Microsoft Defender XDR'de otomatik araştırma ve yanıt özelliklerini yapılandırma

  • Makale

Microsoft Defender XDR, güvenlik operasyonları ekibinize çok zaman ve çaba kazandırabilecek güçlü otomatik araştırma ve yanıt özellikleri içerir. Kendi kendini iyileştiren bu özellikler, bir güvenlik analistinin tehditleri araştırmak ve yanıtlamak için atacağı adımları taklit eder, yalnızca daha hızlı ve daha fazla ölçeklendirme yeteneği sunar.

Bu makalede, aşağıdaki adımlarla Microsoft Defender XDR'de otomatik araştırma ve yanıtın nasıl yapılandırıldığı açıklanır:

  1. Önkoşulları gözden geçirin.
  2. Cihaz grupları için otomasyon düzeyini gözden geçirin veya değiştirin.
  3. Office 365'da güvenlik ve uyarı ilkelerinizi gözden geçirin.

Ardından, kurulumu tamamladıktan sonra, düzeltme eylemlerini İşlem merkezinde görüntüleyebilir ve yönetebilirsiniz. Gerekirse otomatik araştırma ayarlarında değişiklik yapabilirsiniz.

Microsoft Defender XDR'de otomatik araştırma ve yanıt önkoşulları

Gereksinim Ayrıntılar
Abonelik gereksinimleri Şu aboneliklerden biri:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E5 Güvenlik eklentisiyle Microsoft 365 E3
  • Microsoft 365 A5 Güvenliği eklentisiyle Microsoft 365 A3
  • Office 365 E5 artı Enterprise Mobility + Security E5 artı Windows E5

Bkz. lisanslama gereksinimlerini Microsoft Defender XDR.
Ağ gereksinimleri
Windows cihaz gereksinimleri
E-posta içeriği ve Office dosyaları için koruma
İzinler Otomatik araştırma ve yanıt özelliklerini yapılandırmak için, Microsoft Entra ID () veya Microsoft 365 yönetim merkezi (https://portal.azure.comhttps://admin.microsoft.com):
  • Genel Yönetici
  • Güvenlik Yöneticisi
Bekleyen eylemleri gözden geçirme, onaylama veya reddetme gibi otomatik araştırma ve yanıt özellikleriyle çalışmak için bkz. İşlem merkezi görevleri için gerekli izinler.

Cihaz grupları için otomasyon düzeyini gözden geçirme veya değiştirme

Otomatik araştırmaların çalıştırılıp çalıştırılmadığı ve düzeltme eylemlerinin otomatik olarak mı yoksa yalnızca cihazlarınız için onaylandığında mı gerçekleştirildiği kuruluşunuzun cihaz grubu ilkeleri gibi belirli ayarlara bağlıdır. Cihaz grubu ilkeleriniz için yapılandırılmış otomasyon düzeyini gözden geçirin. Aşağıdaki yordamı gerçekleştirmek için genel yönetici veya güvenlik yöneticisi olmanız gerekir:

  1. adresinden Microsoft Defender portalına https://security.microsoft.com gidin ve oturum açın.

  2. İzinler'in> altında Ayarlar>Uç NoktalarıCihaz grupları'na gidin.

  3. Cihaz grubu ilkelerinizi gözden geçirin. Özellikle Otomasyon düzeyi sütununa bakın. Tam - tehditleri otomatik olarak düzeltmenizi öneririz. İstediğiniz otomasyon düzeyini elde etmek için cihaz gruplarınızı oluşturmanız veya düzenlemeniz gerekebilir. Bu görevle ilgili yardım almak için aşağıdaki makalelere bakın:

Office 365'da güvenlik ve uyarı ilkelerinizi gözden geçirin

Microsoft, belirli riskleri tanımlamaya yardımcı olan yerleşik uyarı ilkeleri sağlar. Bu riskler Exchange yönetici izinlerinin kötüye kullanılması, kötü amaçlı yazılım etkinliği, olası dış ve iç tehditler ve veri yaşam döngüsü yönetimi riskleridir. Bazı uyarılar Office 365 otomatik araştırma ve yanıt tetikleyebilir. [Office 365 için Defender]/defender-office-365/mdo-about özelliklerinizin doğru yapılandırıldığından emin olun.

Bazı uyarılar ve güvenlik ilkeleri otomatik araştırma tetikleyebilse de, e-posta ve içerik için otomatik olarak düzeltme eylemi yapılmaz. Bunun yerine, e-posta ve e-posta içeriği için tüm düzeltme eylemleri , İşlem merkezinde güvenlik operasyonları ekibinizin onayını bekler.

Exchange Online Protection (EOP) ve Office 365 için Defender güvenlik ayarları e-postanın ve içeriğin korunmasına yardımcı olur. Kullanıcılara koruma atamak için Standart ve Katı önceden ayarlanmış güvenlik ilkelerini kullanmanızı öneririz.

Özel ilkeler kullanıyorsanız, ilke ayarlarınızı Standart ve Katı önceden ayarlanmış güvenlik ilkesi ayarlarıyla karşılaştırmak için Yapılandırma çözümleyicisini kullanın. Tüm ilke ayarlarının ayrıntılı listesi için EOP ve Office 365 için Microsoft Defender güvenliği için önerilen ayarlar'daki tablolara bakın.

Uyarı ilkelerinizi Defender portalında İlkeler & kuralları>Uyarı ilkesi'ndehttps://security.microsoft.com> veya doğrudan adresinde https://security.microsoft.com/alertpoliciesv2gözden geçirebilirsiniz. Çeşitli varsayılan uyarı ilkeleri Tehdit yönetimi kategorisindedir. Tehdit yönetimi kategorisindeki uyarı ilkelerinden bazıları otomatik araştırma ve yanıt tetikleyebilir. Daha fazla bilgi için bkz . Tehdit yönetimi uyarı ilkeleri.

Otomatik araştırma ayarlarında değişiklik yapmanız mı gerekiyor?

Otomatik araştırma ve yanıt özelliklerinizin ayarlarını değiştirmek için çeşitli seçenekler arasından seçim yapabilirsiniz. Bazı seçenekler aşağıdaki tabloda listelenmiştir:

Bunu yapmak için Bu adımları izleyin
Cihaz grupları için otomasyon düzeylerini belirtme
  1. Bir veya daha fazla cihaz grubu ayarlayın. Bkz. cihaz gruplarını İçerik Oluşturucu ve yönetme.
  2. Microsoft Defender portalında İzin Uç>Noktaları rolleri & gruplarıCihaz grupları'na> gidin.
  3. Bir cihaz grubu seçin ve Otomasyon düzeyi ayarını gözden geçirin. ( Tam - tehditleri otomatik olarak düzeltmenizi öneririz). Bkz . Otomatik araştırma ve düzeltme özelliklerinde otomasyon düzeyleri.
  4. 2. ve 3. adımları tüm cihaz gruplarınız için uygun şekilde yineleyin.

Sonraki adımlar

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.