Automatizált vizsgálati és válaszképességek konfigurálása a Microsoft Defender XDR-ben

Cikk
07/08/2024

A Microsoft Defender XDR hatékony automatizált vizsgálati és reagálási képességeket tartalmaz, amelyekkel sok időt és energiát takaríthat meg a biztonsági üzemeltetési csapat számára. Az önjavítás révén ezek a képességek utánozzák a biztonsági elemzők által a fenyegetések kivizsgálásának és megválaszolásának lépéseit, csak gyorsabban és nagyobb skálázási képességgel.

Ez a cikk azt ismerteti, hogyan konfigurálhat automatikus vizsgálatot és választ a Microsoft Defender XDR-ben az alábbi lépésekkel:

Tekintse át az előfeltételeket.
Tekintse át vagy módosítsa az eszközcsoportok automatizálási szintjét.
Tekintse át a biztonsági és riasztási szabályzatokat az Office 365-ben.

A beállítás után a Műveletközpontban megtekintheti és kezelheti a szervizelési műveleteket. Szükség esetén módosíthatja az automatizált vizsgálati beállításokat.

Az automatikus vizsgálat és reagálás előfeltételei a Microsoft Defender XDR-ben

Követelmény	Részletek
Előfizetési követelmények	Az alábbi előfizetések egyike: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 a Microsoft 365 E5 Biztonsági bővítménnyel Microsoft 365 A3 a Microsoft 365 A5 Biztonsági bővítménnyel Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5 Lásd: A Microsoft Defender XDR licencelési követelményei.
Hálózati követelmények	A Microsoft Defender for Identity engedélyezve van Microsoft Defender for Cloud Apps konfigurálva A Microsoft Defender for Identity integrációja
Windows-eszközökre vonatkozó követelmények	Windows 11 Telepített Windows 10, 1709-es vagy újabb verzió (lásd a Windows kiadási adatait) A következő veszélyforrások elleni védelmi szolgáltatások vannak konfigurálva: Végponthoz készült Microsoft Defender Microsoft Defender víruskereső
E-mail-tartalmak és Office-fájlok védelme	Az Office 365-höz készült Microsoft Defender konfigurálva van A Végponthoz készült Defender automatikus vizsgálati és javítási képességei konfigurálva vannak (manuális válaszműveletek, például az e-mailek törlése az eszközökön)
Engedélyek	Az automatizált vizsgálati és válaszképességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központban (https://admin.microsoft.com): Globális rendszergazda Biztonsági rendszergazda Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Megjegyzés:

A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.

Eszközcsoportok automatizálási szintjének áttekintése vagy módosítása

Az, hogy az automatizált vizsgálatok futnak-e, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával történik-e, bizonyos beállításoktól, például a szervezet eszközcsoport-szabályzataitól függenek. Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

Nyissa meg a Microsoft Defender portált a címen https://security.microsoft.com , és jelentkezzen be.
Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.
Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg különösen a Szervizelési szint oszlopot . Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. A feladattal kapcsolatos segítségért tekintse meg az alábbi cikkeket:
- A fenyegetések elhárítása
- Eszközcsoportok létrehozása és kezelése

Biztonsági és riasztási szabályzatok áttekintése az Office 365-ben

A Microsoft beépített riasztási szabályzatokat biztosít, amelyek segítenek azonosítani bizonyos kockázatokat. Ilyen kockázat például az Exchange rendszergazdai engedélyekkel való visszaélése, a kártevők tevékenysége, a lehetséges külső és belső fenyegetések, valamint az adatok életciklusának kezelése. Egyes riasztások automatikus vizsgálatot és választ válthatnak ki az Office 365-ben. Győződjön meg arról, hogy az Office 365-höz készült Defender funkciói megfelelően vannak konfigurálva.

Bár bizonyos riasztások és biztonsági szabályzatok automatikus vizsgálatokat indíthatnak, a rendszer nem hajt végre automatikus javítási műveleteket az e-mailek és a tartalmak esetében. Ehelyett az e-mailek és e-mailek tartalmának szervizelési műveletei a biztonsági üzemeltetési csapat jóváhagyására várnak a Műveletközpontban.

Az Exchange Online Protection (EOP) és az Office 365-höz készült Defender biztonsági beállításai segítenek megvédeni az e-maileket és a tartalmakat. Javasoljuk, hogy a standard és a szigorú előzetes biztonsági szabályzatokkal rendeljen védelmet a felhasználókhoz.

Ha egyéni szabályzatokat használ, a Konfigurációelemzővel hasonlítsa össze a szabályzatbeállításokat a Standard és a Szigorú előre beállított biztonsági házirend-beállításokkal. Az összes házirend-beállítás részletes listáját az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai című témakörben találja.

A riasztási szabályzatokat a Defender portálon https://security.microsoft.com> tekintheti át a Szabályzatok & szabályok>Riasztási szabályzat című témakörben, vagy közvetlenül a címenhttps://security.microsoft.com/alertpoliciesv2. Számos alapértelmezett riasztási szabályzat a Fenyegetéskezelés kategóriában található. A Fenyegetéskezelés kategóriában szereplő riasztási szabályzatok némelyike automatikus vizsgálatot és választ válthat ki. További információ: Fenyegetéskezelési riasztási szabályzatok.

Módosítania kell az automatizált vizsgálati beállításokat?

Számos lehetőség közül választhat az automatizált vizsgálati és válaszképességek beállításainak módosításához. Néhány lehetőség az alábbi táblázatban található:

Ehhez	Kövesse az alábbi lépéseket
Automatizálási szintek megadása eszközcsoportokhoz	Állítson be egy vagy több eszközcsoportot. Lásd: Eszközcsoportok létrehozása és kezelése. A Microsoft Defender portálon lépjen az Engedélyek>Végpontok szerepkörök & csoportok>Eszközcsoportok területre. Válasszon ki egy eszközcsoportot, és tekintse át az Automation-szint beállítását. (Azt javasoljuk, hogy a Teljes – fenyegetések automatikus elhárítása lehetőséget használja. Lásd: Automatizálási szintek az automatizált vizsgálati és javítási képességekben. Ismételje meg a 2. és a 3. lépést az összes eszközcsoport esetében.

Ehhez

Kövesse az alábbi lépéseket

Automatizálási szintek megadása eszközcsoportokhoz

Állítson be egy vagy több eszközcsoportot. Lásd: Eszközcsoportok létrehozása és kezelése.
A Microsoft Defender portálon lépjen az Engedélyek>Végpontok szerepkörök & csoportok>Eszközcsoportok területre.
Válasszon ki egy eszközcsoportot, és tekintse át az Automation-szint beállítását. (Azt javasoljuk, hogy a Teljes – fenyegetések automatikus elhárítása lehetőséget használja. Lásd: Automatizálási szintek az automatizált vizsgálati és javítási képességekben.
Ismételje meg a 2. és a 3. lépést az összes eszközcsoport esetében.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

Megosztás a következőn keresztül: