在 Microsoft 365 Defender 中自動調查及回應功能

注意事項

想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender

Microsoft 365 Defender包含強大的自動化調查和回應功能,可節省安全性作業小組許多時間和精力。 透過 自我修復,這些功能會模擬安全性分析師在調查和回應威脅時所採取的步驟,只有更快,而且具有更多調整能力。

本文說明如何使用下列步驟,在Microsoft 365 Defender中設定自動化調查和回應:

  1. 檢閱必要條件
  2. 檢閱或變更裝置群組的自動化層級
  3. 在Office 365中檢閱您的安全性和警示原則

然後,在您全部設定完成之後,您就可以 在控制中心檢視和管理補救動作。 而且,如有必要,您可以 變更自動化調查設定

在 Microsoft 365 Defender 中自動化調查和回應的必要條件

需求 詳細資料
訂閱需求 下列其中一個訂用帳戶:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • 使用Microsoft 365 E5 安全性附加元件Microsoft 365 E3
  • 使用 Microsoft 365 A5 Security 附加元件Microsoft 365 A3
  • Office 365 E5加Enterprise Mobility + Security E5 加上 Windows E5

參閱Microsoft 365 Defender授權需求

網路要求
Windows 裝置需求
電子郵件內容和 Office 檔案的保護
權限 若要設定自動化調查和回應功能,您必須在 Azure Active Directory () https://portal.azure.com 或Microsoft 365 系統管理中心 () 中 https://admin.microsoft.com 指派下列其中一個角色:
  • 全域系統管理員
  • 安全性系統管理員
若要使用自動化調查和回應功能,例如檢閱、核准或拒絕擱置中的動作,請參閱 控制中心工作的必要許可權。

檢閱或變更裝置群組的自動化層級

自動調查是否執行,以及是否自動採取補救動作,或只在核准您的裝置時,取決於特定設定,例如貴組織的裝置群組原則。 檢閱為您的裝置群組原則設定的自動化層級。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:

  1. 前往 Microsoft 365 Defender 入口網站 (https://security.microsoft.com) 並登入。

  2. 移至 [許可權]> 下的 [設定端點>裝置群組]

  3. 檢閱您的裝置群組原則。 特別是,請查看 自動化層級 資料行。 建議您 自動使用完整 - 補救威脅。 您可能需要建立或編輯裝置群組,以取得您想要的自動化層級。 若要取得這項工作的協助,請參閱下列文章:

在 Office 365 中檢閱您的安全性和警示原則

Microsoft提供內建的警示原則,可協助識別特定風險。 這些風險包括 Exchange 系統管理員許可權濫用、惡意程式碼活動、潛在的外部和內部威脅,以及資料生命週期管理風險。 某些警示可能會在Office 365中觸發自動化調查和回應。 請確定您的適用於 Office 365 的 Defender功能已正確設定。

雖然某些警示和安全性原則可以觸發自動化調查, 但不會自動對電子郵件和內容採取任何補救動作。 相反地,電子郵件和電子郵件內容的所有補救動作都會等待控制中心的安全性作業小組核

Office 365中的安全性設定可協助保護電子郵件和內容。 若要檢視或變更這些設定,請遵循 防範威脅中的指引。

  1. Microsoft 365 Defender入口網站中,移至 [原則 & 規則>威脅原則]

  2. 請確定已設定下列所有原則。 若要取得說明和建議,請參閱 防範威脅

  3. 請確定已開啟SharePoint、OneDrive 和 Microsoft Teams 的安全附件

  4. 請確定 Exchange Online 中ZAP) 的零時差自動 (清除已生效。

  5. (此步驟是選擇性的。) 檢閱Microsoft Purview 合規性入口網站 () 中的Office 365 https://compliance.microsoft.com/compliancepolicies 警示原則。 有數個預設警示原則位於威脅管理類別中。 其中一些警示可以觸發自動化調查和回應。 若要深入瞭解,請參閱 預設警示原則

需要對自動化調查設定進行變更嗎?

您可以從數個選項中選擇,以變更自動化調查和回應功能的設定。 下表列出一些選項:

若要執行這項操作 請遵循下列步驟
指定裝置群組的自動化層級
  1. 設定一或多個裝置群組。 請參閱 建立和管理裝置群組
  2. 在Microsoft 365 Defender入口網站中,移至 [權>端點角色 & ] 群組 [>裝置群組]
  3. 選取裝置群組,並檢閱其 自動化層級 設定。 (建議使用 完整 - 補救威脅自動) 。 請參閱 自動化調查和補救功能中的自動化層級
  4. 針對您的所有裝置群組,重複步驟 2 和 3。
開啟或關閉自動化調查 建議您將自動化調查保持開啟。 如果您想要針對某些裝置關閉它,建議您 檢閱或變更裝置群組的自動化層級 ,而不是關閉組織的自動化調查。
  1. 在Microsoft 365 Defender入口網站 (https://security.microsoft.com) 中,移至 [設定>端點>進階功能]
  2. 將 [ 自動化調查 ] 切換為 [開 (] 或 [ 關閉 ]) 。
    請記住,如果您在這裡關閉自動化調查,將會影響所有裝置的自動化調查和回應動作。 這也會影響 電子郵件 (手動回應動作 ,例如在電子郵件訊息抵達裝置後手動刪除) 。 請嘗試 變更裝置群組的自動化層級,而不是關閉自動化調查。
  3. 移至 [自動補救] ,並檢閱您裝置的自動化補救層級。 請參閱 自動化調查和補救功能中的自動化層級

後續步驟