Megosztás a következőn keresztül:


Automatizált vizsgálati és válaszképességek konfigurálása a Microsoft Defender XDR-ben

A Microsoft Defender XDR hatékony automatizált vizsgálati és reagálási képességeket tartalmaz, amelyekkel sok időt és energiát takaríthat meg a biztonsági üzemeltetési csapat számára. Az önjavítás révén ezek a képességek utánozzák a biztonsági elemzők által a fenyegetések kivizsgálásának és megválaszolásának lépéseit, csak gyorsabban és nagyobb skálázási képességgel.

Ez a cikk azt ismerteti, hogyan konfigurálhat automatikus vizsgálatot és választ a Microsoft Defender XDR-ben az alábbi lépésekkel:

  1. Tekintse át az előfeltételeket.
  2. Tekintse át vagy módosítsa az eszközcsoportok automatizálási szintjét.
  3. Tekintse át a biztonsági és riasztási szabályzatokat az Office 365-ben.

A beállítás után a Műveletközpontban megtekintheti és kezelheti a szervizelési műveleteket. Szükség esetén módosíthatja az automatizált vizsgálati beállításokat.

Az automatikus vizsgálat és reagálás előfeltételei a Microsoft Defender XDR-ben

Követelmény Részletek
Előfizetési követelmények Az alábbi előfizetések egyike:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 a Microsoft 365 E5 Biztonsági bővítménnyel
  • Microsoft 365 A3 a Microsoft 365 A5 Biztonsági bővítménnyel
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Lásd: A Microsoft Defender XDR licencelési követelményei.
Hálózati követelmények
Windows-eszközökre vonatkozó követelmények
E-mail-tartalmak és Office-fájlok védelme
Engedélyek Az automatizált vizsgálati és válaszképességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központban (https://admin.microsoft.com):
  • Globális rendszergazda
  • Biztonsági rendszergazda
Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Megjegyzés:

A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.

Eszközcsoportok automatizálási szintjének áttekintése vagy módosítása

Az, hogy az automatizált vizsgálatok futnak-e, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával történik-e, bizonyos beállításoktól, például a szervezet eszközcsoport-szabályzataitól függenek. Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

  1. Nyissa meg a Microsoft Defender portált a címen https://security.microsoft.com , és jelentkezzen be.

  2. Lépjen a Beállítások>Végpontok>Eszközcsoportok területre az Engedélyek területen.

  3. Tekintse át az eszközcsoport-szabályzatokat. Tekintse meg különösen a Szervizelési szint oszlopot . Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot. Előfordulhat, hogy a kívánt automatizálási szint eléréséhez létre kell hoznia vagy szerkesztenie kell az eszközcsoportokat. A feladattal kapcsolatos segítségért tekintse meg az alábbi cikkeket:

Biztonsági és riasztási szabályzatok áttekintése az Office 365-ben

A Microsoft beépített riasztási szabályzatokat biztosít, amelyek segítenek azonosítani bizonyos kockázatokat. Ilyen kockázat például az Exchange rendszergazdai engedélyekkel való visszaélése, a kártevők tevékenysége, a lehetséges külső és belső fenyegetések, valamint az adatok életciklusának kezelése. Egyes riasztások automatikus vizsgálatot és választ válthatnak ki az Office 365-ben. Győződjön meg arról, hogy az Office 365-höz készült Defender funkciói megfelelően vannak konfigurálva.

Bár bizonyos riasztások és biztonsági szabályzatok automatikus vizsgálatokat indíthatnak, a rendszer nem hajt végre automatikus javítási műveleteket az e-mailek és a tartalmak esetében. Ehelyett az e-mailek és e-mailek tartalmának szervizelési műveletei a biztonsági üzemeltetési csapat jóváhagyására várnak a Műveletközpontban.

Az Exchange Online Protection (EOP) és az Office 365-höz készült Defender biztonsági beállításai segítenek megvédeni az e-maileket és a tartalmakat. Javasoljuk, hogy a standard és a szigorú előzetes biztonsági szabályzatokkal rendeljen védelmet a felhasználókhoz.

Ha egyéni szabályzatokat használ, a Konfigurációelemzővel hasonlítsa össze a szabályzatbeállításokat a Standard és a Szigorú előre beállított biztonsági házirend-beállításokkal. Az összes házirend-beállítás részletes listáját az Ajánlott beállítások az EOP-hoz és az Office 365-höz készült Microsoft Defender biztonsági beállításai című témakörben találja.

A riasztási szabályzatokat a Defender portálon https://security.microsoft.com> tekintheti át a Szabályzatok & szabályok>Riasztási szabályzat című témakörben, vagy közvetlenül a címenhttps://security.microsoft.com/alertpoliciesv2. Számos alapértelmezett riasztási szabályzat a Fenyegetéskezelés kategóriában található. A Fenyegetéskezelés kategóriában szereplő riasztási szabályzatok némelyike automatikus vizsgálatot és választ válthat ki. További információ: Fenyegetéskezelési riasztási szabályzatok.

Módosítania kell az automatizált vizsgálati beállításokat?

Számos lehetőség közül választhat az automatizált vizsgálati és válaszképességek beállításainak módosításához. Néhány lehetőség az alábbi táblázatban található:

Ehhez Kövesse az alábbi lépéseket
Automatizálási szintek megadása eszközcsoportokhoz
  1. Állítson be egy vagy több eszközcsoportot. Lásd: Eszközcsoportok létrehozása és kezelése.
  2. A Microsoft Defender portálon lépjen az Engedélyek>Végpontok szerepkörök & csoportok>Eszközcsoportok területre.
  3. Válasszon ki egy eszközcsoportot, és tekintse át az Automation-szint beállítását. (Azt javasoljuk, hogy a Teljes – fenyegetések automatikus elhárítása lehetőséget használja. Lásd: Automatizálási szintek az automatizált vizsgálati és javítási képességekben.
  4. Ismételje meg a 2. és a 3. lépést az összes eszközcsoport esetében.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.