קביעת תצורה של יכולות חקירה ותגובה אוטומטיות Microsoft Defender XDR

מאמר
04/26/2024

Microsoft Defender XDR כולל יכולות חקירה ותגובה אוטומטיות רבות-עוצמה, אשר יכולות לחסוך לצוות פעולות האבטחה שלך זמן רב ומאמץ. בעזרת ריפוי עצמי, יכולות אלה מחקות את השלבים שנבצע מנתח אבטחה כדי לחקור ולהגיב לאיומים, רק מהר יותר, וביכולות רבות יותר של קנה מידה.

מאמר זה מתאר כיצד לקבוע את התצורה של חקירה ותגובה אוטומטיות Microsoft Defender XDR באמצעות השלבים הבאים:

סקור את הדרישות המוקדמות.
סקור או שנה את רמת האוטומציה עבור קבוצות מכשירים.
סקור את מדיניות האבטחה וההתראות שלך Office 365.

לאחר מכן, לאחר ההגדרה, תוכל להציג ולנהל פעולות תיקון במרכז הפעולות. כמו כן, במידת הצורך, באפשרותך לבצע שינויים בהגדרות חקירה אוטומטיות.

דרישות מוקדמות לחקירה ותגובה אוטומטיות ב- Microsoft Defender XDR

דרישה	פרטים
דרישות מנוי	אחד מה מינויים אלה: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 עם אבטחה של Microsoft 365 E5 ההרחבה Microsoft 365 A3 עם Microsoft 365 A5 'אבטחה' Office 365 E5 Enterprise Mobility + Security E5 וכן Windows E5 ראה Microsoft Defender XDR לדרישות הרישוי.
דרישות רשת	Microsoft Defender עבור זהות זמין יישומי ענן של Microsoft Defender נקבעה תצורה Microsoft Defender עבור זהות שילוב
דרישות מכשיר Windows	Windows 11 Windows 10, גירסה 1709 ואילך (ראה מידע אודות הפצה של Windows) תצורת השירותים הבאים להגנה מפני איומים נקבעה: Microsoft Defender עבור נקודת קצה האנטי-וירוס של Microsoft Defender
הגנה עבור תוכן דואר אלקטרוני וקבצים של Office	Microsoft Defender עבור Office 365 נקבעה תצורה יכולות חקירה ותיקון אוטומטיות ב- Defender for Endpoint מוגדרות (נדרשות לפעולות תגובה ידניות, כגון מחיקת הודעות דואר אלקטרוני במכשירים)
הרשאות	כדי לקבוע תצורה של יכולות חקירה ותגובה אוטומטיות, עליך להקצות אחד מהתפקידים הבאים Microsoft Entra מזהה (https://portal.azure.com) או מרכז הניהול של Microsoft 365 (https://admin.microsoft.com): מנהל מערכת כללי מנהל אבטחה כדי לעבוד עם יכולות חקירה ותגובה אוטומטיות, כגון על-ידי סקירה, אישור או דחייה של פעולות ממתינות, ראה הרשאות נדרשות עבור משימות של מרכז הפעולות.

סקירה או שינוי של רמת האוטומציה עבור קבוצות מכשירים

השאלה אם חקירות אוטומטיות פועלות, ואם פעולות תיקון נקטות באופן אוטומטי או רק בעת אישור עבור המכשירים שלך תלויות בהגדרות מסוימות, כגון מדיניות קבוצתית של המכשירים של הארגון שלך. סקור את רמת האוטומציה שתצורתה נקבעה עבור מדיניות קבוצתית של המכשיר שלך. עליך להיות מנהל מערכת כללי או מנהל אבטחה כדי לבצע את ההליך הבא:

עבור לפורטל Microsoft Defender בhttps://security.microsoft.com- והיכנס.
עבור אל הגדרות>נקודות קצה קבוצות>מכשיריםתחת הרשאות.
סקור את המדיניות הקבוצתית של המכשיר שלך. במיוחד, עיין בעמודה רמת אוטומציה . אנו ממליצים להשתמש ב- Full - לתקן איומים באופן אוטומטי. ייתכן שיהיה עליך ליצור או לערוך את קבוצות המכשירים שלך כדי לקבל את רמת האוטומציה הרצויה. כדי לקבל עזרה עבור משימה זו, עיין במאמרים הבאים:
- כיצד איומים מתווקווים
- יצירה וניהול של קבוצות מכשירים

סקור את מדיניות האבטחה וההתראות שלך ב- Office 365

Microsoft מספקת מדיניות התראה מוכללת שמסייעת לזהות סיכונים מסוימים. סיכונים אלה כוללים שימוש לרעה בהרשאות מנהל מערכת של Exchange, פעילות של תוכנות זדוניות, איומים חיצוניים ו פנימיים פוטנציאליים וסיכוני ניהול מחזור חיים של נתונים. התראות מסוימות יכולות להפעיל חקירה ותגובה אוטומטיות Office 365. ודא שתכונות [Defender עבור Office 365]/defender-office-365/mdo-about מוגדרות כראוי.

למרות שהתראות ומדיניות אבטחה מסוימות יכולות להפעיל חקירות אוטומטיות, לא ינקטו פעולות תיקון באופן אוטומטי עבור דואר אלקטרוני ותוכן. במקום זאת, כל פעולות התיקון עבור דואר אלקטרוני ותוכן דואר אלקטרוני ממתינות לאישור של צוות פעולות האבטחה שלך במרכז הפעולות.

הגדרות אבטחה ב- Exchange Online Protection (EOP) ובהגדרות Defender עבור Office 365 בהגנה על דואר אלקטרוני ותוכן. אנו ממליצים להשתמש במדיניות האבטחה הקבועה מראש Standard ו- Strict כדי להקצות הגנה למשתמשים.

אם אתה משתמש במדיניות מותאמת אישית, השתמש במנתח התצורה כדי להשוות את הגדרות המדיניות שלך להגדרות מדיניות האבטחה הקבועות מראש הרגילות והקפדןות. לקבלת רשימה מפורטת של כל הגדרות המדיניות, עיין בטבלאות תחת הגדרות מומלצות עבור EOP Microsoft Defender עבור Office 365 אבטחה.

באפשרותך לסקור את מדיניות ההתראה שלך בפורטל Defender https://security.microsoft.com> תחת כללי מדיניות & התראה>או ישירות בכתובת https://security.microsoft.com/alertpoliciesv2. כמה פריטי מדיניות של התראות המוגדרים כברירת מחדל נמצאים בקטגוריה ניהול איומים. חלק ממדיניות ההתראה בקטגוריה ניהול איומים יכולים להפעיל חקירה ותגובה אוטומטיות. לקבלת מידע נוסף, ראה מדיניות התראות לניהול איומים.

צריך לבצע שינויים בהגדרות חקירה אוטומטיות?

באפשרותך לבחור מבין כמה אפשרויות כדי לשנות הגדרות עבור יכולות החקירה והתגובה האוטומטיות שלך. חלק מהאפשרויות מפורטות בטבלה הבאה:

לשם כך	בצע שלבים אלה
ציון רמות אוטומציה עבור קבוצות של מכשירים	הגדר קבוצת מכשירים אחת או יותר. ראה Create ולנהל קבוצות מכשירים. בפורטל Microsoft Defender, עבור אל תפקידי> נקודות קצה של הרשאות &קבוצות>מכשירים. בחר קבוצת מכשירים ועיין בהגדרה רמת האוטומציה שלה. (מומלץ להשתמש באופן אוטומטי באיומים מלאים - לתקן איומים). ראה רמות אוטומציה ביכולות חקירה ותיקון אוטומטיות. חזור על שלבים 2 ו- 3 בהתאם לכל קבוצות המכשירים שלך.

לשם כך

בצע שלבים אלה

ציון רמות אוטומציה עבור קבוצות של מכשירים

הגדר קבוצת מכשירים אחת או יותר. ראה Create ולנהל קבוצות מכשירים.
בפורטל Microsoft Defender, עבור אל תפקידי> נקודות קצה של הרשאות &קבוצות>מכשירים.
בחר קבוצת מכשירים ועיין בהגדרה רמת האוטומציה שלה. (מומלץ להשתמש באופן אוטומטי באיומים מלאים - לתקן איומים). ראה רמות אוטומציה ביכולות חקירה ותיקון אוטומטיות.
חזור על שלבים 2 ו- 3 בהתאם לכל קבוצות המכשירים שלך.

השלבים הבאים

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.