Automatikus támadáskimaradási képességek konfigurálása a Microsoft Defender XDR-ben
A Microsoft Defender XDR hatékony automatizált támadáskimaradási képességeket tartalmaz, amelyekkel megvédheti környezetét a kifinomult, nagy hatású támadásoktól.
Ez a cikk az alábbi lépésekkel ismerteti az automatikus támadáskimaradási képességek konfigurálását a Microsoft Defender XDR-ben :
- Tekintse át az előfeltételeket.
- Tekintse át vagy módosítsa a felhasználók automatikus válaszkivételeit.
Ezt követően a beállítás után megtekintheti és kezelheti az elszigetelési műveleteket az Incidensek és a Műveletközpontban. Szükség esetén módosíthatja a beállításokat.
A Microsoft Defender XDR automatikus támadási megszakításának előfeltételei
Követelmény | Részletek |
---|---|
Előfizetési követelmények | Az alábbi előfizetések egyike:
|
Üzembe helyezési követelmények |
|
Engedélyek | Az automatikus támadáskimaradási képességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra-azonosítóban (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központban (https://admin.microsoft.com):
|
Végponthoz készült Microsoft Defender előfeltételei
A Sense-ügyfél minimális verziója (MDE-ügyfél)
A Felhasználót tartalmazó művelet működéséhez szükséges minimális segédügynök-verzió a 10.8470-es verzió. A Sense Agent verziójának azonosításához futtassa a következő PowerShell-parancsot:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Automatizálási beállítás a szervezet eszközeihez
Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét, a wWhether automatizált vizsgálatok futtatását, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával hajthatók-e végre bizonyos beállításoktól függenek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.
Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg az Automation-szint oszlopot. Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. Ha ki szeretne zárni egy eszközcsoportot az automatikus elszigetelésből, állítsa az automatizálási szintjét automatikus válasz nélküli értékre. Vegye figyelembe, hogy ez nem ajánlott, és csak korlátozott számú eszközön szabad elvégezni.
Eszközfelderítési konfiguráció
Az eszközfelderítési beállításokat legalább "Standard felderítés" értékre kell aktiválni. Az eszközfelderítés konfigurálásáról az Eszközfelderítés beállítása című témakörben olvashat.
Megjegyzés:
A támadások megszakítása az eszközök Microsoft Defender víruskereső működési állapotától függetlenül működhet. Az üzemeltetési állapot aktív, passzív vagy EDR blokkmódban is lehet.
A Microsoft Defender for Identity előfeltételei
Naplózás beállítása tartományvezérlőkben
A naplózás tartományvezérlőkben való beállításáról A Windows-eseménynaplók naplózási házirendjeinek konfigurálása című témakörben tájékozódhat arról, hogy a szükséges naplózási események konfigurálva legyenek azon a tartományvezérlőn, amelyen a Defender for Identity érzékelő telepítve van.
Műveleti fiókok ellenőrzése
A Defender for Identity lehetővé teszi a helyszíni Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához a Defender for Identitynek rendelkeznie kell a szükséges engedélyekkel. Alapértelmezés szerint a Defender for Identity érzékelője megszemélyesíti a tartományvezérlő LocalSystem fiókját, és végrehajtja a műveleteket. Mivel az alapértelmezett beállítás módosítható, ellenőrizze, hogy a Defender for Identity rendelkezik-e a szükséges engedélyekkel, vagy használja-e az alapértelmezett LocalSystem-fiókot.
A műveleti fiókokról további információt a Microsoft Defender for Identity műveleti fiókjainak konfigurálása című témakörben talál.
A Defender for Identity érzékelőt azon a tartományvezérlőn kell üzembe helyezni, ahol az Active Directory-fiókot ki kell kapcsolni.
Megjegyzés:
Ha rendelkezik automatizálással a felhasználó aktiválásához vagy letiltásához, ellenőrizze, hogy az automatizálások zavarhatják-e a fennakadásokat. Ha például van egy automatizálás, amely rendszeresen ellenőrzi és kikényszeríti, hogy az összes aktív alkalmazott engedélyezte-e a fiókokat, ez akaratlanul aktiválhatja azokat a fiókokat, amelyeket támadás észlelése közben a rendszer inaktivált.
A Microsoft Defender for Cloud Apps előfeltételei
Microsoft Office 365-összekötő
A Microsoft Defender for Cloud Appsnek az összekötőn keresztül kell csatlakoznia a Microsoft Office 365-höz. A Defender for Cloud Apps csatlakoztatásához lásd: A Microsoft 365 csatlakoztatása a Microsoft Defender for Cloud Appshez.
Alkalmazásirányítás
Az alkalmazásirányítást be kell kapcsolni. A bekapcsolásához tekintse meg az alkalmazásirányítási dokumentációt .
Az Office 365-höz készült Microsoft Defender előfeltételei
Postaládák helye
A postaládákat az Exchange Online-ban kell üzemeltetni.
Postaláda naplózása
A következő postaláda-eseményeket legalább naplózni kell:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
A postaláda-naplózás kezelésével kapcsolatos információkért tekintse át a postaláda-naplózás kezelését ismertető cikket.
A safelinks szabályzatnak jelen kell lennie.
Felhasználók automatikus válaszkivételeinek áttekintése vagy módosítása
Az automatikus támadáskimaradás lehetővé teszi bizonyos felhasználói fiókok kizárását az automatikus elszigetelési műveletekből. A kizárt felhasználókra nem lesz hatással a támadáskimaradás által aktivált automatizált műveletek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
Lépjen a Beállítások>Microsoft Defender XDR-identitás>automatizált válasza területre. A fiókok kizárásához ellenőrizze a felhasználói listát.
Új felhasználói fiók kizárásához válassza a Felhasználói kizárás hozzáadása lehetőséget.
A felhasználói fiókok kizárása nem ajánlott, és a listához hozzáadott fiókok nem lesznek felfüggesztve az összes támogatott támadási típusban, például az üzleti e-mailek feltörése (BEC) és az ember által működtetett zsarolóprogramok esetében.
Következő lépések
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.