Konfigurowanie możliwości zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR

Artykuł
07/08/2024

Usługa Microsoft Defender XDR oferuje zaawansowane funkcje zautomatyzowanego badania i reagowania , które pozwalają zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku. Dzięki samonaprawianiu te możliwości naśladują kroki, które analityk zabezpieczeń podejmie w celu zbadania zagrożeń i reagowania na nie, tylko szybciej i z większą możliwością skalowania.

W tym artykule opisano sposób konfigurowania zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR przy użyciu następujących kroków:

Zapoznaj się z wymaganiami wstępnymi.
Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń.
Przejrzyj zasady zabezpieczeń i alertów w usłudze Office 365.

Następnie po skonfigurowaniu można wyświetlać akcje korygowania i zarządzać nimi w centrum akcji. W razie potrzeby możesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania.

Wymagania wstępne dotyczące zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR

Wymaganie	Szczegóły
Wymagania dotyczące subskrypcji	Jedna z tych subskrypcji: Microsoft 365 E5 Microsoft 365 A5 Platforma Microsoft 365 E3 z dodatkiem Microsoft 365 E5 Security Microsoft 365 A3 z dodatkiem Microsoft 365 A5 Security Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5 Zobacz Wymagania dotyczące licencjonowania usługi Microsoft Defender XDR.
Wymagania dotyczące sieci	Włączono usługę Microsoft Defender for Identity Skonfigurowano usługę Microsoft Defender for Cloud Apps Integracja usługi Microsoft Defender for Identity
Wymagania dotyczące urządzeń z systemem Windows	System Windows 11 Zainstalowany system Windows 10 w wersji 1709 lub nowszej (zobacz informacje o wersji systemu Windows) Skonfigurowano następujące usługi ochrony przed zagrożeniami: Ochrona punktu końcowego w usłudze Microsoft Defender Program antywirusowy Microsoft Defender
Ochrona zawartości poczty e-mail i plików pakietu Office	Skonfigurowano usługę Microsoft Defender dla usługi Office 365 Skonfigurowano funkcje zautomatyzowanego badania i korygowania w usłudze Defender for Endpoint (wymagane do akcji ręcznego reagowania, takich jak usuwanie wiadomości e-mail na urządzeniach)
Uprawnienia	Aby skonfigurować możliwości zautomatyzowanego badania i reagowania, musisz mieć jedną z następujących ról przypisanych w identyfikatorze Microsoft Entra (https://portal.azure.com) lub w centrum administracyjnym platformy Microsoft 365 (https://admin.microsoft.com): Administrator globalny Administrator zabezpieczeń Aby pracować z możliwościami zautomatyzowanego badania i reagowania, takimi jak przeglądanie, zatwierdzanie lub odrzucanie oczekujących akcji, zobacz Wymagane uprawnienia do zadań centrum akcji.

Uwaga

Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.

Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń

To, czy są uruchamiane zautomatyzowane badania i czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu dla urządzeń, zależą od pewnych ustawień, takich jak zasady grupy urządzeń w organizacji. Przejrzyj skonfigurowany poziom automatyzacji dla zasad grupy urządzeń. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:

Przejdź do portalu usługi Microsoft Defender pod adresem https://security.microsoft.com i zaloguj się.
Przejdź do pozycji Ustawienia>punkty końcowe>Grupy urządzeń w obszarze Uprawnienia.
Przejrzyj zasady grupy urządzeń. W szczególności przyjrzyj się kolumnie Poziom korygowania . Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Może być konieczne utworzenie lub edytowanie grup urządzeń w celu uzyskania żądanego poziomu automatyzacji. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:
- Jak są korygowane zagrożenia
- Twórz grupy urządzeń i zarządzaj nimi

Przeglądanie zasad zabezpieczeń i alertów w usłudze Office 365

Firma Microsoft udostępnia wbudowane zasady alertów , które ułatwiają identyfikowanie pewnych zagrożeń. Te zagrożenia obejmują nadużywanie uprawnień administratora programu Exchange, działanie złośliwego oprogramowania, potencjalne zagrożenia zewnętrzne i wewnętrzne oraz ryzyko związane z zarządzaniem cyklem życia danych. Niektóre alerty mogą wyzwalać automatyczne badanie i reagowanie w usłudze Office 365. Upewnij się, że funkcje usługi Defender dla usługi Office 365 są poprawnie skonfigurowane.

Mimo że niektóre alerty i zasady zabezpieczeń mogą wyzwalać zautomatyzowane badania, żadne akcje korygowania nie są wykonywane automatycznie dla poczty e-mail i zawartości. Zamiast tego wszystkie akcje korygowania zawartości poczty e-mail i wiadomości e-mail czekają na zatwierdzenie przez zespół ds. operacji zabezpieczeń w Centrum akcji.

Ustawienia zabezpieczeń w usługach Exchange Online Protection (EOP) i Defender for Office 365 pomagają chronić pocztę e-mail i zawartość. Zalecamy przypisanie ochrony użytkownikom przy użyciu standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń .

Jeśli używasz zasad niestandardowych, użyj analizatora konfiguracji , aby porównać ustawienia zasad ze standardowymi i ścisłymi ustawieniami wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać szczegółową listę wszystkich ustawień zasad, zobacz tabele w temacie Zalecane ustawienia dotyczące EOP i Zabezpieczenia usługi Microsoft Defender dla usługi Office 365.

Zasady alertów można przejrzeć w portalu usługi Defender pod adresem https://security.microsoft.com>Zasady & reguł>alertów lub bezpośrednio pod adresem https://security.microsoft.com/alertpoliciesv2. Kilka domyślnych zasad alertów znajduje się w kategorii Zarządzanie zagrożeniami . Niektóre zasady alertów w kategorii Zarządzanie zagrożeniami mogą wyzwalać automatyczne badanie i reagowanie. Aby dowiedzieć się więcej, zobacz Zasady alertów zarządzania zagrożeniami.

Chcesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania?

Możesz wybrać jedną z kilku opcji zmiany ustawień funkcji zautomatyzowanego badania i reagowania. Niektóre opcje są wymienione w poniższej tabeli:

Aby to zrobić	Wykonaj następujące kroki
Określanie poziomów automatyzacji dla grup urządzeń	Skonfiguruj co najmniej jedną grupę urządzeń. Zobacz Tworzenie grup urządzeń i zarządzanie nimi. W portalu usługi Microsoft Defender przejdź do pozycji Role punktów końcowych> uprawnień& grup>urządzeń. Wybierz grupę urządzeń i przejrzyj jej ustawienie poziomu automatyzacji . (Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Zobacz Poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania. Powtórz kroki 2 i 3 odpowiednio do wszystkich grup urządzeń.

Aby to zrobić

Wykonaj następujące kroki

Określanie poziomów automatyzacji dla grup urządzeń

Skonfiguruj co najmniej jedną grupę urządzeń. Zobacz Tworzenie grup urządzeń i zarządzanie nimi.
W portalu usługi Microsoft Defender przejdź do pozycji Role punktów końcowych> uprawnień& grup>urządzeń.
Wybierz grupę urządzeń i przejrzyj jej ustawienie poziomu automatyzacji . (Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Zobacz Poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania.
Powtórz kroki 2 i 3 odpowiednio do wszystkich grup urządzeń.

Następne kroki

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Udostępnij za pośrednictwem