Konfigurera funktioner för automatisk attackstörning i Microsoft Defender XDR
Microsoft Defender XDR innehåller kraftfulla funktioner för automatiserade angreppsavbrott som kan skydda din miljö från avancerade attacker med hög påverkan.
Den här artikeln beskriver hur du konfigurerar funktioner för automatiska angreppsstörningar i Microsoft Defender XDR med följande steg:
När du har konfigurerat allt kan du sedan visa och hantera inneslutningsåtgärder i Incidenter och Åtgärdscenter. Och om det behövs kan du göra ändringar i inställningarna.
Krav för automatisk attackstörning i Microsoft Defender XDR
Krav | Information |
---|---|
Prenumerationskrav | En av dessa prenumerationer:
|
Distributionskrav |
|
Behörigheter | Om du vill konfigurera funktioner för automatiska angreppsstörningar måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i administrationscentret för Microsoft 365 (https://admin.microsoft.com):
|
Krav för Microsoft Defender för Endpoint
Lägsta sense-klientversion (MDE-klient)
Den lägsta Sense Agent-version som krävs för att åtgärden Contain User ska fungera är v10.8470. Du kan identifiera Sense Agent-versionen på en enhet genom att köra följande PowerShell-kommando:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Automationsinställning för dina organisationers enheter
Granska den konfigurerade automatiseringsnivån för dina enhetsgruppsprinciper, wWhether automated investigations run och whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:
Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
Gå till Inställningar>Slutpunkter>Enhetsgrupper under Behörigheter.
Granska dina enhetsgruppsprinciper. Titta på kolumnen Automation-nivå . Vi rekommenderar att du använder Fullständig – åtgärda hot automatiskt. Du kan behöva skapa eller redigera dina enhetsgrupper för att få den automatiseringsnivå du vill ha. Om du vill undanta en enhetsgrupp från automatisk inneslutning anger du dess automatiseringsnivå till inget automatiserat svar. Observera att detta inte rekommenderas och bör endast göras för ett begränsat antal enheter.
Konfiguration av enhetsidentifiering
Inställningarna för enhetsidentifiering måste aktiveras till standardidentifiering som minst. Lär dig hur du konfigurerar enhetsidentifiering i Konfigurera enhetsidentifiering.
Obs!
Attackavbrott kan fungera på enheter som är oberoende av enhetens microsoft Defender Antivirus-driftstillstånd. Drifttillståndet kan vara i aktivt, passivt eller EDR-blockeringsläge.
Krav för Microsoft Defender for Identity
Konfigurera granskning i domänkontrollanter
Lär dig hur du konfigurerar granskning i domänkontrollanter i Konfigurera granskningsprinciper för Windows-händelseloggar för att säkerställa att nödvändiga granskningshändelser har konfigurerats på domänkontrollanterna där Defender för identitetssensorn distribueras.
Verifiera åtgärdskonton
Med Defender for Identity kan du vidta reparationsåtgärder för lokala Active Directory-konton om en identitet skulle komprometteras. För att kunna vidta dessa åtgärder måste Defender for Identity ha de behörigheter som krävs för att göra det. Som standard personifierar Defender for Identity-sensorn LocalSystem-kontot för domänkontrollanten och utför åtgärderna. Eftersom standardvärdet kan ändras kontrollerar du att Defender for Identity har de behörigheter som krävs eller använder standardkontot LocalSystem.
Mer information om åtgärdskontona finns i Konfigurera Microsoft Defender för identitetsåtgärdskonton
Defender for Identity-sensorn måste distribueras på domänkontrollanten där Active Directory-kontot ska stängas av.
Obs!
Om du har automatiseringar på plats för att aktivera eller blockera en användare kontrollerar du om automatiseringarna kan störa störningar. Om det till exempel finns en automatisering för att regelbundet kontrollera och framtvinga att alla aktiva anställda har aktiverat konton kan detta oavsiktligt aktivera konton som inaktiverats av attackavbrott när en attack identifieras.
Krav för Microsoft Defender för Cloud Apps
Microsoft Office 365-anslutningsprogram
Microsoft Defender för molnappar måste vara anslutna till Microsoft Office 365 via anslutningsappen. Information om hur du ansluter Defender för molnappar finns i Ansluta Microsoft 365 till Microsoft Defender för molnappar.
Appstyrning
Appstyrning måste vara aktiverat. Se dokumentationen för appstyrning för att aktivera den.
Krav för Microsoft Defender för Office 365
Plats för postlådor
Postlådor måste finnas i Exchange Online.
Granskningsloggning för postlåda
Följande postlådehändelser måste granskas minst:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
Granska hantera granskning av postlådor om du vill veta mer om hur du hanterar granskning av postlådor.
Safelinks-principen måste finnas.
Granska eller ändra automatiska svarsundantag för användare
Med automatisk attackavbrott kan specifika användarkonton undantas från automatiserade inneslutningsåtgärder. Exkluderade användare påverkas inte av automatiserade åtgärder som utlöses av attackavbrott. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:
Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
Gå till Inställningar>Automatiserat svar förMicrosoft Defender XDR-identitet>. Kontrollera användarlistan för att exkludera konton.
Om du vill exkludera ett nytt användarkonto väljer du Lägg till användarundantag.
Att exkludera användarkonton rekommenderas inte, och konton som läggs till i den här listan kommer inte att inaktiveras i alla attacktyper som stöds, till exempel hot mot företags-e-post (BEC) och utpressningstrojaner som drivs av människor.
Nästa steg
Se även
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för