדרושות לשם כך. כברירת מחדל, חיישן Defender for Identity מתחזה לחשבון LocalSystem של בקר התחום ומבצע את הפעולות. מאחר שניתן לשנות את ברירת המחדל, ודא של- Defender for Identity יש את ההרשאות הדרושות.

באפשרותך למצוא מידע נוסף אודות חשבונות הפעולה תחת קביעת תצורה Microsoft Defender עבור זהות פעולה אלה

יש לפרוס את חיישן Defender for Identity בבקר התחום שבו יש לכבות את חשבון Active Directory.

הערה

אם יש לך אוטומציה במקום כדי להפעיל או לחסום משתמש, בדוק אם האוטומציה יכולה להפריע להפרעה. לדוגמה, אם קיימת אוטומציה במקום לבדוק ולאכוף באופן קבוע שכל העובדים הפעילים אפשרו חשבונות, פעולה זו עשויה להפעיל בטעות חשבונות שהפעלתם בוטלה על-ידי הפרעה בתקיפה בעת זיהוי תקיפה.

יישומי ענן של Microsoft Defender מוקדמות

Microsoft Office 365 מחבר

יישומי ענן של Microsoft Defender להיות מחובר ל- Microsoft Office 365 המחבר. כדי לחבר את Defender for Cloud Apps, ראה חיבור Microsoft 365 יישומי ענן של Microsoft Defender.

פיקוח על אפליקציות

פיקוח על אפליקציות חייב להיות מופעל. עיין בתיעוד הפיקוח על האפליקציה כדי להפעיל אותו.

Microsoft Defender עבור Office 365 מוקדמות

מיקום תיבות דואר

תיבות דואר נדרשות לאירוח ב- Exchange Online.

רישום ביומן ביקורת של תיבות דואר

יש לבצע ביקורת של אירועי תיבת הדואר הבאים לפי מינימום:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
מחיקה רכה
מחיקה קשיחה

סקור את ניהול ביקורת תיבות הדואר כדי ללמוד אודות ניהול ביקורת של תיבות דואר.

מדיניות הקישורים הבטוחים צריכה להיות קיימת.

סקירה או שינוי של אי-הכללות אוטומטיות של תגובה עבור משתמשים

הפרעה אוטומטית בתקיפה מאפשרת אי-הכללה של חשבונות משתמשים ספציפיים מפעולות בילה אוטומטיות. משתמשים לא נכללים לא יושפעו מפעולות אוטומטיות המופעלות על-ידי הפרעה בתקיפה. עליך להיות מנהל מערכת כללי או מנהל אבטחה כדי לבצע את ההליך הבא:

עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.
עבור אל הגדרות>Microsoft Defender XDR>תגובה אוטומטית לישות. בדוק את רשימת המשתמשים כדי לא לכלול חשבונות.
כדי לא לכלול חשבון משתמש חדש, בחר הוסף אי הכללה של משתמש.

לא מומלץ להוציא חשבונות משתמשים, וחשבונות שנוספו לרשימה זו לא יושעה בכל סוגי ההתקפות הנתמכים, כגון סכנה לדואר אלקטרוני עסקי (BEC) ותוכנות כופר המופעלות על-ידי בני אדם.

השלבים הבאים

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

Share via