分享方式:


在 Microsoft Defender XDR 中設定自動化調查和回應功能

Microsoft Defender XDR 包含強大的 自動化調查和回應功能 ,可節省安全性作業小組許多時間和精力。 透過 自我修復,這些功能會模擬安全性分析師在調查和回應威脅時所採取的步驟,只有更快,而且有更多調整能力。

本文說明如何使用下列步驟,在 Microsoft Defender XDR 中設定自動化調查和回應:

  1. 檢閱必要條件
  2. 檢閱或變更裝置群組的自動化層級
  3. 在 Office 365 中檢閱您的安全性和警示原則

然後,在您全部設定完成之後,您就可以 在控制中心檢視和管理補救動作。 而且,如有必要,您可以 變更自動化調查設定

在 Microsoft Defender XDR 中進行自動化調查和回應的必要條件

需求 詳細資料
訂閱需求 下列其中一個訂用帳戶:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 與 Microsoft 365 E5 安全性附加元件
  • Microsoft 365 A3 與 Microsoft 365 安全性附加元件
  • Office 365 E5 加上 Enterprise Mobility + Security E5 加上 Windows E5

參閱 Microsoft Defender XDR 授權需求
網路要求
Windows 裝置需求
電子郵件內容和 Office 檔案的保護
權限 若要設定自動化調查和回應功能,您必須在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 () 中指派下列其中一 https://admin.microsoft.com 個角色:
  • 全域系統管理員
  • 安全性系統管理員
若要使用自動化調查和回應功能,例如檢閱、核准或拒絕擱置中的動作,請參閱 控制中心工作的必要許可權。

注意事項

Microsoft建議使用許可權較少的角色,以提升安全性。 具有許多許可權的全域管理員角色,只有在沒有其他角色符合時,才應該用於緊急。

檢閱或變更裝置群組的自動化層級

自動調查是否執行,以及是否自動採取補救動作,或只在核准您的裝置時,取決於特定設定,例如貴組織的裝置組策略。 檢閱為您的裝置組策略設定的自動化層級。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:

  1. 移至 Microsoft Defender 入口網站 https://security.microsoft.com ,然後登入。

  2. 移至 [許可權]> 下的 [設定端點>裝置群組]

  3. 檢閱您的裝置組策略。 特別是,請查看 [補救層級] 數據 行。 建議您 自動使用完整 - 補救威脅。 您可能需要建立或編輯裝置群組,以取得您想要的自動化層級。 若要取得這項工作的協助,請參閱下列文章:

在 Office 365 中檢閱您的安全性和警示原則

Microsoft提供可協助識別特定風險的內建 警示 原則。 這些風險包括 Exchange 系統管理員許可權濫用、惡意代碼活動、潛在的外部和內部威脅,以及數據生命週期管理風險。 某些警示可能會 在 Office 365 中觸發自動化調查和回應。 請確定您的 適用於 Office 365 的 Defender 功能已正確設定。

雖然某些警示和安全策略可以觸發自動化調查, 但不會自動對電子郵件和內容採取任何補救動作。 相反地,電子郵件和電子郵件內容的所有補救動作都會等待控制中心的安全性作業小組核

Exchange Online Protection (EOP) 和適用於 Office 365 的 Defender 中的安全性設定可協助保護電子郵件和內容。 我們建議使用標準和嚴格 預設安全策略 ,將保護指派給使用者。

如果您使用自定義原則,請使用組態 分析器 來比較原則設定與標準和嚴格預設安全策略設定。 如需所有原則設定的詳細清單,請參閱適用於 EOP 和 Microsoft Defender for Office 365 安全性的建議設定中的數據表。

您可以在 Defender 入口網站中檢閱 警示原則 ,網 & https://security.microsoft.com>規則>警示原則 或直接在 https://security.microsoft.com/alertpoliciesv2。 有數個預設警示原則位於 威脅管理 類別中。 威脅管理類別中的某些警示原則可以觸發自動化調查和回應。 若要深入瞭解,請參閱 威脅管理警示原則

需要對自動化調查設定進行變更嗎?

您可以從數個選項中選擇,以變更自動化調查和回應功能的設定。 下表列出一些選項:

若要執行這項操作 請遵循下列步驟
指定裝置群組的自動化層級
  1. 設定一或多個裝置群組。 請參閱 建立和管理裝置群組
  2. 在 Microsoft Defender 入口網站中,移至> [裝置群組] 群組> & [許可權端點] 角色。
  3. 選取裝置群組,並檢閱其 自動化層級 設定。 (建議使用 完整 - 補救威脅自動) 。 請參閱 自動化調查和補救功能中的自動化層級
  4. 針對您的所有裝置群組,重複步驟 2 和 3。

後續步驟

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群