在 Microsoft Defender XDR 中配置自动攻击中断功能

Microsoft Defender XDR 包括强大的 自动攻击中断 功能,可保护环境免受复杂的高影响攻击。

本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动攻击中断功能:

  1. 查看先决条件
  2. 查看或更改用户的自动响应排除项。

然后,完成所有设置后,可以在事件和操作中心查看和管理包含操作。 如有必要,还可以对设置进行更改。

Microsoft Defender XDR 中自动攻击中断的先决条件

要求 详细信息
订阅要求 以下订阅之一:
  • Microsoft 365 E5 或 A5
  • Microsoft 365 E3 和 Microsoft 365 E5 安全加载项
  • Microsoft 365 E3 和企业移动性 + 安全性 E5 加载项
  • Microsoft 365 A3 Microsoft 365 A5 安全加载项
  • Windows 10 企业版 E5 或 A5
  • Windows 11 企业版 E5 或 A5
  • 企业移动性 + 安全性 (EMS) E5 或 A5
  • Office 365 E5 或 A5
  • Microsoft Defender for Endpoint (计划 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender for Office 365 (计划 2)
  • Microsoft Defender 商业版

请参阅 Microsoft Defender XDR 许可要求

部署要求
  • 跨 Defender 产品 (部署,例如 Defender for Endpoint、Defender for Office 365、Defender for Identity 和 Defender for Cloud Apps)
    • 部署范围越广,保护覆盖面越大。 例如,如果在特定的检测中使用了 Microsoft Defender for Cloud Apps 信号,则需要此产品来检测相关的特定攻击方案。
    • 同样,应部署相关产品以执行自动响应操作。 例如,需要Microsoft Defender for Endpoint 才能自动包含设备。
  • Microsoft Defender for Endpoint 的设备发现设置为“标准发现”
权限 若要配置自动攻击中断功能,必须在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配以下角色之一:
  • 全局管理员
  • 安全管理员
若要使用自动调查和响应功能(例如通过查看、批准或拒绝挂起的操作),请参阅 操作中心任务的所需权限

Microsoft Defender for Endpoint 先决条件

最低感知客户端版本 (MDE 客户端)

“包含用户”操作运行所需的最低感知代理版本为 v10.8470。 可以通过运行以下 PowerShell 命令来标识设备上的 Sense Agent 版本:

Get-ItemProperty -Path “Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection” -Name “InstallLocation”

组织设备的自动化设置

查看设备组策略的配置自动化级别,wWhether 自动调查运行,以及修正操作是自动执行还是仅在设备批准后取决于某些设置。 必须是全局管理员或安全管理员才能执行以下过程:

  1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

  2. 转到“权限”下的“设置>终结点>”“设备组”。

  3. 查看设备组策略。 查看 “自动化级别 ”列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要从自动包含中排除设备组,请将其自动化级别设置为 无自动响应。 请注意,不建议这样做,应仅对有限数量的设备执行此操作。

设备发现配置

设备发现设置必须至少激活为“标准发现”。 在设置设备发现中了解如何配置 设备发现

注意

攻击中断可以作用于与设备Microsoft Defender 防病毒操作状态无关的设备。 操作状态可以是主动、被动或 EDR 块模式。

Microsoft Defender for Identity 先决条件

在域控制器中设置审核

了解如何在域控制器中设置审核,请参阅 配置 Windows 事件日志的审核策略 ,以确保在部署 Defender for Identity 传感器的域控制器上配置所需的审核事件。

验证操作帐户

Defender for Identity 允许在标识泄露时针对本地 Active Directory 帐户采取修正操作。 若要执行这些操作,Defender for Identity 需要具有执行此操作所需的权限。 默认情况下,Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行操作。 由于可以更改默认值,因此请验证 Defender for Identity 是否具有所需的权限或使用默认的 LocalSystem 帐户。

可以在配置 Microsoft Defender for Identity 操作帐户中找到有关操作帐户的详细信息

需要在要关闭 Active Directory 帐户的域控制器上部署 Defender for Identity 传感器。

注意

如果已设置自动化来激活或阻止用户,请检查自动化是否会干扰中断。 例如,如果有一个自动化来定期检查和强制所有在职员工都启用了帐户,则可能会在检测到攻击时无意中激活因攻击中断而停用的帐户。

Microsoft Defender for Cloud Apps 先决条件

Microsoft Office 365 连接器

Microsoft Defender for Cloud Apps 必须通过连接器连接到 Microsoft Office 365。 若要连接 Defender for Cloud Apps,请参阅 将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps

应用治理

必须启用应用治理。 请参阅 应用治理文档 以将其打开。

Microsoft Defender for Office 365 先决条件

邮箱位置

邮箱必须托管在 Exchange Online 中。

邮箱审核日志记录

以下邮箱事件需要按最低要求进行审核:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

查看 管理邮箱审核 ,了解如何管理邮箱审核。

查看或更改用户的自动响应排除项

自动攻击中断允许从自动包含操作中排除特定用户帐户。 排除的用户不会受到攻击中断触发的自动操作的影响。 必须是全局管理员或安全管理员才能执行以下过程:

  1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

  2. 转到 “设置”>Microsoft Defender XDR>标识自动响应。 检查用户列表以排除帐户。 选择用户帐户进行自动响应排除

  3. 若要排除新用户帐户,请选择“ 添加用户排除项”。

不建议排除用户帐户,并且添加到此列表的帐户不会在所有受支持的攻击类型中暂停,例如业务电子邮件泄露 (BEC) 和人为操作勒索软件。

后续步骤

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区