Konfigurer automatiserte undersøkelses- og svarfunksjoner i Microsoft Defender XDR
Microsoft Defender XDR inkluderer kraftige automatiserte undersøkelses- og responsfunksjoner som kan spare sikkerhetsoperasjonsteamet mye tid og krefter. Med selvreparasjon etterligner disse funksjonene trinnene en sikkerhetsanalytiker ville tatt for å undersøke og reagere på trusler, bare raskere og med større evne til å skalere.
Denne artikkelen beskriver hvordan du konfigurerer automatisert undersøkelse og svar i Microsoft Defender XDR med disse trinnene:
- Se gjennom forutsetningene.
- Se gjennom eller endre automatiseringsnivået for enhetsgrupper.
- Se gjennom sikkerhets- og varslingspolicyene i Office 365.
Når alt er konfigurert, kan du deretter vise og behandle utbedringshandlinger i handlingssenteret. Og om nødvendig kan du gjøre endringer i automatiserte undersøkelsesinnstillinger.
Forutsetninger for automatisert undersøkelse og respons i Microsoft Defender XDR
Krav | Detaljer |
---|---|
Abonnementskrav | Ett av disse abonnementene:
Se lisenskrav for Microsoft Defender XDR. |
Nettverkskrav | |
Windows-enhetskrav |
|
Beskyttelse for e-postinnhold og Office-filer |
|
Tillatelser | Hvis du vil konfigurere automatiserte undersøkelses- og svarfunksjoner, må du ha én av følgende roller tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller i administrasjonssenteret for Microsoft 365 (https://admin.microsoft.com):
|
Obs!
Microsoft anbefaler at du bruker roller med færre tillatelser for bedre sikkerhet. Rollen global administrator, som har mange tillatelser, bør bare brukes i nødstilfeller når ingen annen rolle passer.
Se gjennom eller endre automatiseringsnivået for enhetsgrupper
Om automatiserte undersøkelser kjøres, og om utbedringshandlinger utføres automatisk eller bare ved godkjenning for enhetene dine, avhenger av bestemte innstillinger, for eksempel organisasjonens gruppepolicyer for enheter. Se gjennom det konfigurerte automatiseringsnivået for gruppepolicyene for enheten. Du må være global administrator eller sikkerhetsadministrator for å utføre følgende fremgangsmåte:
Gå til Microsoft Defender-portalen, og logg på https://security.microsoft.com .
Gå til Enhetsgrupper> forinnstillinger-endepunkter> under Tillatelser.
Se gjennom gruppepolicyene for enheten. Se spesielt på kolonnen utbedringsnivå . Vi anbefaler at du bruker Full – utbedr trusler automatisk. Du må kanskje opprette eller redigere enhetsgruppene for å få ønsket automatiseringsnivå. Hvis du vil ha hjelp med denne oppgaven, kan du se følgende artikler:
Se gjennom sikkerhets- og varslingspolicyene i Office 365
Microsoft tilbyr innebygde varslingspolicyer som bidrar til å identifisere visse risikoer. Disse risikoene omfatter misbruk av Exchange-administratortillatelser, skadelig programvareaktivitet, potensielle eksterne og interne trusler og risikoer for administrasjon av datalivssyklus. Noen varsler kan utløse automatisert undersøkelse og svar i Office 365. Kontroller at Defender for Office 365-funksjonene er riktig konfigurert.
Selv om visse varsler og sikkerhetspolicyer kan utløse automatiserte undersøkelser, utføres ingen utbedringshandlinger automatisk for e-post og innhold. I stedet venter alle utbedringshandlinger for e-post- og e-postinnhold godkjenning av sikkerhetsoperasjonsteamet i handlingssenteret.
Sikkerhetsinnstillinger i Exchange Online Protection (EOP) og Defender for Office 365 bidrar til å beskytte e-post og innhold. Vi anbefaler at du bruker standard og strenge forhåndsinnstilte sikkerhetspolicyer til å tilordne beskyttelse til brukere.
Hvis du bruker egendefinerte policyer, kan du bruke Konfigurasjonsanalyse til å sammenligne policyinnstillingene med innstillingene for standard og streng forhåndsinnstilt sikkerhetspolicy. Hvis du vil ha en detaljert liste over alle policyinnstillingene, kan du se tabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365-sikkerhet.
Du kan se gjennom varslingspolicyene i Defender-portalen på https://security.microsoft.com>Policyer & regler>Varselpolicy eller direkte på https://security.microsoft.com/alertpoliciesv2. Flere standard varslingspolicyer finnes i kategorien Trusselbehandling . Noen av varslingspolicyene i kategorien Trusselbehandling kan utløse automatisert undersøkelse og respons. Hvis du vil ha mer informasjon, kan du se varslingspolicyer for trusselbehandling.
Trenger du å gjøre endringer i innstillingene for automatisert undersøkelse?
Du kan velge blant flere alternativer for å endre innstillingene for automatisert undersøkelse og svarfunksjoner. Noen alternativer er oppført i tabellen nedenfor:
Hvis du vil gjøre dette | Følg disse trinnene |
---|---|
Angi automatiseringsnivåer for grupper med enheter |
|
Neste trinn
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.