Konfigurowanie funkcji automatycznego zakłócania ataków w Microsoft Defender XDR

Artykuł
04/26/2024

Microsoft Defender XDR obejmuje zaawansowane funkcje automatycznego zakłócania ataków, które mogą chronić środowisko przed zaawansowanymi atakami o dużym wpływie.

W tym artykule opisano sposób konfigurowania funkcji automatycznego zakłócania ataków w Microsoft Defender XDR, wykonując następujące kroki:

Zapoznaj się z wymaganiami wstępnymi.
Przejrzyj lub zmień wykluczenia automatycznej odpowiedzi dla użytkowników.

Następnie po skonfigurowaniu można wyświetlać akcje hermetyzowania i zarządzać nimi w obszarze Zdarzenia i Centrum akcji. A jeśli to konieczne, możesz wprowadzić zmiany w ustawieniach.

Wymagania wstępne dotyczące automatycznego zakłócenia ataku w Microsoft Defender XDR

Wymóg	Szczegóły
Wymagania dotyczące subskrypcji	Jedna z tych subskrypcji: Microsoft 365 E5 lub A5 Microsoft 365 E3 z dodatkiem Zabezpieczenia platformy Microsoft 365 E5 Microsoft 365 E3 z dodatkiem Enterprise Mobility + Security E5 Microsoft 365 A3 z dodatkiem Microsoft 365 A5 Security Windows 10 Enterprise E5 lub A5 Windows 11 Enterprise E5 lub A5 Enterprise Mobility + Security (EMS) E5 lub A5 Office 365 E5 lub A5 Ochrona punktu końcowego w usłudze Microsoft Defender Microsoft Defender for Identity Microsoft Defender for Cloud Apps Ochrona usługi Office 365 w usłudze Defender (plan 2) Microsoft Defender dla Firm Zobacz wymagania dotyczące licencjonowania Microsoft Defender XDR.
Wymagania dotyczące wdrażania	Wdrażanie w produktach usługi Defender (np. Defender for Endpoint, Ochrona usługi Office 365 w usłudze Defender, Defender for Identity i Defender for Cloud Apps) W szerszym zakresie wdrożenia, tym większy jest zakres ochrony. Jeśli na przykład sygnał Microsoft Defender for Cloud Apps jest używany w określonym wykrywaniu, ten produkt jest wymagany do wykrycia odpowiedniego konkretnego scenariusza ataku. Podobnie należy wdrożyć odpowiedni produkt w celu wykonania zautomatyzowanej akcji reagowania. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender jest wymagane do automatycznego przechowywania urządzenia. Odnajdywanie urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender jest ustawione na "odnajdywanie standardowe"
Uprawnienia	Aby skonfigurować możliwości automatycznego zakłócania ataków, musisz mieć jedną z następujących ról przypisanych do Tożsamość Microsoft Entra (https://portal.azure.com) lub w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com): Administrator globalny Administrator zabezpieczeń Aby pracować z możliwościami zautomatyzowanego badania i reagowania, takimi jak przeglądanie, zatwierdzanie lub odrzucanie oczekujących akcji, zobacz Wymagane uprawnienia do zadań centrum akcji.

Wymóg

Szczegóły

Wymagania dotyczące subskrypcji

Jedna z tych subskrypcji:

Microsoft 365 E5 lub A5
Microsoft 365 E3 z dodatkiem Zabezpieczenia platformy Microsoft 365 E5
Microsoft 365 E3 z dodatkiem Enterprise Mobility + Security E5
Microsoft 365 A3 z dodatkiem Microsoft 365 A5 Security
Windows 10 Enterprise E5 lub A5
Windows 11 Enterprise E5 lub A5
Enterprise Mobility + Security (EMS) E5 lub A5
Office 365 E5 lub A5
Ochrona punktu końcowego w usłudze Microsoft Defender
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Ochrona usługi Office 365 w usłudze Defender (plan 2)
Microsoft Defender dla Firm

Zobacz wymagania dotyczące licencjonowania Microsoft Defender XDR.

Wymagania dotyczące wdrażania

Wdrażanie w produktach usługi Defender (np. Defender for Endpoint, Ochrona usługi Office 365 w usłudze Defender, Defender for Identity i Defender for Cloud Apps)

W szerszym zakresie wdrożenia, tym większy jest zakres ochrony. Jeśli na przykład sygnał Microsoft Defender for Cloud Apps jest używany w określonym wykrywaniu, ten produkt jest wymagany do wykrycia odpowiedniego konkretnego scenariusza ataku.
Podobnie należy wdrożyć odpowiedni produkt w celu wykonania zautomatyzowanej akcji reagowania. Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender jest wymagane do automatycznego przechowywania urządzenia.

Odnajdywanie urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender jest ustawione na "odnajdywanie standardowe"

Uprawnienia

Aby skonfigurować możliwości automatycznego zakłócania ataków, musisz mieć jedną z następujących ról przypisanych do Tożsamość Microsoft Entra (https://portal.azure.com) lub w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com):

Administrator globalny
Administrator zabezpieczeń

Aby pracować z możliwościami zautomatyzowanego badania i reagowania, takimi jak przeglądanie, zatwierdzanie lub odrzucanie oczekujących akcji, zobacz Wymagane uprawnienia do zadań centrum akcji.

Ochrona punktu końcowego w usłudze Microsoft Defender wymagania wstępne

Minimalna wersja klienta sense (klient MDE)

Minimalna wersja agenta wykrywania wymagana do działania Zawiera użytkownika to wersja 10.8470. Możesz zidentyfikować wersję agenta sense na urządzeniu, uruchamiając następujące polecenie programu PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Ustawienie automatyzacji dla urządzeń organizacji

Przejrzyj skonfigurowany poziom automatyzacji dla zasad grupy urządzeń, uruchom zautomatyzowane badania wWhether oraz czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu urządzeń, zależą od określonych ustawień. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:

Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Przejdź do pozycji Ustawienia>punkty końcowe>Grupy urządzeń w obszarze Uprawnienia.
Przejrzyj zasady grupy urządzeń. Przyjrzyj się kolumnie poziom automatyzacji . Zalecamy automatyczne korygowanie zagrożeń przy użyciu funkcji Pełna. Może być konieczne utworzenie lub edytowanie grup urządzeń w celu uzyskania żądanego poziomu automatyzacji. Aby wykluczyć grupę urządzeń z automatycznego hermetyzowania, ustaw jej poziom automatyzacji na brak automatycznej odpowiedzi. Należy pamiętać, że nie jest to wysoce zalecane i należy to zrobić tylko w przypadku ograniczonej liczby urządzeń.

Konfiguracja odnajdywania urządzeń

Ustawienia odnajdywania urządzeń muszą zostać aktywowane co najmniej do "odnajdywania standardowego". Dowiedz się, jak skonfigurować odnajdywanie urządzeń w artykule Konfigurowanie odnajdywania urządzeń.

Uwaga

Zakłócenia w ataku mogą działać na urządzeniach niezależnie od stanu operacyjnego programu antywirusowego Microsoft Defender urządzenia. Stan operacyjny może być w trybie aktywnym, pasywnym lub blokowym EDR.

Microsoft Defender for Identity wymagania wstępne

Konfigurowanie inspekcji na kontrolerach domeny

Dowiedz się, jak skonfigurować inspekcję na kontrolerach domeny w artykule Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows , aby upewnić się, że wymagane zdarzenia inspekcji są skonfigurowane na kontrolerach domeny, na których wdrożono czujnik usługi Defender for Identity.

Konfigurowanie kont akcji

Usługa Defender for Identity umożliwia wykonywanie akcji korygowania przeznaczonych dla kont lokalna usługa Active Directory w przypadku naruszenia bezpieczeństwa tożsamości. Aby wykonać te akcje, usługa Defender for Identity musi mieć do tego wymagane uprawnienia. Domyślnie czujnik usługi Defender for Identity personifikuje konto LocalSystem kontrolera domeny i wykonuje akcje. Ponieważ można zmienić wartość domyślną, sprawdź, czy usługa Defender for Identity ma wymagane uprawnienia.

Więcej informacji na temat kont akcji można znaleźć w temacie Konfigurowanie kont akcji Microsoft Defender for Identity

Czujnik usługi Defender for Identity musi zostać wdrożony na kontrolerze domeny, na którym ma być wyłączone konto usługi Active Directory.

Uwaga

Jeśli masz automatyzacje umożliwiające aktywowanie lub zablokowanie użytkownika, sprawdź, czy automatyzacje mogą zakłócać działanie. Jeśli na przykład istnieje automatyzacja umożliwiająca regularne sprawdzanie i wymuszanie, że wszyscy aktywni pracownicy włączyli konta, może to przypadkowo aktywować konta, które zostały dezaktywowane przez zakłócenia ataku podczas wykrywania ataku.

Microsoft Defender for Cloud Apps wymagania wstępne

łącznik Microsoft Office 365

Microsoft Defender for Cloud Apps musi być podłączona do Microsoft Office 365 za pośrednictwem łącznika. Aby połączyć usługę Defender for Cloud Apps, zobacz Łączenie platformy Microsoft 365 z usługą Microsoft Defender for Cloud Apps.

Zarządzanie aplikacjami

Ład aplikacji musi być włączony. Zapoznaj się z dokumentacją ładu aplikacji , aby ją włączyć.

Ochrona usługi Office 365 w usłudze Microsoft Defender wymagania wstępne

Lokalizacja skrzynek pocztowych

Skrzynki pocztowe muszą być hostowane w Exchange Online.

Rejestrowanie inspekcji skrzynki pocztowej

Następujące zdarzenia skrzynki pocztowej muszą być poddane inspekcji co najmniej:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Zapoznaj się z tematem Zarządzanie inspekcją skrzynek pocztowych , aby dowiedzieć się więcej na temat zarządzania inspekcją skrzynek pocztowych.

Zasady safelinks muszą być obecne.

Przeglądanie lub zmienianie wykluczeń automatycznej odpowiedzi dla użytkowników

Automatyczne zakłócenie ataku umożliwia wykluczenie określonych kont użytkowników z automatycznych akcji powstrzymywania. Wykluczoni użytkownicy nie będą mieć wpływu na zautomatyzowane akcje wyzwalane przez zakłócenia ataku. Aby wykonać następującą procedurę, musisz być administratorem globalnym lub administratorem zabezpieczeń:

Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Przejdź do pozycji Ustawienia>Microsoft Defender XDR>Identity automated response (Automatyczna odpowiedź jednostki). Sprawdź listę użytkowników, aby wykluczyć konta.
Aby wykluczyć nowe konto użytkownika, wybierz pozycję Dodaj wykluczenie użytkownika.

Wykluczanie kont użytkowników nie jest zalecane, a konta dodane do tej listy nie zostaną zawieszone we wszystkich obsługiwanych typach ataków, takich jak naruszenie zabezpieczeń poczty e-mail firmy (BEC) i oprogramowanie wymuszające okup obsługiwane przez człowieka.

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Share via