Поделиться через


Настройка возможностей автоматического исследования и реагирования в XDR в Microsoft Defender

Microsoft Defender XDR включает в себя мощные возможности автоматического исследования и реагирования , которые могут сэкономить много времени и усилий вашей команды по обеспечению безопасности. Благодаря самовосстановлению эти возможности имитируют шаги, которые аналитик по безопасности будет предпринять для исследования угроз и реагирования на них только быстрее и с большей способностью к масштабированию.

В этой статье описывается настройка автоматического исследования и реагирования в XDR в Microsoft Defender с помощью следующих действий:

  1. Ознакомьтесь с предварительными условиями.
  2. Просмотрите или измените уровень автоматизации для групп устройств.
  3. Ознакомьтесь с политиками безопасности и оповещений в Office 365.

Затем, после настройки, вы можете просматривать действия по исправлению и управлять ими в центре уведомлений. При необходимости можно внести изменения в параметры автоматического исследования.

Предварительные требования для автоматического исследования и реагирования в XDR в Microsoft Defender

Требование Подробно
Требования к подписке: Одна из следующих подписок:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 с надстройкой безопасности Microsoft 365 E5
  • Microsoft 365 A3 с надстройкой безопасности Microsoft 365 A5
  • Office 365 E5 плюс Enterprise Mobility + Security E5 плюс Windows E5

См . статью Требования к лицензированию XDR в Microsoft Defender.
Требования к сети
Требования к устройству Windows
Защита содержимого электронной почты и файлов Office
Разрешения Чтобы настроить возможности автоматического исследования и реагирования, необходимо иметь одну из следующих ролей, назначенных в Microsoft Entra ID (https://portal.azure.com) или в Центре администрирования Microsoft 365 (https://admin.microsoft.com):
  • Глобальный администратор
  • Администратор безопасности
Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Примечание.

Корпорация Майкрософт рекомендует использовать роли с меньшим количеством разрешений для повышения безопасности. Роль глобального администратора, которая имеет много разрешений, должна использоваться только в чрезвычайных ситуациях, когда другая роль не подходит.

Просмотр или изменение уровня автоматизации для групп устройств

То, выполняются ли автоматические исследования и выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров, таких как политики групп устройств в вашей организации. Просмотрите настроенный уровень автоматизации для групповых политик устройств. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

  1. Перейдите на портал Microsoft Defender по адресу https://security.microsoft.com и войдите в систему.

  2. Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.

  3. Просмотрите политики групп устройств. В частности, просмотрите столбец Уровень исправления . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы получить справку по этой задаче, см. следующие статьи:

Просмотр политик безопасности и оповещений в Office 365

Корпорация Майкрософт предоставляет встроенные политики оповещений , которые помогают выявлять определенные риски. К этим рискам относятся злоупотребление разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления жизненным циклом данных. Некоторые оповещения могут активировать автоматическое исследование и реагирование в Office 365. Убедитесь, что функции Defender для Office 365 настроены правильно.

Хотя некоторые оповещения и политики безопасности могут инициировать автоматические исследования, никакие действия по исправлению электронной почты и содержимого не выполняются автоматически. Вместо этого все действия по исправлению электронной почты и содержимого электронной почты ожидают утверждения вашей группой по операциям безопасности в центре уведомлений.

Параметры безопасности в Exchange Online Protection (EOP) и Defender для Office 365 помогают защитить электронную почту и содержимое. Для назначения защиты пользователям рекомендуется использовать стандартные и строгие предустановленные политики безопасности .

Если вы используете пользовательские политики, используйте анализатор конфигурации , чтобы сравнить параметры политики со стандартными и строгими предустановленными параметрами политики безопасности. Подробный список всех параметров политики см. в таблицах в разделе Рекомендуемые параметры для EOP и Microsoft Defender для безопасности Office 365.

Вы можете просмотреть политики оповещений на портале Defender в разделе https://security.microsoft.com>Политики & правила Политика>оповещений или непосредственно на странице https://security.microsoft.com/alertpoliciesv2. Несколько политик оповещений по умолчанию относятся к категории Управление угрозами . Некоторые политики оповещений в категории "Управление угрозами" могут активировать автоматическое исследование и реагирование. Дополнительные сведения см. в статье Политики оповещений управления угрозами.

Необходимо внести изменения в параметры автоматического исследования?

Вы можете выбрать один из нескольких вариантов, чтобы изменить параметры для возможностей автоматического исследования и реагирования. Некоторые параметры перечислены в следующей таблице:

Действие Выполните следующие действия.
Указание уровней автоматизации для групп устройств
  1. Настройте одну или несколько групп устройств. См . статью Создание групп устройств и управление ими.
  2. На портале Microsoft Defender перейдите в раздел Разрешения>Конечные точки роли & группы>устройств.
  3. Выберите группу устройств и проверьте ее уровень автоматизации . (Рекомендуется использовать full — устранять угрозы автоматически). См . статью Уровни автоматизации в возможностях автоматического исследования и исправления.
  4. Повторите шаги 2 и 3 для всех групп устройств.

Дальнейшие действия

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.