Konfigurera automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR
Microsoft Defender XDR innehåller kraftfulla automatiserade undersöknings- och svarsfunktioner som kan spara mycket tid och arbete åt ditt säkerhetsteam. Med självåterställning efterliknar dessa funktioner de steg som en säkerhetsanalytiker skulle vidta för att undersöka och svara på hot, bara snabbare och med större skalbarhet.
I den här artikeln beskrivs hur du konfigurerar automatiserad undersökning och svar i Microsoft Defender XDR med följande steg:
- Granska förutsättningarna.
- Granska eller ändra automatiseringsnivån för enhetsgrupper.
- Granska dina säkerhets- och aviseringsprinciper i Office 365.
När du har konfigurerat allt kan du sedan visa och hantera reparationsåtgärder i Åtgärdscenter. Och om det behövs kan du göra ändringar i inställningarna för automatiserad undersökning.
Förutsättningar för automatisk undersökning och svar i Microsoft Defender XDR
Krav | Information |
---|---|
Prenumerationskrav | En av dessa prenumerationer:
Se Microsoft Defender XDR licensieringskrav. |
Nätverkskrav | |
Krav för Windows-enheter |
|
Skydd för e-postinnehåll och Office-filer |
|
Behörigheter | Om du vill konfigurera funktioner för automatiserad undersökning och svar måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i Administrationscenter för Microsoft 365 (https://admin.microsoft.com):
|
Granska eller ändra automatiseringsnivån för enhetsgrupper
Om automatiserade undersökningar körs och om reparationsåtgärder vidtas automatiskt eller endast vid godkännande av dina enheter beror på vissa inställningar, till exempel organisationens enhetsgruppsprinciper. Granska den konfigurerade automatiseringsnivån för dina enhetsgruppsprinciper. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:
Gå till Microsoft Defender-portalen och https://security.microsoft.com logga in.
Gå till Inställningar>Slutpunkter>Enhetsgrupper under Behörigheter.
Granska dina enhetsgruppsprinciper. Titta särskilt på kolumnen Automation-nivå . Vi rekommenderar att du använder Fullständig – åtgärda hot automatiskt. Du kan behöva skapa eller redigera dina enhetsgrupper för att få den automatiseringsnivå du vill ha. Information om hur du får hjälp med den här uppgiften finns i följande artiklar:
Granska dina säkerhets- och aviseringsprinciper i Office 365
Microsoft tillhandahåller inbyggda aviseringsprinciper som hjälper dig att identifiera vissa risker. Dessa risker omfattar missbruk av Exchange-administratörsbehörigheter, skadlig kodaktivitet, potentiella externa och interna hot och risker för datalivscykelhantering. Vissa aviseringar kan utlösa automatiserad undersökning och svar i Office 365. Kontrollera att dina Defender för Office 365 funktioner är korrekt konfigurerade.
Vissa aviseringar och säkerhetsprinciper kan utlösa automatiserade undersökningar, men inga åtgärder vidtas automatiskt för e-post och innehåll. I stället väntar alla reparationsåtgärder för e-post- och e-postinnehåll på godkännande av ditt säkerhetsåtgärdsteam i Åtgärdscenter.
Säkerhetsinställningar i Exchange Online Protection (EOP) och Defender för Office 365 skydda e-post och innehåll. Vi rekommenderar att du använder standard- och strikt förinställda säkerhetsprinciper för att tilldela skydd till användare.
Om du använder anpassade principer använder du configuration analyzer för att jämföra dina principinställningar med inställningarna för standard- och strikt förinställda säkerhetsprinciper. En detaljerad lista över alla principinställningar finns i tabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.
Du kan granska dina aviseringsprinciper i Defender-portalen på https://security.microsoft.com>Principer & regler>Aviseringsprincip eller direkt på https://security.microsoft.com/alertpoliciesv2. Flera standardaviseringsprinciper finns i kategorin Hothantering . Vissa av aviseringsprinciperna i kategorin Hothantering kan utlösa automatiserad undersökning och svar. Mer information finns i Aviseringsprinciper för hothantering.
Behöver du göra ändringar i inställningarna för automatiserad undersökning?
Du kan välja mellan flera alternativ för att ändra inställningarna för dina automatiserade undersöknings- och svarsfunktioner. Några alternativ visas i följande tabell:
Så här gör du detta | Följ dessa steg |
---|---|
Ange automatiseringsnivåer för grupper av enheter |
|
Nästa steg
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för