在 Microsoft Defender XDR 中配置自动调查和响应功能
Microsoft Defender XDR 包括强大的 自动调查和响应功能 ,可为安全运营团队节省大量时间和精力。 通过 自我修复,这些功能模仿安全分析师在调查和响应威胁时所要执行的步骤,但速度更快,并且能够进行扩展。
本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动调查和响应:
然后,完成所有设置后,可以在 操作中心查看和管理修正操作。 如有必要,还可以 对自动调查设置进行更改。
Microsoft Defender XDR 中自动调查和响应的先决条件
| 要求 | 详细信息 |
|---|---|
| 订阅要求 | 以下订阅之一:
请参阅 Microsoft Defender XDR 许可要求。 |
| 网络要求 | |
| Windows 设备要求 |
|
| 保护电子邮件内容和 Office 文件 |
|
| 权限 | 若要配置自动调查和响应功能,必须在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配以下角色之一:
|
注意
Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。
查看或更改设备组的自动化级别
是运行自动调查,还是仅在设备批准后自动执行修正操作取决于某些设置,例如组织的设备组策略。 查看设备组策略的已配置自动化级别。 必须是全局管理员或安全管理员才能执行以下过程:
转到 Microsoft Defender 门户 https://security.microsoft.com 并登录。
转到“权限”下的“设置>终结点>”“设备组”。
查看设备组策略。 具体而言,请查看 “修正级别” 列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要获取有关此任务的帮助,请参阅以下文章:
查看 Office 365 中的安全和警报策略
Microsoft提供了有助于识别某些风险的内置 警报策略 。 这些风险包括 Exchange 管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及数据生命周期管理风险。 某些警报可能会触发 Office 365 中的自动调查和响应。 确保正确配置 Defender for Office 365 功能。
尽管某些警报和安全策略可以触发自动调查, 但不会自动对电子邮件和内容执行修正操作。 相反,电子邮件和电子邮件内容的所有修正操作都在操作 中心等待安全运营团队的批准。
Exchange Online Protection (EOP) 和 Defender for Office 365 中的安全设置有助于保护电子邮件和内容。 建议使用标准和严格 预设安全策略 向用户分配保护。
如果使用自定义策略,请使用 配置分析器 将策略设置与“标准”和“严格”预设的安全策略设置进行比较。 有关所有策略设置的详细列表,请参阅 EOP 和 Microsoft Defender for Office 365 安全性的建议设置中的表。
可以在 Defender 门户中>https://security.microsoft.com的“策略”& 规则>“”警报策略“或直接查看警报https://security.microsoft.com/alertpoliciesv2策略。 威胁 管理 类别中存在几个默认警报策略。 威胁管理类别中的某些警报策略可以触发自动调查和响应。 若要了解详细信息,请参阅 威胁管理警报策略。
需要更改自动调查设置?
可以从多个选项中进行选择,以更改自动调查和响应功能的设置。 下表列出了一些选项:
| 所执行的操作 | 按照以下步骤操作 |
|---|---|
| 指定设备组的自动化级别 |
|
后续步骤
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。