Microsoft Defender 全面偵測回應具備強大的自動化調查與回應功能,能為您的資安營運團隊節省大量時間與精力。 透過 自我修復,這些能力模擬了資安分析師調查與回應威脅的步驟,但速度更快,且更具擴展性。
本文說明如何透過以下步驟在 Microsoft Defender 全面偵測回應中配置自動調查與回應:
然後,在所有設定完成後,你可以 在行動中心查看和管理修復行動。 如果有需要,你也可以 調整自動調查的設定。
Microsoft Defender 全面偵測回應的前提條件
| 需求 | 詳細資料 |
|---|---|
| 訂閱需求 | 其中一項訂閱:
請參閱 Microsoft Defender 全面偵測回應授權要求。 |
| 網路要求 | |
| Windows 裝置需求 |
|
| 電子郵件內容與 Office 檔案的保護 |
|
| 權限 | 要設定自動化調查與回應功能,您必須在Microsoft Entra ID (https://portal.azure.com) 或Microsoft 365 系統管理中心 (https://admin.microsoft.com) 中指定以下角色之一:
|
注意事項
Microsoft 建議使用權限較少的角色以提升安全性。 全球管理員角色擁有許多權限,僅在緊急情況下使用,且無其他角色適合。
檢視或更改裝置群組的自動化層級
是否執行自動化調查,以及修復措施是自動執行還是僅在裝置核准後執行,取決於某些設定,例如你組織的裝置群組政策。 檢視裝置群組政策的自動化層級配置。 您必須是全域管理員或安全管理員,才能執行以下程序:
請前往 Microsoft Defender 入口網站https://security.microsoft.com並登入。
到權限下的系統>設定>端點裝置>群組。
檢視你的裝置群組政策。 特別是,請參考修復 層 級欄位。 我們建議使用 Full - remediate Threats 自動處理。 你可能需要建立或編輯裝置群組,才能達到你想要的自動化程度。 若要取得這項工作的協助,請參閱下列文章:
檢視您在 Office 365 中的安全與警示政策
Microsoft 提供內建 的警示政策 ,幫助識別特定風險。 這些風險包括 Exchange 管理員權限濫用、惡意軟體活動、潛在的外部與內部威脅,以及資料生命週期管理風險。 部分警示可在 Office 365 觸發自動調查與回應。 請確保你的 Defender for Office 365 功能設定正確。
雖然某些警示和安全政策會觸發自動調查,但電子郵件 及內容不會自動採取修復措施。 相反地,所有針對電子郵件及電子郵件內容的補救措施,都需等待 行動中心資安營運團隊的核准。
Exchange Online Protection (EOP) 和 Defender for Office 365 的安全設定有助於保護電子郵件和內容。 我們建議使用 Standard 和 Strict 預設的安全政策來為使用者分配保護。
如果你使用自訂政策,請使用設定分析器將你的政策設定與 Standard 和 Strict 預設的安全政策設定做比較。 欲了解所有政策設定的詳細清單,請參閱推薦設定中的 EOP 與 Microsoft Defender for Office 365 安全性表格。
您可以在 Defender 入口網站>https://security.microsoft.com的「政策 & 規則>」中查看警報政策,或直接在 https://security.microsoft.com/alertpoliciesv2。 數項預設警示政策屬於 威脅管理 類別。 威脅 管理 類別中的部分警示政策可觸發自動調查與回應。 欲了解更多,請參閱 威脅管理警示政策。
需要更改自動調查設定嗎?
您可以從多種選項中選擇,調整自動化調查與回應功能的設定。 以下表格列出了一些選項:
| 若要執行這項操作 | 請遵循以下步驟 |
|---|---|
| 指定裝置群組的自動化等級 |
|
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。