在 Microsoft Defender XDR 中配置自动调查和响应功能

Microsoft Defender XDR 包括强大的 自动调查和响应功能 ,可为安全运营团队节省大量时间和精力。 通过 自我修复,这些功能模仿安全分析师在调查和响应威胁时所要执行的步骤,但速度更快,并且能够进行扩展。

本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动调查和响应:

  1. 查看先决条件
  2. 查看或更改设备组的自动化级别
  3. 查看 Office 365 中的安全和警报策略

然后,完成所有设置后,可以在 操作中心查看和管理修正操作。 如有必要,还可以 对自动调查设置进行更改

Microsoft Defender XDR 中自动调查和响应的先决条件

要求 详细信息
订阅要求 以下订阅之一:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 和 Microsoft 365 E5 安全加载项
  • Microsoft 365 A3 Microsoft 365 A5 安全加载项
  • Office 365 E5 企业移动性 + 安全性 E5 和 Windows E5

请参阅 Microsoft Defender XDR 许可要求
网络要求
Windows 设备要求
保护电子邮件内容和 Office 文件
权限 若要配置自动调查和响应功能,必须在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配以下角色之一:
  • 全局管理员
  • 安全管理员
若要使用自动调查和响应功能(例如通过查看、批准或拒绝挂起的操作),请参阅 操作中心任务的所需权限

查看或更改设备组的自动化级别

是运行自动调查,还是仅在设备批准后自动执行修正操作取决于某些设置,例如组织的设备组策略。 查看设备组策略的已配置自动化级别。 必须是全局管理员或安全管理员才能执行以下过程:

  1. 转到 Microsoft Defender 门户 https://security.microsoft.com 并登录。

  2. 转到“权限”下的“设置>终结点>”“设备组”。

  3. 查看设备组策略。 具体而言,请查看 “修正级别” 列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要获取有关此任务的帮助,请参阅以下文章:

查看 Office 365 中的安全和警报策略

Microsoft提供了有助于识别某些风险的内置 警报策略 。 这些风险包括 Exchange 管理员权限滥用、恶意软件活动、潜在的外部和内部威胁以及数据生命周期管理风险。 某些警报可能会触发 Office 365 中的自动调查和响应。 确保正确配置 Defender for Office 365 功能。

尽管某些警报和安全策略可以触发自动调查, 但不会自动对电子邮件和内容执行修正操作。 相反,电子邮件和电子邮件内容的所有修正操作都在操作 中心等待安全运营团队的批准。

Exchange Online Protection (EOP) 和 Defender for Office 365 中的安全设置有助于保护电子邮件和内容。 建议使用标准和严格 预设安全策略 向用户分配保护。

如果使用自定义策略,请使用 配置分析器 将策略设置与“标准”和“严格”预设的安全策略设置进行比较。 有关所有策略设置的详细列表,请参阅 EOP 和 Microsoft Defender for Office 365 安全性的建议设置中的表。

可以在 Defender 门户中>https://security.microsoft.com策略”& 规则>“”警报策略“或直接查看警报https://security.microsoft.com/alertpoliciesv2策略。 威胁 管理 类别中存在几个默认警报策略。 威胁管理类别中的某些警报策略可以触发自动调查和响应。 若要了解详细信息,请参阅 威胁管理警报策略

需要更改自动调查设置?

可以从多个选项中进行选择,以更改自动调查和响应功能的设置。 下表列出了一些选项:

所执行的操作 按照以下步骤操作
指定设备组的自动化级别
  1. 设置一个或多个设备组。 请参阅 创建和管理设备组
  2. 在 Microsoft Defender 门户中,转到 “权限>终结点角色 & 组>设备组”。
  3. 选择设备组并查看其 自动化级别 设置。 (建议使用 完全 - 自动修正威胁) 。 请参阅 自动化调查和修正功能的自动化级别
  4. 请针对所有设备组重复步骤 2 和 3。

后续步骤

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动