Automatikus támadáskimaradási képességek konfigurálása a Microsoft Defender XDR-ben

Cikk
07/19/2024

A Microsoft Defender XDR hatékony automatizált támadáskimaradási képességeket tartalmaz, amelyekkel megvédheti környezetét a kifinomult, nagy hatású támadásoktól.

Ez a cikk az alábbi lépésekkel ismerteti az automatikus támadáskimaradási képességek konfigurálását a Microsoft Defender XDR-ben :

Tekintse át az előfeltételeket.
Tekintse át vagy módosítsa a felhasználók automatikus válaszkivételeit.

Ezt követően a beállítás után megtekintheti és kezelheti az elszigetelési műveleteket az Incidensek és a Műveletközpontban. Szükség esetén módosíthatja a beállításokat.

A Microsoft Defender XDR automatikus támadási megszakításának előfeltételei

Követelmény	Részletek
Előfizetési követelmények	Az alábbi előfizetések egyike: Microsoft 365 E5 vagy A5 Microsoft 365 E3 a Microsoft 365 E5 Biztonsági bővítménnyel Microsoft 365 E3 az Enterprise Mobility + Security E5 bővítménnyel Microsoft 365 A3 a Microsoft 365 A5 Biztonsági bővítménnyel Windows 10 Enterprise E5 vagy A5 Windows 11 Enterprise E5 vagy A5 Enterprise Mobility + Security (EMS) E5 vagy A5 Office 365 E5 vagy A5 Végponthoz készült Microsoft Defender (2. csomag) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Office 365-höz készült Defender (2. csomag) Microsoft Defender Vállalati verzió Lásd: A Microsoft Defender XDR licencelési követelményei.
Üzembe helyezési követelmények	Üzembe helyezés a Defender-termékekben (például Végponthoz készült Defender, Office 365-höz készült Defender, Defender for Identity és Defender for Cloud Apps) Minél szélesebb az üzembe helyezés, annál nagyobb a védelmi lefedettség. Ha például egy Microsoft Defender for Cloud Apps-jelet használ egy bizonyos észlelés során, akkor erre a termékre van szükség a vonatkozó konkrét támadási forgatókönyv észleléséhez. Hasonlóképpen, a megfelelő terméket kell üzembe helyezni egy automatizált válaszművelet végrehajtásához. Például a Végponthoz készült Microsoft Defendernek automatikusan tartalmaznia kell egy eszközt. A Végponthoz készült Microsoft Defender eszközfelderítése "standard felderítés" értékre van állítva
Engedélyek	Az automatikus támadáskimaradási képességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra-azonosítóban (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központban (https://admin.microsoft.com): Globális rendszergazda Biztonsági rendszergazda Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Követelmény

Részletek

Előfizetési követelmények

Az alábbi előfizetések egyike:

Microsoft 365 E5 vagy A5
Microsoft 365 E3 a Microsoft 365 E5 Biztonsági bővítménnyel
Microsoft 365 E3 az Enterprise Mobility + Security E5 bővítménnyel
Microsoft 365 A3 a Microsoft 365 A5 Biztonsági bővítménnyel
Windows 10 Enterprise E5 vagy A5
Windows 11 Enterprise E5 vagy A5
Enterprise Mobility + Security (EMS) E5 vagy A5
Office 365 E5 vagy A5
Végponthoz készült Microsoft Defender (2. csomag)
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Office 365-höz készült Defender (2. csomag)
Microsoft Defender Vállalati verzió

Lásd: A Microsoft Defender XDR licencelési követelményei.

Üzembe helyezési követelmények

Üzembe helyezés a Defender-termékekben (például Végponthoz készült Defender, Office 365-höz készült Defender, Defender for Identity és Defender for Cloud Apps)

Minél szélesebb az üzembe helyezés, annál nagyobb a védelmi lefedettség. Ha például egy Microsoft Defender for Cloud Apps-jelet használ egy bizonyos észlelés során, akkor erre a termékre van szükség a vonatkozó konkrét támadási forgatókönyv észleléséhez.
Hasonlóképpen, a megfelelő terméket kell üzembe helyezni egy automatizált válaszművelet végrehajtásához. Például a Végponthoz készült Microsoft Defendernek automatikusan tartalmaznia kell egy eszközt.

A Végponthoz készült Microsoft Defender eszközfelderítése "standard felderítés" értékre van állítva

Engedélyek

Az automatikus támadáskimaradási képességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra-azonosítóban (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központban (https://admin.microsoft.com):

Globális rendszergazda
Biztonsági rendszergazda

Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Végponthoz készült Microsoft Defender előfeltételei

A Sense-ügyfél minimális verziója (MDE-ügyfél)

A Felhasználót tartalmazó művelet működéséhez szükséges minimális segédügynök-verzió a 10.8470-es verzió. A Sense Agent verziójának azonosításához futtassa a következő PowerShell-parancsot:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatizálási beállítás a szervezet eszközeihez

Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét, a wWhether automatizált vizsgálatok futtatását, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával hajthatók-e végre bizonyos beállításoktól függenek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.
Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg az Automation-szint oszlopot. Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. Ha ki szeretne zárni egy eszközcsoportot az automatikus elszigetelésből, állítsa az automatizálási szintjét automatikus válasz nélküli értékre. Vegye figyelembe, hogy ez nem ajánlott, és csak korlátozott számú eszközön szabad elvégezni.

Eszközfelderítési konfiguráció

Az eszközfelderítési beállításokat legalább "Standard felderítés" értékre kell aktiválni. Az eszközfelderítés konfigurálásáról az Eszközfelderítés beállítása című témakörben olvashat.

Megjegyzés:

A támadások megszakítása az eszközök Microsoft Defender víruskereső működési állapotától függetlenül működhet. Az üzemeltetési állapot aktív, passzív vagy EDR blokkmódban is lehet.

A Microsoft Defender for Identity előfeltételei

Naplózás beállítása tartományvezérlőkben

A naplózás tartományvezérlőkben való beállításáról A Windows-eseménynaplók naplózási házirendjeinek konfigurálása című témakörben tájékozódhat arról, hogy a szükséges naplózási események konfigurálva legyenek azon a tartományvezérlőn, amelyen a Defender for Identity érzékelő telepítve van.

Műveleti fiókok ellenőrzése

A Defender for Identity lehetővé teszi a helyszíni Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához a Defender for Identitynek rendelkeznie kell a szükséges engedélyekkel. Alapértelmezés szerint a Defender for Identity érzékelője megszemélyesíti a tartományvezérlő LocalSystem fiókját, és végrehajtja a műveleteket. Mivel az alapértelmezett beállítás módosítható, ellenőrizze, hogy a Defender for Identity rendelkezik-e a szükséges engedélyekkel, vagy használja-e az alapértelmezett LocalSystem-fiókot.

A műveleti fiókokról további információt a Microsoft Defender for Identity műveleti fiókjainak konfigurálása című témakörben talál.

A Defender for Identity érzékelőt azon a tartományvezérlőn kell üzembe helyezni, ahol az Active Directory-fiókot ki kell kapcsolni.

Megjegyzés:

Ha rendelkezik automatizálással a felhasználó aktiválásához vagy letiltásához, ellenőrizze, hogy az automatizálások zavarhatják-e a fennakadásokat. Ha például van egy automatizálás, amely rendszeresen ellenőrzi és kikényszeríti, hogy az összes aktív alkalmazott engedélyezte-e a fiókokat, ez akaratlanul aktiválhatja azokat a fiókokat, amelyeket támadás észlelése közben a rendszer inaktivált.

A Microsoft Defender for Cloud Apps előfeltételei

Microsoft Office 365-összekötő

A Microsoft Defender for Cloud Appsnek az összekötőn keresztül kell csatlakoznia a Microsoft Office 365-höz. A Defender for Cloud Apps csatlakoztatásához lásd: A Microsoft 365 csatlakoztatása a Microsoft Defender for Cloud Appshez.

Alkalmazásirányítás

Az alkalmazásirányítást be kell kapcsolni. A bekapcsolásához tekintse meg az alkalmazásirányítási dokumentációt .

Az Office 365-höz készült Microsoft Defender előfeltételei

Postaládák helye

A postaládákat az Exchange Online-ban kell üzemeltetni.

Postaláda naplózása

A következő postaláda-eseményeket legalább naplózni kell:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

A postaláda-naplózás kezelésével kapcsolatos információkért tekintse át a postaláda-naplózás kezelését ismertető cikket.

A safelinks szabályzatnak jelen kell lennie.

Felhasználók automatikus válaszkivételeinek áttekintése vagy módosítása

Az automatikus támadáskimaradás lehetővé teszi bizonyos felhasználói fiókok kizárását az automatikus elszigetelési műveletekből. A kizárt felhasználókra nem lesz hatással a támadáskimaradás által aktivált automatizált műveletek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
Lépjen a Beállítások>Microsoft Defender XDR-identitás>automatizált válasza területre. A fiókok kizárásához ellenőrizze a felhasználói listát.
Új felhasználói fiók kizárásához válassza a Felhasználói kizárás hozzáadása lehetőséget.

A felhasználói fiókok kizárása nem ajánlott, és a listához hozzáadott fiókok nem lesznek felfüggesztve az összes támogatott támadási típusban, például az üzleti e-mailek feltörése (BEC) és az ember által működtetett zsarolóprogramok esetében.

Következő lépések

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

Megosztás a következőn keresztül: