Microsoft Defender XDR'de otomatik saldırı kesintisi özelliklerini yapılandırma

Microsoft Defender XDR, ortamınızı gelişmiş, yüksek etkili saldırılara karşı koruyabilen güçlü otomatik saldırı kesintisi özellikleri içerir.

Bu makalede, aşağıdaki adımlarla Microsoft Defender XDR'da otomatik saldırı kesintisi özelliklerinin nasıl yapılandırıldığı açıklanır:

1. Önkoşulları gözden geçirin.
2. Kullanıcılar için otomatik yanıt dışlamalarını gözden geçirin veya değiştirin.

Ardından, her şey ayarlandıktan sonra Olaylar'da ve İşlem merkezinde kapsama eylemlerini görüntüleyebilir ve yönetebilirsiniz. Gerekirse ayarlarda değişiklik yapabilirsiniz.

Microsoft Defender XDR'da otomatik saldırı kesintisi önkoşulları

Gereksinim	Ayrıntılar
Abonelik gereksinimleri	Şu aboneliklerden biri: Microsoft 365 E5 veya A5 Microsoft 365 E5 Güvenlik eklentisiyle Microsoft 365 E3 Enterprise Mobility + Security E5 eklentisiyle Microsoft 365 E3 Microsoft 365 A5 Güvenliği eklentisiyle Microsoft 365 A3 Windows 10 Enterprise E5 veya A5 E5 veya A5 Windows 11 Enterprise Enterprise Mobility + Security (EMS) E5 veya A5 Office 365 E5 veya A5 Uç Nokta için Microsoft Defender Kimlik için Microsoft Defender Bulut Uygulamaları için Microsoft Defender Office 365 için Defender (Plan 2) İş için Microsoft Defender Bkz. lisanslama gereksinimlerini Microsoft Defender XDR.
Dağıtım gereksinimleri	Defender ürünleri arasında dağıtım (örneğin, Uç Nokta için Defender, Office 365 için Defender, Kimlik için Defender ve Cloud Apps için Defender) Dağıtım ne kadar genişse koruma kapsamı da o kadar büyük olur. Örneğin, belirli bir algılamada Microsoft Defender for Cloud Apps sinyali kullanılıyorsa ilgili saldırı senaryolarını algılamak için bu ürün gereklidir. Benzer şekilde, otomatik bir yanıt eylemi yürütmek için ilgili ürünün dağıtılması gerekir. Örneğin, otomatik olarak bir cihaz içermek için Uç Nokta için Microsoft Defender gerekir. Uç Nokta için Microsoft Defender'ın cihaz keşfi 'standart bulma' olarak ayarlandı
İzinler	Otomatik saldırı kesintisi özelliklerini yapılandırmak için, Microsoft Entra ID (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com): Genel Yönetici Güvenlik Yöneticisi Bekleyen eylemleri gözden geçirme, onaylama veya reddetme gibi otomatik araştırma ve yanıt özellikleriyle çalışmak için bkz. İşlem merkezi görevleri için gerekli izinler.

Uç Nokta için Microsoft Defender Önkoşulları

En Düşük Akıllı İstemci sürümü (MDE istemcisi)

Kullanıcı İçer eyleminin çalışması için gereken En Düşük Akıllı Aracı sürümü v10.8470'tir. Aşağıdaki PowerShell komutunu çalıştırarak bir cihazdaki Sense Agent sürümünü tanımlayabilirsiniz:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Kuruluş cihazlarınız için otomasyon ayarı

Cihaz grubu ilkeleriniz için yapılandırılmış otomasyon düzeyini, wWhether otomatik araştırmalarının çalıştırıldığını ve düzeltme eylemlerinin otomatik olarak mı yoksa yalnızca cihazlarınız için onay üzerine mi gerçekleştirildiğinin belirli ayarlara bağlı olup olmadığını gözden geçirin. Aşağıdaki yordamı gerçekleştirmek için genel yönetici veya güvenlik yöneticisi olmanız gerekir:

1. Microsoft Defender portalına (https://security.microsoft.com) gidin ve oturum açın.

2. İzinler'in> altında Ayarlar>Uç NoktalarıCihaz grupları'na gidin.

3. Cihaz grubu ilkelerinizi gözden geçirin. Otomasyon düzeyi sütununa bakın. Tam - tehditleri otomatik olarak düzeltmenizi öneririz. İstediğiniz otomasyon düzeyini elde etmek için cihaz gruplarınızı oluşturmanız veya düzenlemeniz gerekebilir. Bir cihaz grubunu otomatik kapsamanın dışında tutmak için otomasyon düzeyini otomatik yanıt yok olarak ayarlayın. Bunun kesinlikle önerilmez ve yalnızca sınırlı sayıda cihaz için yapılması gerektiğini unutmayın.

Cihaz bulma yapılandırması

Cihaz bulma ayarlarının en az "Standart Bulma" olarak etkinleştirilmesi gerekir. Cihaz bulmayı ayarlama bölümünde cihaz bulmayı yapılandırmayı öğrenin.

Not

Saldırı kesintisi, bir cihazın Microsoft Defender Virüsten Koruma çalışma durumundan bağımsız olarak cihazlarda işlem yapabilir. Çalışma durumu Etkin, Pasif veya EDR Blok Modunda olabilir.

Kimlik için Microsoft Defender Önkoşulları

Etki alanı denetleyicilerinde denetimi ayarlama

Kimlik için Defender algılayıcısının dağıtıldığı etki alanı denetleyicilerinde gerekli denetim olaylarının yapılandırıldığından emin olmak için Windows olay günlükleri için denetim ilkelerini yapılandırma bölümündeki etki alanı denetleyicilerinde denetimi ayarlamayı öğrenin.

Eylem hesaplarını yapılandırma

Kimlik için Defender, kimliğin gizliliğinin ihlal edilmesi durumunda şirket içi Active Directory hesapları hedefleyen düzeltme eylemleri gerçekleştirmenize olanak tanır. Bu eylemleri gerçekleştirmek için Kimlik için Defender'ın bunu yapmak için gerekli izinlere sahip olması gerekir. Varsayılan olarak, Kimlik için Defender algılayıcısı etki alanı denetleyicisinin LocalSystem hesabını taklit eder ve eylemleri gerçekleştirir. Varsayılan değer değiştirilebildiği için Kimlik için Defender'ın gerekli izinlere sahip olduğunu doğrulayın.

Eylem hesapları hakkında daha fazla bilgiyi Kimlik için Microsoft Defender eylem hesaplarını yapılandırma bölümünde bulabilirsiniz

Kimlik için Defender algılayıcısının Active Directory hesabının kapatılacağı etki alanı denetleyicisine dağıtılması gerekir.

Not

Bir kullanıcıyı etkinleştirmek veya engellemek için otomasyonlarınız varsa, otomasyonların Kesintiye neden olup olmadığını denetleyin. Örneğin, tüm etkin çalışanların hesapları etkinleştirdiğini düzenli olarak denetleyen ve zorunlu kılan bir otomasyon varsa, bu işlem saldırı algılanırken saldırı kesintisi nedeniyle devre dışı bırakılan hesapları istemeden etkinleştirebilir.

Microsoft Defender for Cloud Apps önkoşulları

Microsoft Office 365 Bağlayıcısı

Microsoft Defender for Cloud Apps bağlayıcı aracılığıyla Microsoft Office 365 bağlanmalıdır. Cloud Apps için Defender'ı bağlamak için bkz. Microsoft 365'i Microsoft Defender for Cloud Apps'a bağlama.

Uygulama İdaresi

Uygulama İdaresi açık olmalıdır. Açmak için uygulama idaresi belgelerine bakın.

Office 365 için Microsoft Defender önkoşulları

Posta kutuları konumu

Posta kutularının Exchange Online'de barındırılması gerekir.

Posta kutusu denetim günlüğü

Aşağıdaki posta kutusu olaylarının en düşük düzeyde denetlenmiş olması gerekir:

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• HardDelete

Posta kutusu denetimini yönetme hakkında bilgi edinmek için posta kutusu denetimini yönetme makalesini gözden geçirin.

Safelinks ilkesinin mevcut olması gerekir.

Kullanıcılar için otomatik yanıt dışlamalarını gözden geçirme veya değiştirme

Otomatik saldırı kesintisi, belirli kullanıcı hesaplarının otomatik kapsama eylemlerinden dışlanmasını sağlar. Dışlanan kullanıcılar, saldırı kesintisi tarafından tetiklenen otomatik eylemlerden etkilenmez. Aşağıdaki yordamı gerçekleştirmek için genel yönetici veya güvenlik yöneticisi olmanız gerekir:

1. Microsoft Defender portalına (https://security.microsoft.com) gidin ve oturum açın.

2. Ayarlar>Microsoft Defender XDR>Kimlik otomatik yanıtı'na gidin. Hesapları dışlamak için kullanıcı listesini denetleyin.

3. Yeni bir kullanıcı hesabını dışlamak için Kullanıcı dışlaması ekle'yi seçin.

Kullanıcı hesaplarının dışlanması önerilmez ve bu listeye eklenen hesaplar, iş e-posta güvenliğinin aşılması (BEC) ve insan tarafından çalıştırılan fidye yazılımı gibi desteklenen tüm saldırı türlerinde askıya alınmaz.

Sonraki adımlar

• Ayrıntıları ve sonuçları görüntüleyin
• Yanıt eylemleri için e-posta bildirimleri alma

Ayrıca bkz.

• Microsoft Defender XDR'de otomatik saldırı kesintisi
• SAP için otomatik saldırı kesintisi

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.