Настройка возможностей автоматического прерывания атак в Microsoft Defender XDR

Статья
04/27/2024

Microsoft Defender XDR включает в себя мощные возможности автоматического нарушения атак, которые могут защитить среду от сложных атак с высоким воздействием.

В этой статье описывается настройка возможностей автоматического прерывания атак в Microsoft Defender XDR с помощью следующих действий:

Ознакомьтесь с предварительными условиями.
Просмотрите или измените исключения автоматического ответа для пользователей.

Затем, после настройки, вы можете просматривать действия сдерживания и управлять ими в инцидентах и Центре уведомлений. При необходимости можно внести изменения в параметры.

Предварительные требования для автоматического прерывания атак в Microsoft Defender XDR

Требование	Сведения
Требования к подписке:	Одна из следующих подписок: Microsoft 365 E5 или A5 Microsoft 365 E3 с надстройкой Безопасность Microsoft 365 E5 Microsoft 365 E3 с надстройкой Enterprise Mobility + Security E5 Microsoft 365 A3 с надстройкой "Безопасность Microsoft 365 A5" Windows 10 Корпоративная E5 или A5 Windows 11 Корпоративная E5 или A5 Enterprise Mobility + Security (EMS) E5 или A5 Office 365 E5 или A5 Microsoft Defender для конечной точки Microsoft Defender для удостоверений Microsoft Defender for Cloud Apps Defender для Office 365 (план 2) Microsoft Defender для бизнеса См. Microsoft Defender XDR требования к лицензированию.
Требования к развертыванию	Развертывание в продуктах Defender (например, Defender для конечной точки, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений) Чем шире развертывание, тем выше уровень защиты. Например, если в определенном обнаружении используется сигнал Microsoft Defender for Cloud Apps, то этот продукт требуется для обнаружения соответствующего конкретного сценария атаки. Аналогичным образом необходимо развернуть соответствующий продукт для выполнения действия автоматического ответа. Например, Microsoft Defender для конечной точки требуется для автоматического хранения устройства. для обнаружения устройств Microsoft Defender для конечной точки задано значение "Стандартное обнаружение"
Разрешения	Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com): Глобальный администратор Администратор безопасности Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Требование

Сведения

Требования к подписке:

Одна из следующих подписок:

Microsoft 365 E5 или A5
Microsoft 365 E3 с надстройкой Безопасность Microsoft 365 E5
Microsoft 365 E3 с надстройкой Enterprise Mobility + Security E5
Microsoft 365 A3 с надстройкой "Безопасность Microsoft 365 A5"
Windows 10 Корпоративная E5 или A5
Windows 11 Корпоративная E5 или A5
Enterprise Mobility + Security (EMS) E5 или A5
Office 365 E5 или A5
Microsoft Defender для конечной точки
Microsoft Defender для удостоверений
Microsoft Defender for Cloud Apps
Defender для Office 365 (план 2)
Microsoft Defender для бизнеса

См. Microsoft Defender XDR требования к лицензированию.

Требования к развертыванию

Развертывание в продуктах Defender (например, Defender для конечной точки, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений)

Чем шире развертывание, тем выше уровень защиты. Например, если в определенном обнаружении используется сигнал Microsoft Defender for Cloud Apps, то этот продукт требуется для обнаружения соответствующего конкретного сценария атаки.
Аналогичным образом необходимо развернуть соответствующий продукт для выполнения действия автоматического ответа. Например, Microsoft Defender для конечной точки требуется для автоматического хранения устройства.

для обнаружения устройств Microsoft Defender для конечной точки задано значение "Стандартное обнаружение"

Разрешения

Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com):

Глобальный администратор
Администратор безопасности

Сведения о работе с возможностями автоматического исследования и реагирования, например путем проверки, утверждения или отклонения ожидающих действий, см. в разделе Необходимые разрешения для задач Центра уведомлений.

Предварительные требования для Microsoft Defender для конечной точки

Минимальная версия клиента sense (клиент MDE)

Минимальная версия агента sense, необходимая для работы действия "Содержать пользователя ", — v10.8470. Вы можете определить версию агента sense на устройстве, выполнив следующую команду PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Параметр автоматизации для устройств организации

Проверьте настроенный уровень автоматизации для групповых политик устройств, выполните автоматическое исследование wWhether, а также определите, выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.
Просмотрите политики групп устройств. Просмотрите столбец Уровень автоматизации . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы исключить группу устройств из автоматического сдерживания, задайте для нее уровень автоматизации без автоматического ответа. Обратите внимание, что это не рекомендуется делать только для ограниченного числа устройств.

Конфигурация обнаружения устройств

Параметры обнаружения устройств должны быть активированы как минимум на "Стандартное обнаружение". Сведения о настройке обнаружения устройств см . в статье Настройка обнаружения устройств.

Примечание.

Нарушение атаки может действовать на устройствах независимо от состояния работы Microsoft Defender антивирусной программы. Рабочее состояние может находиться в активном, пассивном или режиме блокировки EDR.

Предварительные требования Microsoft Defender для удостоверений

Настройка аудита в контроллерах домена

Узнайте, как настроить аудит в контроллерах домена в разделе Настройка политик аудита для журналов событий Windows , чтобы убедиться, что на контроллерах домена, где развернут датчик Defender для удостоверений, настроены необходимые события аудита.

Настройка учетных записей действий

Defender для удостоверений позволяет выполнять действия по исправлению, предназначенные для локальная служба Active Directory учетных записей в случае компрометации удостоверения. Для выполнения этих действий Defender для удостоверений должен иметь необходимые разрешения. По умолчанию датчик Defender для удостоверений олицетворяет учетную запись LocalSystem контроллера домена и выполняет действия. Так как значение по умолчанию можно изменить, убедитесь, что Defender для удостоверений имеет необходимые разрешения.

Дополнительные сведения об учетных записях действий см. в статье Настройка учетных записей действий Microsoft Defender для удостоверений.

Датчик Defender для удостоверений необходимо развернуть на контроллере домена, где должна быть отключена учетная запись Active Directory.

Примечание.

Если у вас есть автоматизация для активации или блокировки пользователя, проверка, если автоматизация может помешать прерыванию работы. Например, если существует автоматизация для регулярного проверка и принудительного включения учетных записей для всех активных сотрудников, это может непреднамеренно активировать учетные записи, которые были деактивированы из-за нарушения атаки во время обнаружения атаки.

предварительные требования Microsoft Defender for Cloud Apps

Соединитель Microsoft Office 365

Microsoft Defender for Cloud Apps должны быть подключены к Microsoft Office 365 через соединитель. Сведения о подключении Defender for Cloud Apps см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps.

Управление приложениями

Управление приложениями должно быть включено. Чтобы включить его, обратитесь к документации по управлению приложениями .

предварительные требования Microsoft Defender для Office 365

Расположение почтовых ящиков

Почтовые ящики должны размещаться в Exchange Online.

Ведение журнала аудита почтового ящика

Следующие события почтового ящика должны быть проверены по минимуму:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Сведения об управлении аудитом почтовых ящиков см. в статье Управление аудитом почтовых ящиков.

Должна присутствовать политика безопасных ссылок.

Проверка или изменение исключений автоматических ответов для пользователей

Автоматическое нарушение атаки позволяет исключить определенные учетные записи пользователей из автоматических действий по сдерживанию. Исключенные пользователи не будут затронуты автоматическими действиями, вызванными нарушением атаки. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите в раздел Параметры>Microsoft Defender XDR>Ответственность. Проверьте список пользователей, чтобы исключить учетные записи.
Чтобы исключить новую учетную запись пользователя, выберите Добавить исключение пользователя.

Исключать учетные записи пользователей не рекомендуется, и учетные записи, добавленные в этот список, не будут приостановлены во всех поддерживаемых типах атак, таких как компрометация электронной почты (BEC) и программы-шантажисты, управляемые человеком.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.

Поделиться через