Geautomatiseerde onderzoeks- en reactiemogelijkheden configureren in Microsoft Defender XDR

Artikel
07/08/2024

Microsoft Defender XDR bevat krachtige geautomatiseerde onderzoeks- en reactiemogelijkheden die uw beveiligingsteam veel tijd en moeite kunnen besparen. Met zelfherstel bootsen deze mogelijkheden de stappen na die een beveiligingsanalist zou nemen om bedreigingen te onderzoeken en erop te reageren, alleen sneller en met meer mogelijkheden om te schalen.

In dit artikel wordt beschreven hoe u geautomatiseerd onderzoek en antwoord configureert in Microsoft Defender XDR met de volgende stappen:

Controleer de vereisten.
Controleer of wijzig het automatiseringsniveau voor apparaatgroepen.
Controleer uw beveiligings- en waarschuwingsbeleid in Office 365.

Nadat u alles hebt ingesteld, kunt u herstelacties weergeven en beheren in het Actiecentrum. En, indien nodig, kunt u wijzigingen aanbrengen in instellingen voor geautomatiseerd onderzoek.

Vereisten voor geautomatiseerd onderzoek en antwoord in Microsoft Defender XDR

Vereiste	Details
Abonnementsvereisten	Een van deze abonnementen: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 met de Microsoft 365 E5 Security-invoegtoepassing Microsoft 365 A3 met de Microsoft 365 A5 Security-invoegtoepassing Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5 Zie Licentievereisten voor Microsoft Defender XDR.
Vereisten voor netwerkfirewall	Microsoft Defender for Identity ingeschakeld Microsoft Defender for Cloud Apps geconfigureerd Integratie van Microsoft Defender for Identity
Windows-apparaatvereisten	Windows 11 Windows 10, versie 1709 of hoger geïnstalleerd (zie Windows-release-informatie) De volgende bedreigingsbeveiligingsservices zijn geconfigureerd: Microsoft Defender voor Eindpunt Microsoft Defender Antivirus
Beveiliging voor e-mailinhoud en Office-bestanden	Microsoft Defender voor Office 365 is geconfigureerd Mogelijkheden voor geautomatiseerd onderzoek en herstel in Defender voor Eindpunt zijn geconfigureerd (vereist voor handmatige reactieacties, zoals het verwijderen van e-mailberichten op apparaten)
Machtigingen	Als u geautomatiseerde onderzoeks- en reactiemogelijkheden wilt configureren, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in het Microsoft 365-beheercentrum (https://admin.microsoft.com): Globale beheerder Beveiligingsbeheerder Zie Vereiste machtigingen voor actiecentrumtaken als u wilt werken met geautomatiseerde onderzoeks- en reactiemogelijkheden, zoals het controleren, goedkeuren of weigeren van acties die in behandeling zijn.

Opmerking

Microsoft raadt aan om rollen met minder machtigingen te gebruiken voor een betere beveiliging. De rol Globale beheerder, die veel machtigingen heeft, mag alleen worden gebruikt in noodgevallen wanneer er geen andere rol past.

Het automatiseringsniveau voor apparaatgroepen controleren of wijzigen

Of geautomatiseerde onderzoeken worden uitgevoerd en of herstelacties automatisch of alleen na goedkeuring voor uw apparaten worden uitgevoerd, zijn afhankelijk van bepaalde instellingen, zoals het apparaatgroepsbeleid van uw organisatie. Controleer het geconfigureerde automatiseringsniveau voor uw apparaatgroepsbeleid. U moet een globale beheerder of beveiligingsbeheerder zijn om de volgende procedure uit te voeren:

Ga naar de Microsoft Defender-portal op en meld u aan https://security.microsoft.com .
Ga naar Instellingen>Eindpunten>Apparaatgroepen onder Machtigingen.
Controleer uw apparaatgroepsbeleid. Bekijk met name de kolom Herstelniveau . U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen. Mogelijk moet u uw apparaatgroepen maken of bewerken om het gewenste automatiseringsniveau te krijgen. Raadpleeg de volgende artikelen voor hulp bij deze taak:
- Hoe bedreigingen worden hersteld
- Apparaatgroepen maken en beheren

Uw beveiligings- en waarschuwingsbeleid controleren in Office 365

Microsoft biedt ingebouwd waarschuwingsbeleid waarmee bepaalde risico's kunnen worden geïdentificeerd. Deze risico's omvatten misbruik van Exchange-beheerdersmachtigingen, malwareactiviteit, mogelijke externe en interne bedreigingen en risico's voor gegevenslevenscyclusbeheer. Sommige waarschuwingen kunnen geautomatiseerde onderzoeken en reageren in Office 365 activeren. Zorg ervoor dat uw Defender voor Office 365-functies correct zijn geconfigureerd.

Hoewel bepaalde waarschuwingen en beveiligingsbeleid geautomatiseerde onderzoeken kunnen activeren, worden er geen herstelacties automatisch uitgevoerd voor e-mail en inhoud. In plaats daarvan moeten alle herstelacties voor e-mail en e-mailinhoud worden goedgekeurd door uw beveiligingsteam in het actiecentrum.

Beveiligingsinstellingen in Exchange Online Protection (EOP) en Defender voor Office 365 helpen e-mail en inhoud te beveiligen. We raden u aan het standaard- en strikt vooraf ingestelde beveiligingsbeleid te gebruiken om beveiliging toe te wijzen aan gebruikers.

Als u aangepaste beleidsregels gebruikt, gebruikt u configuratieanalyse om uw beleidsinstellingen te vergelijken met de vooraf ingestelde standaard- en strikte beveiligingsbeleidsinstellingen. Zie de tabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365-beveiliging voor een gedetailleerde lijst van alle beleidsinstellingen.

U kunt uw waarschuwingsbeleid bekijken in de Defender-portal op https://security.microsoft.com>Beleidsregels & regels>Waarschuwingsbeleid of rechtstreeks op https://security.microsoft.com/alertpoliciesv2. Verschillende standaardwaarschuwingsbeleidsregels bevinden zich in de categorie Bedreigingsbeheer . Sommige waarschuwingsbeleidsregels in de categorie Bedreigingsbeheer kunnen geautomatiseerd onderzoek en reactie activeren. Zie Waarschuwingsbeleid voor bedreigingsbeheer voor meer informatie.

Wilt u wijzigingen aanbrengen in de instellingen voor geautomatiseerd onderzoek?

U kunt kiezen uit verschillende opties om instellingen te wijzigen voor uw geautomatiseerde onderzoeks- en reactiemogelijkheden. Enkele opties worden weergegeven in de volgende tabel:

Om dit te doen	Volg deze stappen
Automatiseringsniveaus opgeven voor groepen apparaten	Stel een of meer apparaatgroepen in. Zie Apparaatgroepen maken en beheren. Ga in de Microsoft Defender-portal naar Machtigingen Eindpuntrollen>& groepen>Apparaatgroepen. Selecteer een apparaatgroep en controleer de instelling van het Automation-niveau . (U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen). Zie Automatiseringsniveaus in mogelijkheden voor geautomatiseerd onderzoek en herstel. Herhaal stap 2 en 3 indien van toepassing voor al uw apparaatgroepen.

Om dit te doen

Volg deze stappen

Automatiseringsniveaus opgeven voor groepen apparaten

Stel een of meer apparaatgroepen in. Zie Apparaatgroepen maken en beheren.
Ga in de Microsoft Defender-portal naar Machtigingen Eindpuntrollen>& groepen>Apparaatgroepen.
Selecteer een apparaatgroep en controleer de instelling van het Automation-niveau . (U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen). Zie Automatiseringsniveaus in mogelijkheden voor geautomatiseerd onderzoek en herstel.
Herhaal stap 2 en 3 indien van toepassing voor al uw apparaatgroepen.

Volgende stappen

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

Delen via