Konfigurer automatiserte undersøkelses- og svarfunksjoner i Microsoft Defender XDR

  • Artikkel

Microsoft Defender XDR inkluderer kraftige automatiserte undersøkelses- og responsfunksjoner som kan spare sikkerhetsoperasjonsteamet mye tid og krefter. Med selvreparasjon etterligner disse funksjonene trinnene en sikkerhetsanalytiker ville tatt for å undersøke og reagere på trusler, bare raskere og med større evne til å skalere.

Denne artikkelen beskriver hvordan du konfigurerer automatisert undersøkelse og svar i Microsoft Defender XDR med disse trinnene:

  1. Se gjennom forutsetningene.
  2. Se gjennom eller endre automatiseringsnivået for enhetsgrupper.
  3. Se gjennom sikkerhets- og varslingspolicyene i Office 365.

Når alt er konfigurert, kan du deretter vise og behandle utbedringshandlinger i handlingssenteret. Og om nødvendig kan du gjøre endringer i automatiserte undersøkelsesinnstillinger.

Forutsetninger for automatisert undersøkelse og respons i Microsoft Defender XDR

Kravet Detaljer
Abonnementskrav Ett av disse abonnementene:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 med Microsoft 365 E5 Security tillegget
  • Microsoft 365 A3 med sikkerhetstillegget Microsoft 365 A5
  • Office 365 E5 pluss Enterprise Mobility + Security E5 pluss Windows E5

Se Microsoft Defender XDR lisensieringskrav.
Nettverkskrav
Windows-enhetskrav
Beskyttelse for e-postinnhold og Office-filer
Tillatelser Hvis du vil konfigurere automatiserte undersøkelses- og svarfunksjoner, må du ha én av følgende roller tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller i Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com):
  • Global Administrator
  • Sikkerhetsadministrator
Hvis du vil arbeide med automatiserte undersøkelses- og svarfunksjoner, for eksempel ved å se gjennom, godkjenne eller avvise ventende handlinger, kan du se Nødvendige tillatelser for handlingssenteroppgaver.

Se gjennom eller endre automatiseringsnivået for enhetsgrupper

Om automatiserte undersøkelser kjøres, og om utbedringshandlinger utføres automatisk eller bare ved godkjenning for enhetene dine, avhenger av bestemte innstillinger, for eksempel organisasjonens gruppepolicyer for enheter. Se gjennom det konfigurerte automatiseringsnivået for gruppepolicyene for enheten. Du må være global administrator eller sikkerhetsadministrator for å utføre følgende fremgangsmåte:

  1. Gå til Microsoft Defender-portalen, og logg påhttps://security.microsoft.com.

  2. Gå til Enhetsgrupper> forinnstillinger-endepunkter> under Tillatelser.

  3. Se gjennom gruppepolicyene for enheten. Se spesielt på kolonnen automatiseringsnivå . Vi anbefaler at du bruker Full – utbedr trusler automatisk. Du må kanskje opprette eller redigere enhetsgruppene for å få ønsket automatiseringsnivå. Hvis du vil ha hjelp med denne oppgaven, kan du se følgende artikler:

Se gjennom sikkerhets- og varslingspolicyene i Office 365

Microsoft tilbyr innebygde varslingspolicyer som bidrar til å identifisere visse risikoer. Disse risikoene omfatter misbruk av Exchange-administratortillatelser, skadelig programvareaktivitet, potensielle eksterne og interne trusler og risikoer for administrasjon av datalivssyklus. Noen varsler kan utløse automatisert undersøkelse og respons i Office 365. Kontroller at [Defender for Office 365]/defender-office-365/mdo-about-funksjonene er riktig konfigurert.

Selv om visse varsler og sikkerhetspolicyer kan utløse automatiserte undersøkelser, utføres ingen utbedringshandlinger automatisk for e-post og innhold. I stedet venter alle utbedringshandlinger for e-post- og e-postinnhold godkjenning av sikkerhetsoperasjonsteamet i handlingssenteret.

Sikkerhetsinnstillinger i Exchange Online Protection (EOP) og Defender for Office 365 bidra til å beskytte e-post og innhold. Vi anbefaler at du bruker standard og strenge forhåndsinnstilte sikkerhetspolicyer til å tilordne beskyttelse til brukere.

Hvis du bruker egendefinerte policyer, kan du bruke Konfigurasjonsanalyse til å sammenligne policyinnstillingene med innstillingene for standard og streng forhåndsinnstilt sikkerhetspolicy. Hvis du vil ha en detaljert liste over alle policyinnstillingene, kan du se tabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

Du kan se gjennom varslingspolicyene i Defender-portalen på https://security.microsoft.com>Policyer & regler>Varselpolicy eller direkte på https://security.microsoft.com/alertpoliciesv2. Flere standard varslingspolicyer finnes i kategorien Trusselbehandling . Noen av varslingspolicyene i kategorien Trusselbehandling kan utløse automatisert undersøkelse og respons. Hvis du vil ha mer informasjon, kan du se varslingspolicyer for trusselbehandling.

Trenger du å gjøre endringer i innstillingene for automatisert undersøkelse?

Du kan velge blant flere alternativer for å endre innstillingene for automatisert undersøkelse og svarfunksjoner. Noen alternativer er oppført i tabellen nedenfor:

Hvis du vil gjøre dette Følg disse trinnene
Angi automatiseringsnivåer for grupper med enheter
  1. Konfigurer én eller flere enhetsgrupper. Se Opprett og administrere enhetsgrupper.
  2. Gå til Tillatelser-endepunktroller> i Microsoft Defender portalen& grupperer>enhetsgrupper.
  3. Velg en enhetsgruppe, og se gjennom innstillingen for automatiseringsnivå . (Vi anbefaler at du bruker Full – utbedr trusler automatisk). Se automatiseringsnivåer i automatiserte undersøkelses- og utbedringsfunksjoner.
  4. Gjenta trinn 2 og 3 etter behov for alle enhetsgruppene.

Neste trinn

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.