Del via

Konfigurer automatisk afbrydelse af angreb i Microsoft Defender XDR

  • Artikel

Microsoft Defender XDR omfatter effektive funktioner til automatiserede angrebsafbrydelser, der kan beskytte dit miljø mod avancerede angreb med stor indvirkning.

I denne artikel beskrives det, hvordan du konfigurerer funktioner til automatisk afbrydelse af angreb i Microsoft Defender XDR. Når du er konfigureret, kan du få vist og administrere opbevaringshandlinger i Hændelser og Løsningscenter. Og hvis det er nødvendigt, kan du foretage ændringer af indstillingerne.

Forudsætninger

Følgende er forudsætninger for konfiguration af automatisk afbrydelse af angreb i Microsoft Defender XDR:

Krav Detaljer
Abonnementskrav Et af disse abonnementer:
  • Microsoft 365 E5 eller A5
  • Microsoft 365 E3 med tilføjelsesprogrammet Microsoft 365 E5 Sikkerhed
  • Microsoft 365 E3 med tilføjelsesprogrammet Enterprise Mobility + Security E5
  • Microsoft 365 A3 med tilføjelsesprogrammet Microsoft 365 A5 Sikkerhed
  • Windows 10 Enterprise E5 eller A5
  • Windows 11 Enterprise E5 eller A5
  • Enterprise Mobility + Security (EMS) E5 eller A5
  • Office 365 E5 eller A5
  • Microsoft Defender for Endpoint (plan 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender for Office 365 (Plan 2)
  • Microsoft Defender for Business

Se Microsoft Defender XDR licenskrav.
Installationskrav
  • Installation på tværs af Defender-produkter (f.eks. Defender for Endpoint, Defender for Office 365, Defender for Identity og Defender for Cloud Apps)
    • Jo større udrulningen er, desto større er beskyttelsesdækningen. Hvis der f.eks. bruges et Microsoft Defender for Cloud Apps signal i en bestemt registrering, er dette produkt påkrævet for at registrere det relevante specifikke angrebsscenarie.
    • På samme måde skal det relevante produkt udrulles for at udføre en automatisk svarhandling. Microsoft Defender for Endpoint skal f.eks. indeholde en enhed automatisk.
  • Microsoft Defender for Endpoint enhedsregistrering er angivet til "standardregistrering" (forudsætning for automatisk initiering af handlingen "Indeholder enhed")
Tilladelser Hvis du vil konfigurere funktioner til automatisk afbrydelse af angreb, skal du have en af følgende roller tildelt i enten Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com):
  • Global administrator
  • Sikkerhedsadministrator
Hvis du vil arbejde med automatiserede undersøgelses- og svarfunktioner, f.eks. ved at gennemse, godkende eller afvise ventende handlinger, skal du se Påkrævede tilladelser til Opgaver i Løsningscenter.

Microsoft Defender for Endpoint forudsætninger

Minimumversion af Sense-klient (MDE klient)

Den mindste version af Sense Agent, der kræves, for at handlingen Indeholder bruger fungerer, er v10.8470. Du kan identificere Sense Agent-versionen på en enhed ved at køre følgende PowerShell-kommando:

Get-ItemProperty -Sti 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatiseringsindstilling for dine organisationsenheder

Gennemse det konfigurerede automatiseringsniveau for dine enhedsgruppepolitikker, om automatiserede undersøgelser kører, og om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse af dine enheder, afhænger af visse indstillinger. Du skal være global administrator eller sikkerhedsadministrator for at kunne udføre følgende procedure:

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

  2. Gå til Systemindstillinger>>Slutpunkter>Enhedsgrupper under Tilladelser.

  3. Gennemse politikkerne for din enhedsgruppe, og se kolonnen Afhjælpningsniveau . Vi anbefaler, at du bruger Fuld – afhjælper trusler automatisk.

Du kan også oprette eller redigere dine enhedsgrupper for at angive det relevante afhjælpningsniveau for hver gruppe. Hvis du vælger niveauet Semiautomatisering , kan der udløses automatisk afbrydelse af angreb uden behov for manuel godkendelse. Hvis du vil udelade en enhedsgruppe fra automatiseret opbevaring, kan du angive dens automatiseringsniveau til intet automatiseret svar. Bemærk, at denne indstilling ikke anbefales på det kraftigste og kun bør udføres for et begrænset antal enheder.

Konfiguration af enhedsregistrering

Indstillinger for enhedsregistrering skal aktiveres til "Standard Registrering" som minimum. Få mere at vide om, hvordan du konfigurerer enhedsregistrering i Konfigurer enhedsregistrering.

Bemærk!

Afbrydelse af angreb kan fungere på enheder, der er uafhængige af en enheds Microsoft Defender Antivirus-driftstilstand. Driftstilstanden kan være i aktiv-, passiv- eller EDR-blokeringstilstand.

Microsoft Defender for Identity forudsætninger

Konfigurer overvågning i domænecontrollere

Få mere at vide om, hvordan du konfigurerer overvågning i domænecontrollere i Konfigurer overvågningspolitikker for Windows-hændelseslogge for at sikre, at påkrævede overvågningshændelser er konfigureret på de domænecontrollere, hvor Defender for Identity-sensoren er installeret.

Valider handlingskonti

Defender for Identity giver dig mulighed for at udføre afhjælpningshandlinger, der er målrettet Active Directory i det lokale miljø konti, hvis en identitet kompromitteres. Hvis du vil udføre disse handlinger, skal Defender for Identity have de nødvendige tilladelser til at gøre det. Som standard repræsenterer Defender for Identity-sensoren domænecontrollerens LocalSystem-konto og udfører handlingerne. Da standarden kan ændres, skal du validere, at Defender for Identity har de nødvendige tilladelser eller bruger standardkontoen LocalSystem.

Du kan finde flere oplysninger om handlingskontiene i Konfigurer Microsoft Defender for Identity handlingskonti

Defender for Identity-sensoren skal installeres på den domænecontroller, hvor Active Directory-kontoen skal slås fra.

Bemærk!

Hvis du har automatisering på plads til at aktivere eller blokere en bruger, skal du kontrollere, om automatiseringen kan forstyrre afbrydelsen. Hvis der f.eks. er en automatisering på plads til regelmæssigt at kontrollere og gennemtvinge, at alle aktive medarbejdere har aktiveret konti, kan dette utilsigtet aktivere konti, der blev deaktiveret af afbrydelse af angreb, mens der registreres et angreb.

Microsoft Defender for Cloud Apps forudsætninger

Microsoft Office 365 connector

Microsoft Defender for Cloud Apps skal være forbundet til Microsoft Office 365 via connectoren. Hvis du vil oprette forbindelse Defender for Cloud Apps, skal du se Opret forbindelse mellem Microsoft 365 og Microsoft Defender for Cloud Apps.

Appstyring

Styring af apps skal være aktiveret. Se dokumentationen til appstyring for at aktivere den.

Microsoft Defender for Office 365 forudsætninger

Placering af postkasser

Postkasser skal hostes i Exchange Online.

Logføring af overvågning af postkasse

Følgende postkassehændelser skal overvåges som minimum:

  • MailItemsAccessed
  • UpdateInboxRules
  • FlyttilDeletedItems
  • Blød sletning
  • HardDelete

Gennemse administrer overvågning af postkasser for at få mere at vide om administration af overvågning af postkasser.

Næste trin

Relateret indhold

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.