Share via


Configurar recursos de interrupção automática de ataque no Microsoft Defender XDR

Microsoft Defender XDR inclui poderosos recursos automatizados de interrupção de ataque que podem proteger seu ambiente contra ataques sofisticados e de alto impacto.

Este artigo descreve como configurar recursos automáticos de interrupção de ataque em Microsoft Defender XDR com estas etapas:

  1. Examine os pré-requisitos.
  2. Examine ou altere as exclusões de resposta automatizadas para usuários.

Em seguida, depois de tudo configurado, você pode exibir e gerenciar ações de contenção em Incidentes e no Centro de Ação. E, se necessário, você pode fazer alterações nas configurações.

Pré-requisitos para interrupção automática de ataque no Microsoft Defender XDR

Requisito Detalhes
Requisitos de assinatura Uma dessas assinaturas:
  • Microsoft 365 E5 ou A5
  • Microsoft 365 E3 com o complemento Microsoft 365 E5 Security
  • Microsoft 365 E3 com o complemento Enterprise Mobility + Security E5
  • Microsoft 365 A3 com o complemento Microsoft 365 A5 Security
  • Windows 10 Enterprise E5 ou A5
  • Windows 11 Enterprise E5 ou A5
  • Enterprise Mobility + Security (EMS) E5 ou A5
  • Office 365 E5 ou A5
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Identidade?
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Office 365 (Plano 2)
  • Microsoft Defender para Empresas

Consulte Microsoft Defender XDR requisitos de licenciamento.

Requisitos de implantação
  • Implantação em produtos do Defender (por exemplo, Defender para Ponto de Extremidade, Defender para Office 365, Defender para Identidade e Defender para Aplicativos na Nuvem)
    • Quanto maior a implantação, maior é a cobertura de proteção. Por exemplo, se um sinal Microsoft Defender para Aplicativos de Nuvem for usado em uma determinada detecção, esse produto será necessário para detectar o cenário de ataque específico relevante.
    • Da mesma forma, o produto relevante deve ser implantado para executar uma ação de resposta automatizada. Por exemplo, Microsoft Defender para Ponto de Extremidade é necessário para conter automaticamente um dispositivo.
  • A descoberta do dispositivo da Microsoft Defender para Ponto de Extremidade está definida como 'descoberta padrão'
Permissões Para configurar recursos de interrupção automática de ataque, você deve ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de segurança
Para trabalhar com recursos automatizados de investigação e resposta, como revisar, aprovar ou rejeitar ações pendentes, consulte Permissões necessárias para tarefas do Centro de Ações.

pré-requisitos Microsoft Defender para Ponto de Extremidade

Versão mínima do Cliente sense (MDPE cliente)

A versão mínima do Sense Agent necessária para que a ação Conter Usuário funcione é v10.8470. Você pode identificar a versão do Sense Agent em um dispositivo executando o seguinte comando do PowerShell:

Get-ItemProperty -Caminho 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Nome "InstallLocation"

Configuração de automação para dispositivos de suas organizações

Examine o nível de automação configurado para suas políticas de grupo de dispositivos, wWhether automated investigations run e se as ações de correção são tomadas automaticamente ou somente após a aprovação para seus dispositivos dependem de determinadas configurações. Você deve ser um administrador global ou administrador de segurança para executar o seguinte procedimento:

  1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

  2. Acesse Configurações>De pontos de extremidade Gruposde dispositivos> em Permissões.

  3. Examine suas políticas de grupo de dispositivos. Veja a coluna de nível de Automação . Recomendamos usar ameaças completas e corretivas automaticamente. Talvez seja necessário criar ou editar seus grupos de dispositivos para obter o nível de automação desejado. Para excluir um grupo de dispositivos da contenção automatizada, defina seu nível de automação como nenhuma resposta automatizada. Observe que isso não é altamente recomendado e deve ser feito apenas para um número limitado de dispositivos.

Configuração de descoberta de dispositivo

As configurações de descoberta do dispositivo devem ser ativadas para "Descoberta Padrão" no mínimo. Saiba como configurar a descoberta do dispositivo em Configurar a descoberta do dispositivo.

Observação

A interrupção de ataque pode agir em dispositivos independentemente do estado operacional Microsoft Defender Antivírus de um dispositivo. O estado operacional pode estar no Modo de Bloco Ativo, Passivo ou EDR.

Microsoft Defender para Identidade pré-requisitos

Configurar auditoria em controladores de domínio

Saiba como configurar a auditoria em controladores de domínio em Configurar políticas de auditoria para logs de eventos do Windows para garantir que os eventos de auditoria necessários sejam configurados nos controladores de domínio em que o sensor Defender para Identidade é implantado.

Configurar contas de ação

O Defender para Identidade permite que você tome ações de correção direcionadas a Active Directory local contas no caso de uma identidade estar comprometida. Para executar essas ações, o Defender para Identidade precisa ter as permissões necessárias para fazê-lo. Por padrão, o sensor Defender para Identidade representa a conta LocalSystem do controlador de domínio e executa as ações. Como o padrão pode ser alterado, valide se o Defender para Identidade tem as permissões necessárias.

Você pode encontrar mais informações sobre as contas de ação em Configurar contas de ação Microsoft Defender para Identidade

O sensor Defender para Identidade precisa ser implantado no controlador de domínio em que a conta do Active Directory deve ser desativada.

Observação

Se você tiver automações em vigor para ativar ou bloquear um usuário, marcar se as automações puderem interferir na Interrupção. Por exemplo, se houver uma automação em vigor para marcar regularmente e impor que todos os funcionários ativos tenham contas habilitadas, isso poderá ativar involuntariamente contas que foram desativadas por interrupção de ataque enquanto um ataque é detectado.

Microsoft Defender para Aplicativos de Nuvem pré-requisitos

conector Microsoft Office 365

Microsoft Defender para Aplicativos de Nuvem deve estar conectado ao Microsoft Office 365 por meio do conector. Para conectar o Defender para Aplicativos na Nuvem, confira Conectar o Microsoft 365 ao Microsoft Defender para Aplicativos de Nuvem.

Governança do aplicativo

A Governança do Aplicativo deve ser ativada. Consulte a documentação de governança do aplicativo para ativá-la.

Microsoft Defender para Office 365 pré-requisitos

Local das caixas de correio

As caixas de correio são necessárias para serem hospedadas no Exchange Online.

Registro em log de auditoria da caixa de correio

Os seguintes eventos de caixa de correio precisam ser auditados pelo mínimo:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Examine gerenciar auditoria de caixa de correio para saber mais sobre como gerenciar a auditoria de caixa de correio.

Examinar ou alterar exclusões de resposta automatizadas para usuários

A interrupção automática do ataque permite a exclusão de contas de usuário específicas de ações de contenção automatizadas. Os usuários excluídos não serão afetados por ações automatizadas disparadas pela interrupção do ataque. Você deve ser um administrador global ou administrador de segurança para executar o seguinte procedimento:

  1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.

  2. Acesse Configurações>Microsoft Defender XDR>Identity automated response. Verifique a lista de usuários para excluir contas. Selecionando contas de usuário para exclusão de resposta automatizada

  3. Para excluir uma nova conta de usuário, selecione Adicionar exclusão de usuário.

Não é recomendável excluir contas de usuário e as contas adicionadas a essa lista não serão suspensas em todos os tipos de ataque com suporte, como BEC (compromisso de email comercial) e ransomware operado por humanos.

Próximas etapas

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.