Настройка возможностей автоматического исследования и реагирования в Microsoft Defender XDR
Примечание.
Хотите испытать Microsoft Defender XDR? Узнайте больше о том, как оценивать и пилотно Microsoft Defender XDR.
Microsoft Defender XDR включает в себя мощные возможности автоматизированного исследования и реагирования, которые могут сэкономить много времени и усилий вашей команды по обеспечению безопасности. Благодаря самовосстановлению эти возможности имитируют шаги, которые аналитик по безопасности будет предпринять для исследования угроз и реагирования на них только быстрее и с большей способностью к масштабированию.
В этой статье описывается настройка автоматического исследования и реагирования в Microsoft Defender XDR с помощью следующих действий:
- Ознакомьтесь с предварительными условиями.
- Просмотрите или измените уровень автоматизации для групп устройств.
- Просмотрите политики безопасности и оповещений в Office 365.
Затем, после настройки, вы можете просматривать действия по исправлению и управлять ими в центре уведомлений. При необходимости можно внести изменения в параметры автоматического исследования.
Предварительные требования для автоматического исследования и реагирования в Microsoft Defender XDR
| Требование | Подробно |
|---|---|
| Требования к подписке: | Одна из следующих подписок:
См. Microsoft Defender XDR требования к лицензированию. |
| Требования к сети | |
| Требования к устройству Windows |
|
| Защита содержимого электронной почты и файлов Office |
|
| Разрешения | Чтобы настроить возможности автоматического исследования и реагирования, необходимо иметь одну из следующих ролей, назначенных в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com):
|
Просмотр или изменение уровня автоматизации для групп устройств
То, выполняются ли автоматические исследования и выполняются ли действия по исправлению автоматически или только после утверждения устройства, зависят от определенных параметров, таких как политики групп устройств в вашей организации. Просмотрите настроенный уровень автоматизации для групповых политик устройств. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.
Перейдите на портал Microsoft Defender по адресу https://security.microsoft.com и войдите в систему.
Перейдите в раздел Параметры>Конечные> точкиГруппы устройств в разделе Разрешения.
Просмотрите политики групп устройств. В частности, просмотрите столбец Уровень автоматизации . Рекомендуется использовать полный — устранять угрозы автоматически. Для получения необходимого уровня автоматизации может потребоваться создать или изменить группы устройств. Чтобы получить справку по этой задаче, см. следующие статьи:
Просмотр политик безопасности и оповещений в Office 365
Корпорация Майкрософт предоставляет встроенные политики оповещений , которые помогают выявлять определенные риски. К этим рискам относятся злоупотребление разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления жизненным циклом данных. Некоторые оповещения могут активировать автоматическое исследование и реагирование в Office 365. Убедитесь, что функции Defender для Office 365 настроены правильно.
Хотя некоторые оповещения и политики безопасности могут инициировать автоматические исследования, никакие действия по исправлению электронной почты и содержимого не выполняются автоматически. Вместо этого все действия по исправлению электронной почты и содержимого электронной почты ожидают утверждения вашей группой по операциям безопасности в центре уведомлений.
Параметры безопасности в Exchange Online Protection (EOP) и Defender для Office 365 помогают защитить электронную почту и содержимое. Для назначения защиты пользователям рекомендуется использовать стандартные и строгие предустановленные политики безопасности .
Если вы используете пользовательские политики, используйте анализатор конфигурации , чтобы сравнить параметры политики со стандартными и строгими предустановленными параметрами политики безопасности. Подробный список всех параметров политики см. в таблицах статьи Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Вы можете просмотреть политики оповещений на портале Defender в разделе https://security.microsoft.com>Политики & правила Политика>оповещений или непосредственно на странице https://security.microsoft.com/alertpoliciesv2. Несколько политик оповещений по умолчанию относятся к категории Управление угрозами . Некоторые политики оповещений в категории "Управление угрозами" могут активировать автоматическое исследование и реагирование. Дополнительные сведения см. в статье Политики оповещений управления угрозами.
Необходимо внести изменения в параметры автоматического исследования?
Вы можете выбрать один из нескольких вариантов, чтобы изменить параметры для возможностей автоматического исследования и реагирования. Некоторые параметры перечислены в следующей таблице:
| Действие | Выполните следующие действия. |
|---|---|
| Указание уровней автоматизации для групп устройств |
|
Дальнейшие действия
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по