在 Microsoft 365 Defender 中自動調查及回應功能

注意事項

想要體驗 Microsoft 365 Defender 嗎？深入瞭解如何評估和試驗Microsoft 365 Defender。

Microsoft 365 Defender包含強大的自動化調查和回應功能，可節省安全性作業小組許多時間和精力。透過自我修復，這些功能會模擬安全性分析師在調查和回應威脅時所採取的步驟，只有更快，而且具有更多調整能力。

本文說明如何使用下列步驟，在Microsoft 365 Defender中設定自動化調查和回應：

然後，在您全部設定完成之後，您就可以在控制中心檢視和管理補救動作。而且，如有必要，您可以變更自動化調查設定。

在 Microsoft 365 Defender 中自動化調查和回應的必要條件

需求	詳細資料
訂閱需求	下列其中一個訂用帳戶： Microsoft 365 E5 Microsoft 365 A5 使用Microsoft 365 E5 安全性附加元件Microsoft 365 E3 使用 Microsoft 365 A5 Security 附加元件Microsoft 365 A3 Office 365 E5加Enterprise Mobility + Security E5 加上 Windows E5 請參閱Microsoft 365 Defender授權需求。
網路要求	適用於身分識別的 Microsoft Defender啟用已設定Microsoft Defender for Cloud Apps 適用於身分識別的 Microsoft Defender整合
Windows 裝置需求	Windows 11 Windows 10已安裝版本 1709 或更新版本 (請參閱Windows 版本資訊) 下列威脅防護服務已設定：適用於端點的 Microsoft Defender Microsoft Defender 防毒軟體
電子郵件內容和 Office 檔案的保護	已設定適用於 Office 365 的 Microsoft Defender 適用于端點的 Defender 中的自動化調查和補救功能已設定 (手動回應動作所需的功能，例如刪除裝置上的電子郵件訊息)
權限	若要設定自動化調查和回應功能，您必須在 Azure Active Directory () https://portal.azure.com 或Microsoft 365 系統管理中心 () 中 https://admin.microsoft.com 指派下列其中一個角色：全域系統管理員安全性系統管理員若要使用自動化調查和回應功能，例如檢閱、核准或拒絕擱置中的動作，請參閱控制中心工作的必要許可權。

自動調查是否執行，以及是否自動採取補救動作，或只在核准您的裝置時，取決於特定設定，例如貴組織的裝置群組原則。檢閱為您的裝置群組原則設定的自動化層級。您必須是全域管理員或安全性系統管理員，才能執行下列程式：

前往 Microsoft 365 Defender 入口網站 (https://security.microsoft.com) 並登入。
移至 [許可權]> 下的 [設定端點>裝置群組]。
檢閱您的裝置群組原則。特別是，請查看 自動化層級 資料行。建議您 自動使用完整 - 補救威脅。您可能需要建立或編輯裝置群組，以取得您想要的自動化層級。若要取得這項工作的協助，請參閱下列文章：
- 如何補救威脅
- 建立及管理裝置群組

Microsoft提供內建的警示原則，可協助識別特定風險。這些風險包括 Exchange 系統管理員許可權濫用、惡意程式碼活動、潛在的外部和內部威脅，以及資料生命週期管理風險。某些警示可能會在Office 365中觸發自動化調查和回應。請確定您的適用於 Office 365 的 Defender功能已正確設定。

雖然某些警示和安全性原則可以觸發自動化調查， 但不會自動對電子郵件和內容採取任何補救動作。相反地，電子郵件和電子郵件內容的所有補救動作都會等待控制中心的安全性作業小組核准。

Office 365中的安全性設定可協助保護電子郵件和內容。若要檢視或變更這些設定，請遵循防範威脅中的指引。

在Microsoft 365 Defender入口網站中，移至 [原則 & 規則>威脅原則]。
請確定已設定下列所有原則。若要取得說明和建議，請參閱防範威脅。
請確定已開啟SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
請確定 Exchange Online 中ZAP) 的零時差自動 (清除已生效。
(此步驟是選擇性的。) 檢閱Microsoft Purview 合規性入口網站 () 中的Office 365 https://compliance.microsoft.com/compliancepolicies 警示原則。有數個預設警示原則位於威脅管理類別中。其中一些警示可以觸發自動化調查和回應。若要深入瞭解，請參閱預設警示原則。

您可以從數個選項中選擇，以變更自動化調查和回應功能的設定。下表列出一些選項：

若要執行這項操作	請遵循下列步驟
指定裝置群組的自動化層級	設定一或多個裝置群組。請參閱建立和管理裝置群組。在Microsoft 365 Defender入口網站中，移至 [權限>端點角色 & ] 群組 [>裝置群組]。選取裝置群組，並檢閱其自動化層級設定。 (建議使用完整 - 補救威脅自動) 。請參閱自動化調查和補救功能中的自動化層級。針對您的所有裝置群組，重複步驟 2 和 3。
開啟或關閉自動化調查	建議您將自動化調查保持開啟。如果您想要針對某些裝置關閉它，建議您檢閱或變更裝置群組的自動化層級，而不是關閉組織的自動化調查。在Microsoft 365 Defender入口網站 (https://security.microsoft.com) 中，移至 [設定>端點>進階功能]。將 [ 自動化調查 ] 切換為 [開啟 (] 或 [ 關閉 ]) 。請記住，如果您在這裡關閉自動化調查，將會影響所有裝置的自動化調查和回應動作。這也會影響電子郵件 (手動回應動作，例如在電子郵件訊息抵達裝置後手動刪除) 。請嘗試變更裝置群組的自動化層級，而不是關閉自動化調查。移至 [自動補救] ，並檢閱您裝置的自動化補救層級。請參閱自動化調查和補救功能中的自動化層級。

若要執行這項操作

請遵循下列步驟

指定裝置群組的自動化層級

開啟或關閉自動化調查

建議您將自動化調查保持開啟。如果您想要針對某些裝置關閉它，建議您檢閱或變更裝置群組的自動化層級，而不是關閉組織的自動化調查。

在Microsoft 365 Defender入口網站 (https://security.microsoft.com) 中，移至 [設定>端點>進階功能]。
將 [ 自動化調查 ] 切換為 [開啟 (] 或 [ 關閉 ]) 。
請記住，如果您在這裡關閉自動化調查，將會影響所有裝置的自動化調查和回應動作。這也會影響電子郵件 (手動回應動作，例如在電子郵件訊息抵達裝置後手動刪除) 。請嘗試變更裝置群組的自動化層級，而不是關閉自動化調查。
移至 [自動補救] ，並檢閱您裝置的自動化補救層級。請參閱自動化調查和補救功能中的自動化層級。