Настройка возможностей автоматического исследования и реагирования в XDR в Microsoft Defender

Статья
07/08/2024

Microsoft Defender XDR включает в себя мощные возможности автоматического исследования и реагирования , которые могут сэкономить много времени и усилий вашей команды по обеспечению безопасности. Благодаря самовосстановлению эти возможности имитируют шаги, которые аналитик по безопасности будет предпринять для исследования угроз и реагирования на них только быстрее и с большей способностью к масштабированию.

В этой статье описывается настройка автоматического исследования и реагирования в XDR в Microsoft Defender с помощью следующих действий:

Ознакомьтесь с предварительными условиями.
Просмотрите или измените уровень автоматизации для групп устройств.
Ознакомьтесь с политиками безопасности и оповещений в Office 365.

Затем, после настройки, вы можете просматривать действия по исправлению и управлять ими в центре уведомлений. При необходимости можно внести изменения в параметры автоматического исследования.

Предварительные требования для автоматического исследования и реагирования в XDR в Microsoft Defender

Требование	Подробно
Требования к подписке:	Одна из следующих подписок: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 с надстройкой безопасности Microsoft 365 E5 Microsoft 365 A3 с надстройкой безопасности Microsoft 365 A5 Office 365 E5 плюс Enterprise Mobility + Security E5 плюс Windows E5 См . статью Требования к лицензированию XDR в Microsoft Defender.
Требования к сети	Включен Microsoft Defender для удостоверений Настройка Microsoft Defender для облачных приложений Интеграция Microsoft Defender для удостоверений
Требования к устройству Windows	Windows 11 Установлена Windows 10 версии 1709 или более поздней (см. сведения о выпуске Windows) Настроены следующие службы защиты от угроз: Microsoft Defender для конечной точки Антивирусная программа в Microsoft Defender
Защита содержимого электронной почты и файлов Office	Настроен Microsoft Defender для Office 365 Настраиваются возможности автоматического исследования и исправления в Defender для конечной точки (требуются для действий реагирования вручную, таких как удаление сообщений электронной почты на устройствах).
Разрешения	Чтобы настроить возможности автоматического исследования и реагирования, необходимо иметь одну из следующих ролей, назначенных в Microsoft Entra ID (https://portal.azure.com) или в Центре администрирования Microsoft 365 (https://admin.microsoft.com): Глобальный администратор Администратор безопасности Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Примечание.

Корпорация Майкрософт рекомендует использовать роли с меньшим количеством разрешений для повышения безопасности. Роль глобального администратора, которая имеет много разрешений, должна использоваться только в чрезвычайных ситуациях, когда другая роль не подходит.

Просмотр или изменение уровня автоматизации для групп устройств

То, выполняются ли автоматические исследования и выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров, таких как политики групп устройств в вашей организации. Просмотрите настроенный уровень автоматизации для групповых политик устройств. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

Перейдите на портал Microsoft Defender по адресу https://security.microsoft.com и войдите в систему.
Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.
Просмотрите политики групп устройств. В частности, просмотрите столбец Уровень исправления . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы получить справку по этой задаче, см. следующие статьи:
- Способы устранения угроз
- Создание групп устройств и управление ими

Просмотр политик безопасности и оповещений в Office 365

Корпорация Майкрософт предоставляет встроенные политики оповещений , которые помогают выявлять определенные риски. К этим рискам относятся злоупотребление разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления жизненным циклом данных. Некоторые оповещения могут активировать автоматическое исследование и реагирование в Office 365. Убедитесь, что функции Defender для Office 365 настроены правильно.

Хотя некоторые оповещения и политики безопасности могут инициировать автоматические исследования, никакие действия по исправлению электронной почты и содержимого не выполняются автоматически. Вместо этого все действия по исправлению электронной почты и содержимого электронной почты ожидают утверждения вашей группой по операциям безопасности в центре уведомлений.

Параметры безопасности в Exchange Online Protection (EOP) и Defender для Office 365 помогают защитить электронную почту и содержимое. Для назначения защиты пользователям рекомендуется использовать стандартные и строгие предустановленные политики безопасности .

Если вы используете пользовательские политики, используйте анализатор конфигурации , чтобы сравнить параметры политики со стандартными и строгими предустановленными параметрами политики безопасности. Подробный список всех параметров политики см. в таблицах в разделе Рекомендуемые параметры для EOP и Microsoft Defender для безопасности Office 365.

Вы можете просмотреть политики оповещений на портале Defender в разделе https://security.microsoft.com>Политики & правила Политика>оповещений или непосредственно на странице https://security.microsoft.com/alertpoliciesv2. Несколько политик оповещений по умолчанию относятся к категории Управление угрозами . Некоторые политики оповещений в категории "Управление угрозами" могут активировать автоматическое исследование и реагирование. Дополнительные сведения см. в статье Политики оповещений управления угрозами.

Необходимо внести изменения в параметры автоматического исследования?

Вы можете выбрать один из нескольких вариантов, чтобы изменить параметры для возможностей автоматического исследования и реагирования. Некоторые параметры перечислены в следующей таблице:

Действие	Выполните следующие действия.
Указание уровней автоматизации для групп устройств	Настройте одну или несколько групп устройств. См . статью Создание групп устройств и управление ими. На портале Microsoft Defender перейдите в раздел Разрешения>Конечные точки роли & группы>устройств. Выберите группу устройств и проверьте ее уровень автоматизации . (Рекомендуется использовать full — устранять угрозы автоматически). См . статью Уровни автоматизации в возможностях автоматического исследования и исправления. Повторите шаги 2 и 3 для всех групп устройств.

Действие

Выполните следующие действия.

Указание уровней автоматизации для групп устройств

Настройте одну или несколько групп устройств. См . статью Создание групп устройств и управление ими.
На портале Microsoft Defender перейдите в раздел Разрешения>Конечные точки роли & группы>устройств.
Выберите группу устройств и проверьте ее уровень автоматизации . (Рекомендуется использовать full — устранять угрозы автоматически). См . статью Уровни автоматизации в возможностях автоматического исследования и исправления.
Повторите шаги 2 и 3 для всех групп устройств.

Дальнейшие действия

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

Поделиться через