Freigeben über


Konfigurieren der automatischen Angriffsunterbrechung in Microsoft Defender XDR

Microsoft Defender XDR umfasst leistungsstarke automatisierte Angriffsunterbrechungsfunktionen, die Ihre Umgebung vor komplexen, schwerwiegenden Angriffen schützen können.

In diesem Artikel wird beschrieben, wie Automatische Angriffsunterbrechungsfunktionen in Microsoft Defender XDR konfiguriert werden. Nachdem Sie alles eingerichtet haben, können Sie Einschlussaktionen in Incidents und im Info-Center anzeigen und verwalten. Und bei Bedarf können Sie Änderungen an den Einstellungen vornehmen.

Voraussetzungen

Im Folgenden sind die Voraussetzungen für die Konfiguration der automatischen Angriffsunterbrechung in Microsoft Defender XDR aufgeführt:

Anforderung Details
Abonnementanforderungen Eines dieser Abonnements:
  • Microsoft 365 E5 oder A5
  • Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On
  • Microsoft 365 E3 mit dem Enterprise Mobility + Security E5-Add-On
  • Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On
  • Windows 10 Enterprise E5 oder A5
  • Windows 11 Enterprise E5 oder A5
  • Enterprise Mobility + Security (EMS) E5 oder A5
  • Office 365 E5 oder A5
  • Microsoft Defender for Endpoint (Plan 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Office 365 (Plan 2)
  • Microsoft Defender für Unternehmen

Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen.

Bereitstellungsanforderungen
  • Bereitstellung über Defender-Produkte hinweg (z. B. Defender für Endpunkt, Defender for Office 365, Defender for Identity und Defender for Cloud Apps)
    • Je breiter die Bereitstellung, desto größer ist die Schutzabdeckung. Wenn beispielsweise ein Microsoft Defender for Cloud Apps-Signal bei einer bestimmten Erkennung verwendet wird, ist dieses Produkt erforderlich, um das relevante spezifische Angriffsszenario zu erkennen.
    • Ebenso sollte das relevante Produkt bereitgestellt werden, um eine automatisierte Antwortaktion auszuführen. Beispielsweise muss Microsoft Defender for Endpoint automatisch ein Gerät enthalten.
  • Microsoft Defender for Endpoint Geräteermittlung ist auf "Standardermittlung" festgelegt (Voraussetzung für die automatische Initiierung der Aktion "Gerät enthalten")
Berechtigungen Zum Konfigurieren automatischer Angriffsunterbrechungsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
  • Globaler Administrator
  • Sicherheitsadministrator
Informationen zum Arbeiten mit automatisierten Untersuchungs- und Antwortfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Microsoft Defender for Endpoint Voraussetzungen

Mindestversion des Sense-Clients (MDE Client)

Die mindestens erforderliche Version des Sense-Agents, damit die Aktion Benutzer enthalten funktioniert, ist v10.8470. Sie können die Version des Sense-Agents auf einem Gerät ermitteln, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatisierungseinstellung für Geräte Ihrer Organisation

Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien, ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. WechselnSie zu Systemeinstellungen>>Endpunkte>Gerätegruppen unter Berechtigungen.

  3. Überprüfen Sie ihre Gerätegruppenrichtlinien, und sehen Sie sich die Spalte Wartungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben.

Sie können auch Ihre Gerätegruppen erstellen oder bearbeiten, um die entsprechende Korrekturstufe für jede Gruppe festzulegen. Die Auswahl der Halbautomatisierungsstufe ermöglicht das Auslösen einer automatischen Angriffsunterbrechung, ohne dass eine manuelle Genehmigung erforderlich ist. Um eine Gerätegruppe vom automatisierten Einschluss auszuschließen, können Sie deren Automatisierungsebene auf keine automatisierte Antwort festlegen. Beachten Sie, dass diese Einstellung nicht dringend empfohlen wird und nur für eine begrenzte Anzahl von Geräten verwendet werden sollte.

Konfiguration der Geräteermittlung

Die Geräteermittlungseinstellungen müssen mindestens für "Standard Ermittlung" aktiviert werden. Informationen zum Konfigurieren der Geräteermittlung finden Sie unter Einrichten der Geräteermittlung.

Hinweis

Angriffsunterbrechungen können auf Geräten unabhängig vom Microsoft Defender Antivirus-Betriebszustand eines Geräts auftreten. Der Betriebszustand kann sich im Aktiv-, Passiv- oder EDR-Blockmodus befinden.

Voraussetzungen für Microsoft Defender for Identity

Einrichten der Überwachung auf Domänencontrollern

Informationen zum Einrichten der Überwachung auf Domänencontrollern finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle , um sicherzustellen, dass erforderliche Überwachungsereignisse auf den Domänencontrollern konfiguriert werden, auf denen der Defender for Identity-Sensor bereitgestellt wird.

Überprüfen von Aktionskonten

Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokales Active Directory Konten durchzuführen, falls eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Defender for Identity über die erforderlichen Berechtigungen verfügen. Standardmäßig nimmt der Defender for Identity-Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die Aktionen aus. Da die Standardeinstellung geändert werden kann, überprüfen Sie, ob Defender for Identity über die erforderlichen Berechtigungen verfügt oder das Standardkonto LocalSystem verwendet.

Weitere Informationen zu den Aktionskonten finden Sie unter Konfigurieren Microsoft Defender for Identity Aktionskonten.

Der Defender for Identity-Sensor muss auf dem Domänencontroller bereitgestellt werden, auf dem das Active Directory-Konto deaktiviert werden soll.

Hinweis

Wenn Sie eine Automatisierung eingerichtet haben, um einen Benutzer zu aktivieren oder zu blockieren, überprüfen Sie, ob die Automatisierung unterbrechungsfrei sein kann. Wenn beispielsweise eine Automatisierung vorhanden ist, um regelmäßig zu überprüfen und zu erzwingen, dass alle aktiven Mitarbeiter Konten aktiviert haben, könnte dies unbeabsichtigt Konten aktivieren, die durch eine Angriffsunterbrechung deaktiviert wurden, während ein Angriff erkannt wird.

Microsoft Defender for Cloud Apps Voraussetzungen

Microsoft Office 365 Connector

Microsoft Defender for Cloud Apps muss über den Connector mit Microsoft Office 365 verbunden sein. Informationen zum Herstellen einer Verbindung mit Defender for Cloud Apps finden Sie unter Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps.

App-Governance

App Governance muss aktiviert sein. Informationen zum Aktivieren finden Sie in der Dokumentation zur App-Governance .

Microsoft Defender for Office 365 Voraussetzungen

Postfachspeicherort

Postfächer müssen in Exchange Online gehostet werden.

Postfachüberwachungsprotokollierung

Die folgenden Postfachereignisse müssen mindestens überwacht werden:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Informationen zum Verwalten der Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung .

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.