Настройка возможностей автоматического прерывания атак в XDR в Microsoft Defender
XDR в Microsoft Defender включает мощные возможности автоматического прерывания атак , которые могут защитить среду от сложных атак с высоким воздействием.
В этой статье описывается настройка возможностей автоматического прерывания атак в XDR в Microsoft Defender , выполнив следующие действия:
- Ознакомьтесь с предварительными условиями.
- Просмотрите или измените исключения автоматического ответа для пользователей.
Затем, после настройки, вы можете просматривать действия сдерживания и управлять ими в инцидентах и Центре уведомлений. При необходимости можно внести изменения в параметры.
Предварительные требования для автоматического прерывания атак в XDR в Microsoft Defender
Требование | Подробно |
---|---|
Требования к подписке: | Одна из следующих подписок:
См . статью Требования к лицензированию XDR в Microsoft Defender. |
Требования к развертыванию |
|
Разрешения | Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центре администрирования Microsoft 365 (https://admin.microsoft.com):
|
Предварительные требования к Microsoft Defender для конечной точки
Минимальная версия клиента Sense (клиент MDE)
Минимальная версия агента sense, необходимая для работы действия "Содержать пользователя ", — v10.8470. Вы можете определить версию агента sense на устройстве, выполнив следующую команду PowerShell:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Параметр автоматизации для устройств организации
Проверьте настроенный уровень автоматизации для групповых политик устройств, выполните автоматическое исследование wWhether, а также определите, выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.
Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.
Просмотрите политики групп устройств. Просмотрите столбец Уровень автоматизации . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы исключить группу устройств из автоматического сдерживания, задайте для нее уровень автоматизации без автоматического ответа. Обратите внимание, что это не рекомендуется делать только для ограниченного числа устройств.
Конфигурация обнаружения устройств
Параметры обнаружения устройств должны быть активированы как минимум на "Стандартное обнаружение". Сведения о настройке обнаружения устройств см . в статье Настройка обнаружения устройств.
Примечание.
Нарушение атаки может действовать на устройствах независимо от состояния работы антивирусной программы Microsoft Defender. Рабочее состояние может находиться в активном, пассивном или режиме блокировки EDR.
Предварительные требования к Microsoft Defender для удостоверений
Настройка аудита в контроллерах домена
Узнайте, как настроить аудит в контроллерах домена в разделе Настройка политик аудита для журналов событий Windows , чтобы убедиться, что на контроллерах домена, где развернут датчик Defender для удостоверений, настроены необходимые события аудита.
Проверка учетных записей действий
Defender для удостоверений позволяет выполнять действия по исправлению для локальных учетных записей Active Directory в случае компрометации удостоверения. Для выполнения этих действий Defender для удостоверений должен иметь необходимые разрешения. По умолчанию датчик Defender для удостоверений олицетворяет учетную запись LocalSystem контроллера домена и выполняет действия. Так как значение по умолчанию можно изменить, убедитесь, что Defender для удостоверений имеет необходимые разрешения, или использует учетную запись LocalSystem по умолчанию.
Дополнительные сведения об учетных записях действий см. в статье Настройка учетных записей действий Microsoft Defender для удостоверений.
Датчик Defender для удостоверений необходимо развернуть на контроллере домена, где должна быть отключена учетная запись Active Directory.
Примечание.
Если у вас есть автоматизация для активации или блокировки пользователя, проверьте, могут ли они мешать нарушению работы. Например, если имеется автоматизация, которая регулярно проверяет и принудительно проверяет, что все активные сотрудники включили учетные записи, это может непреднамеренно активировать учетные записи, которые были деактивированы в результате нарушения атаки во время обнаружения атаки.
Предварительные требования к Microsoft Defender для облачных приложений
Соединитель Microsoft Office 365
Microsoft Defender for Cloud Apps должен быть подключен к Microsoft Office 365 через соединитель. Сведения о подключении Defender for Cloud Apps см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps.
Управление приложениями
Управление приложениями должно быть включено. Чтобы включить его, обратитесь к документации по управлению приложениями .
Предварительные требования к Microsoft Defender для Office 365
Расположение почтовых ящиков
Почтовые ящики должны размещаться в Exchange Online.
Ведение журнала аудита почтового ящика
Следующие события почтового ящика должны быть проверены по минимуму:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
Сведения об управлении аудитом почтовых ящиков см. в статье Управление аудитом почтовых ящиков.
Должна присутствовать политика безопасных ссылок.
Проверка или изменение исключений автоматических ответов для пользователей
Автоматическое нарушение атаки позволяет исключить определенные учетные записи пользователей из автоматических действий по сдерживанию. Исключенные пользователи не будут затронуты автоматическими действиями, вызванными нарушением атаки. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.
Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Автоматический ответ удостоверенийXDR> Microsoft Defender. Проверьте список пользователей, чтобы исключить учетные записи.
Чтобы исключить новую учетную запись пользователя, выберите Добавить исключение пользователя.
Исключать учетные записи пользователей не рекомендуется, и учетные записи, добавленные в этот список, не будут приостановлены во всех поддерживаемых типах атак, таких как компрометация электронной почты (BEC) и программы-шантажисты, управляемые человеком.
Дальнейшие действия
См. также
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.