Udostępnij za pośrednictwem


Konfigurowanie możliwości zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR

Usługa Microsoft Defender XDR oferuje zaawansowane funkcje zautomatyzowanego badania i reagowania , które pozwalają zaoszczędzić zespołowi ds. operacji zabezpieczeń dużo czasu i wysiłku. Dzięki samonaprawianiu te możliwości naśladują kroki, które analityk zabezpieczeń podejmie w celu zbadania zagrożeń i reagowania na nie, tylko szybciej i z większą możliwością skalowania.

W tym artykule opisano sposób konfigurowania zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR przy użyciu następujących kroków:

  1. Zapoznaj się z wymaganiami wstępnymi.
  2. Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń.
  3. Przejrzyj zasady zabezpieczeń i alertów w usłudze Office 365.

Następnie po skonfigurowaniu można wyświetlać akcje korygowania i zarządzać nimi w centrum akcji. W razie potrzeby możesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania.

Wymagania wstępne dotyczące zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR

Wymaganie Szczegóły
Wymagania dotyczące subskrypcji Jedna z tych subskrypcji:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Platforma Microsoft 365 E3 z dodatkiem Microsoft 365 E5 Security
  • Microsoft 365 A3 z dodatkiem Microsoft 365 A5 Security
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Zobacz Wymagania dotyczące licencjonowania usługi Microsoft Defender XDR.
Wymagania dotyczące sieci
Wymagania dotyczące urządzeń z systemem Windows
Ochrona zawartości poczty e-mail i plików pakietu Office
Uprawnienia Aby skonfigurować możliwości zautomatyzowanego badania i reagowania, musisz mieć jedną z następujących ról przypisanych w identyfikatorze Microsoft Entra (https://portal.azure.com) lub w centrum administracyjnym platformy Microsoft 365 (https://admin.microsoft.com):
  • Administrator globalny
  • Administrator zabezpieczeń
Aby pracować z możliwościami zautomatyzowanego badania i reagowania, takimi jak przeglądanie, zatwierdzanie lub odrzucanie oczekujących akcji, zobacz Wymagane uprawnienia do zadań centrum akcji.

Uwaga

Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.

Przejrzyj lub zmień poziom automatyzacji dla grup urządzeń

To, czy są uruchamiane zautomatyzowane badania i czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu dla urządzeń, zależą od pewnych ustawień, takich jak zasady grupy urządzeń w organizacji. Przejrzyj skonfigurowany poziom automatyzacji dla zasad grupy urządzeń. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:

  1. Przejdź do portalu usługi Microsoft Defender pod adresem https://security.microsoft.com i zaloguj się.

  2. Przejdź do pozycji Ustawienia>punkty końcowe>Grupy urządzeń w obszarze Uprawnienia.

  3. Przejrzyj zasady grupy urządzeń. W szczególności przyjrzyj się kolumnie Poziom korygowania . Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Może być konieczne utworzenie lub edytowanie grup urządzeń w celu uzyskania żądanego poziomu automatyzacji. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:

Przeglądanie zasad zabezpieczeń i alertów w usłudze Office 365

Firma Microsoft udostępnia wbudowane zasady alertów , które ułatwiają identyfikowanie pewnych zagrożeń. Te zagrożenia obejmują nadużywanie uprawnień administratora programu Exchange, działanie złośliwego oprogramowania, potencjalne zagrożenia zewnętrzne i wewnętrzne oraz ryzyko związane z zarządzaniem cyklem życia danych. Niektóre alerty mogą wyzwalać automatyczne badanie i reagowanie w usłudze Office 365. Upewnij się, że funkcje usługi Defender dla usługi Office 365 są poprawnie skonfigurowane.

Mimo że niektóre alerty i zasady zabezpieczeń mogą wyzwalać zautomatyzowane badania, żadne akcje korygowania nie są wykonywane automatycznie dla poczty e-mail i zawartości. Zamiast tego wszystkie akcje korygowania zawartości poczty e-mail i wiadomości e-mail czekają na zatwierdzenie przez zespół ds. operacji zabezpieczeń w Centrum akcji.

Ustawienia zabezpieczeń w usługach Exchange Online Protection (EOP) i Defender for Office 365 pomagają chronić pocztę e-mail i zawartość. Zalecamy przypisanie ochrony użytkownikom przy użyciu standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń .

Jeśli używasz zasad niestandardowych, użyj analizatora konfiguracji , aby porównać ustawienia zasad ze standardowymi i ścisłymi ustawieniami wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać szczegółową listę wszystkich ustawień zasad, zobacz tabele w temacie Zalecane ustawienia dotyczące EOP i Zabezpieczenia usługi Microsoft Defender dla usługi Office 365.

Zasady alertów można przejrzeć w portalu usługi Defender pod adresem https://security.microsoft.com>Zasady & reguł>alertów lub bezpośrednio pod adresem https://security.microsoft.com/alertpoliciesv2. Kilka domyślnych zasad alertów znajduje się w kategorii Zarządzanie zagrożeniami . Niektóre zasady alertów w kategorii Zarządzanie zagrożeniami mogą wyzwalać automatyczne badanie i reagowanie. Aby dowiedzieć się więcej, zobacz Zasady alertów zarządzania zagrożeniami.

Chcesz wprowadzić zmiany w ustawieniach zautomatyzowanego badania?

Możesz wybrać jedną z kilku opcji zmiany ustawień funkcji zautomatyzowanego badania i reagowania. Niektóre opcje są wymienione w poniższej tabeli:

Aby to zrobić Wykonaj następujące kroki
Określanie poziomów automatyzacji dla grup urządzeń
  1. Skonfiguruj co najmniej jedną grupę urządzeń. Zobacz Tworzenie grup urządzeń i zarządzanie nimi.
  2. W portalu usługi Microsoft Defender przejdź do pozycji Role punktów końcowych> uprawnień& grup>urządzeń.
  3. Wybierz grupę urządzeń i przejrzyj jej ustawienie poziomu automatyzacji . (Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Zobacz Poziomy automatyzacji w zakresie możliwości zautomatyzowanego badania i korygowania.
  4. Powtórz kroki 2 i 3 odpowiednio do wszystkich grup urządzeń.

Następne kroki

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.