Configurar recursos automatizados de investigação e resposta no Microsoft Defender XDR

  • Artigo

Microsoft Defender XDR inclui recursos de investigação e resposta automatizados poderosos que podem salvar sua equipe de operações de segurança muito tempo e esforço. Com a auto-cura, essas funcionalidades imitam as etapas que um analista de segurança tomaria para investigar e responder a ameaças, apenas mais rápidas e com mais capacidade de dimensionar.

Este artigo descreve como configurar a investigação e a resposta automatizadas em Microsoft Defender XDR com estas etapas:

  1. Examine os pré-requisitos.
  2. Examine ou altere o nível de automação para grupos de dispositivos.
  3. Examine suas políticas de segurança e alerta no Office 365.

Em seguida, depois de tudo configurado, você pode exibir e gerenciar ações de correção no Centro de Ações. E, se necessário, você pode fazer alterações nas configurações de investigação automatizadas.

Pré-requisitos para investigação e resposta automatizadas em Microsoft Defender XDR

Requisito Detalhes
Requisitos de assinatura Uma dessas assinaturas:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 com o complemento Microsoft 365 E5 Security
  • Microsoft 365 A3 com o complemento Microsoft 365 A5 Security
  • Office 365 E5 mais Enterprise Mobility + Security E5 mais Windows E5

Consulte Microsoft Defender XDR requisitos de licenciamento.
Requisitos de rede
Requisitos do dispositivo Windows
Proteção para conteúdo de email e arquivos do Office
Permissões Para configurar recursos automatizados de investigação e resposta, você deve ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de segurança
Para trabalhar com recursos automatizados de investigação e resposta, como revisar, aprovar ou rejeitar ações pendentes, consulte Permissões necessárias para tarefas do Centro de Ações.

Examinar ou alterar o nível de automação para grupos de dispositivos

Se as investigações automatizadas são executadas e se as ações de correção são tomadas automaticamente ou somente após a aprovação para seus dispositivos dependem de determinadas configurações, como as políticas de grupo de dispositivos da sua organização. Examine o nível de automação configurado para suas políticas de grupo de dispositivos. Você deve ser um administrador global ou administrador de segurança para executar o seguinte procedimento:

  1. Acesse o portal do Microsoft Defender e https://security.microsoft.com entre.

  2. Acesse Configurações>De pontos de extremidade Gruposde dispositivos> em Permissões.

  3. Examine suas políticas de grupo de dispositivos. Em particular, examine a coluna de nível de automação . Recomendamos usar ameaças completas e corretivas automaticamente. Talvez seja necessário criar ou editar seus grupos de dispositivos para obter o nível de automação desejado. Para obter ajuda com essa tarefa, consulte os seguintes artigos:

Examine suas políticas de segurança e alerta no Office 365

A Microsoft fornece políticas de alerta internas que ajudam a identificar determinados riscos. Esses riscos incluem abuso de permissões de administrador do Exchange, atividade de malware, ameaças externas e internas potenciais e riscos de gerenciamento do ciclo de vida de dados. Alguns alertas podem disparar investigação e resposta automatizadas em Office 365. Verifique se seus recursos [Defender para Office 365]/defender-office-365/mdo-about estão configurados corretamente.

Embora certos alertas e políticas de segurança possam disparar investigações automatizadas, nenhuma ação de correção é tomada automaticamente para email e conteúdo. Em vez disso, todas as ações de correção para conteúdo de email e email aguardam aprovação por sua equipe de operações de segurança na central de ações.

As configurações de segurança no EOP (Proteção do Exchange Online) e Defender para Office 365 ajudam a proteger o email e o conteúdo. Recomendamos usar as políticas de segurança predefinidas Standard e Strict para atribuir proteção aos usuários.

Se você estiver usando políticas personalizadas, use o analisador de configuração para comparar suas configurações de política com as configurações de política de segurança predefinida Standard e Strict. Para obter uma listagem detalhada de todas as configurações de política, consulte as tabelas em Configurações recomendadas para EOP e Microsoft Defender para Office 365 segurança.

Você pode examinar suas políticas de alerta no portal do Defender em https://security.microsoft.com>Políticas & regras>Política de alerta ou diretamente no .https://security.microsoft.com/alertpoliciesv2 Várias políticas de alerta padrão estão na categoria Gerenciamento de ameaças . Algumas das políticas de alerta na categoria gerenciamento de ameaças podem disparar uma investigação e resposta automatizadas. Para saber mais, confira Políticas de alerta de gerenciamento de ameaças.

Precisa fazer alterações nas configurações de investigação automatizadas?

Você pode escolher entre várias opções para alterar as configurações para seus recursos automatizados de investigação e resposta. Algumas opções estão listadas na seguinte tabela:

Para fazer isto Siga estas etapas
Especificar níveis de automação para grupos de dispositivos
  1. Configure um ou mais grupos de dispositivos. Consulte Create e gerencie grupos de dispositivos.
  2. No portal Microsoft Defender, acesse funções de Pontos de Extremidade de Permissões>& grupos Grupos>de dispositivos.
  3. Selecione um grupo de dispositivos e examine sua configuração de nível de Automação . (Recomendamos usar ameaças completas e corretivas automaticamente). Consulte Níveis de automação em recursos automatizados de investigação e correção.
  4. Repita as etapas 2 e 3 conforme apropriado para todos os grupos de dispositivos.

Próximas etapas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.