Настройка возможностей автоматического прерывания атак в XDR в Microsoft Defender

Статья
07/18/2024

XDR в Microsoft Defender включает мощные возможности автоматического прерывания атак , которые могут защитить среду от сложных атак с высоким воздействием.

В этой статье описывается настройка возможностей автоматического прерывания атак в XDR в Microsoft Defender , выполнив следующие действия:

Ознакомьтесь с предварительными условиями.
Просмотрите или измените исключения автоматического ответа для пользователей.

Затем, после настройки, вы можете просматривать действия сдерживания и управлять ими в инцидентах и Центре уведомлений. При необходимости можно внести изменения в параметры.

Предварительные требования для автоматического прерывания атак в XDR в Microsoft Defender

Требование	Подробно
Требования к подписке:	Одна из следующих подписок: Microsoft 365 E5 или A5 Microsoft 365 E3 с надстройкой безопасности Microsoft 365 E5 Microsoft 365 E3 с надстройкой Enterprise Mobility + Security E5 Microsoft 365 A3 с надстройкой безопасности Microsoft 365 A5 Windows 10 Корпоративная E5 или A5 Windows 11 Корпоративная E5 или A5 Enterprise Mobility + Security (EMS) E5 или A5 Office 365 E5 или A5 Microsoft Defender для конечной точки (план 2) Microsoft Defender для удостоверений Microsoft Defender for Cloud Apps Defender для Office 365 (план 2) Microsoft Defender для бизнеса См . статью Требования к лицензированию XDR в Microsoft Defender.
Требования к развертыванию	Развертывание в продуктах Defender (например, Defender для конечной точки, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений) Чем шире развертывание, тем выше уровень защиты. Например, если в определенном обнаружении используется сигнал Microsoft Defender для облачных приложений, этот продукт необходим для обнаружения соответствующего сценария атаки. Аналогичным образом необходимо развернуть соответствующий продукт для выполнения действия автоматического ответа. Например, Microsoft Defender для конечной точки требуется для автоматического размещения устройства. Обнаружение устройств в Microsoft Defender для конечной точки имеет значение "Стандартное обнаружение"
Разрешения	Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центре администрирования Microsoft 365 (https://admin.microsoft.com): Глобальный администратор Администратор безопасности Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Требование

Подробно

Требования к подписке:

Одна из следующих подписок:

Microsoft 365 E5 или A5
Microsoft 365 E3 с надстройкой безопасности Microsoft 365 E5
Microsoft 365 E3 с надстройкой Enterprise Mobility + Security E5
Microsoft 365 A3 с надстройкой безопасности Microsoft 365 A5
Windows 10 Корпоративная E5 или A5
Windows 11 Корпоративная E5 или A5
Enterprise Mobility + Security (EMS) E5 или A5
Office 365 E5 или A5
Microsoft Defender для конечной точки (план 2)
Microsoft Defender для удостоверений
Microsoft Defender for Cloud Apps
Defender для Office 365 (план 2)
Microsoft Defender для бизнеса

См . статью Требования к лицензированию XDR в Microsoft Defender.

Требования к развертыванию

Развертывание в продуктах Defender (например, Defender для конечной точки, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений)

Чем шире развертывание, тем выше уровень защиты. Например, если в определенном обнаружении используется сигнал Microsoft Defender для облачных приложений, этот продукт необходим для обнаружения соответствующего сценария атаки.
Аналогичным образом необходимо развернуть соответствующий продукт для выполнения действия автоматического ответа. Например, Microsoft Defender для конечной точки требуется для автоматического размещения устройства.

Обнаружение устройств в Microsoft Defender для конечной точки имеет значение "Стандартное обнаружение"

Разрешения

Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центре администрирования Microsoft 365 (https://admin.microsoft.com):

Глобальный администратор
Администратор безопасности

Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Предварительные требования к Microsoft Defender для конечной точки

Минимальная версия клиента Sense (клиент MDE)

Минимальная версия агента sense, необходимая для работы действия "Содержать пользователя ", — v10.8470. Вы можете определить версию агента sense на устройстве, выполнив следующую команду PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Параметр автоматизации для устройств организации

Проверьте настроенный уровень автоматизации для групповых политик устройств, выполните автоматическое исследование wWhether, а также определите, выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.
Просмотрите политики групп устройств. Просмотрите столбец Уровень автоматизации . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы исключить группу устройств из автоматического сдерживания, задайте для нее уровень автоматизации без автоматического ответа. Обратите внимание, что это не рекомендуется делать только для ограниченного числа устройств.

Конфигурация обнаружения устройств

Параметры обнаружения устройств должны быть активированы как минимум на "Стандартное обнаружение". Сведения о настройке обнаружения устройств см . в статье Настройка обнаружения устройств.

Примечание.

Нарушение атаки может действовать на устройствах независимо от состояния работы антивирусной программы Microsoft Defender. Рабочее состояние может находиться в активном, пассивном или режиме блокировки EDR.

Предварительные требования к Microsoft Defender для удостоверений

Настройка аудита в контроллерах домена

Узнайте, как настроить аудит в контроллерах домена в разделе Настройка политик аудита для журналов событий Windows , чтобы убедиться, что на контроллерах домена, где развернут датчик Defender для удостоверений, настроены необходимые события аудита.

Проверка учетных записей действий

Defender для удостоверений позволяет выполнять действия по исправлению для локальных учетных записей Active Directory в случае компрометации удостоверения. Для выполнения этих действий Defender для удостоверений должен иметь необходимые разрешения. По умолчанию датчик Defender для удостоверений олицетворяет учетную запись LocalSystem контроллера домена и выполняет действия. Так как значение по умолчанию можно изменить, убедитесь, что Defender для удостоверений имеет необходимые разрешения, или использует учетную запись LocalSystem по умолчанию.

Дополнительные сведения об учетных записях действий см. в статье Настройка учетных записей действий Microsoft Defender для удостоверений.

Датчик Defender для удостоверений необходимо развернуть на контроллере домена, где должна быть отключена учетная запись Active Directory.

Примечание.

Если у вас есть автоматизация для активации или блокировки пользователя, проверьте, могут ли они мешать нарушению работы. Например, если имеется автоматизация, которая регулярно проверяет и принудительно проверяет, что все активные сотрудники включили учетные записи, это может непреднамеренно активировать учетные записи, которые были деактивированы в результате нарушения атаки во время обнаружения атаки.

Предварительные требования к Microsoft Defender для облачных приложений

Соединитель Microsoft Office 365

Microsoft Defender for Cloud Apps должен быть подключен к Microsoft Office 365 через соединитель. Сведения о подключении Defender for Cloud Apps см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps.

Управление приложениями

Управление приложениями должно быть включено. Чтобы включить его, обратитесь к документации по управлению приложениями .

Предварительные требования к Microsoft Defender для Office 365

Расположение почтовых ящиков

Почтовые ящики должны размещаться в Exchange Online.

Ведение журнала аудита почтового ящика

Следующие события почтового ящика должны быть проверены по минимуму:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Сведения об управлении аудитом почтовых ящиков см. в статье Управление аудитом почтовых ящиков.

Должна присутствовать политика безопасных ссылок.

Проверка или изменение исключений автоматических ответов для пользователей

Автоматическое нарушение атаки позволяет исключить определенные учетные записи пользователей из автоматических действий по сдерживанию. Исключенные пользователи не будут затронуты автоматическими действиями, вызванными нарушением атаки. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Автоматический ответ удостоверенийXDR> Microsoft Defender. Проверьте список пользователей, чтобы исключить учетные записи.
Чтобы исключить новую учетную запись пользователя, выберите Добавить исключение пользователя.

Исключать учетные записи пользователей не рекомендуется, и учетные записи, добавленные в этот список, не будут приостановлены во всех поддерживаемых типах атак, таких как компрометация электронной почты (BEC) и программы-шантажисты, управляемые человеком.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

Поделиться через