Konfigurieren der automatischen Angriffsunterbrechung in Microsoft Defender XDR
Microsoft Defender XDR umfasst leistungsstarke automatisierte Angriffsunterbrechungsfunktionen, die Ihre Umgebung vor komplexen, schwerwiegenden Angriffen schützen können.
In diesem Artikel wird beschrieben, wie Automatische Angriffsunterbrechungsfunktionen in Microsoft Defender XDR konfiguriert werden. Nachdem Sie alles eingerichtet haben, können Sie Einschlussaktionen in Incidents und im Info-Center anzeigen und verwalten. Und bei Bedarf können Sie Änderungen an den Einstellungen vornehmen.
Voraussetzungen
Im Folgenden sind die Voraussetzungen für die Konfiguration der automatischen Angriffsunterbrechung in Microsoft Defender XDR aufgeführt:
Anforderung | Details |
---|---|
Abonnementanforderungen | Eines dieser Abonnements:
Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen. |
Bereitstellungsanforderungen |
|
Berechtigungen | Zum Konfigurieren automatischer Angriffsunterbrechungsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
|
Microsoft Defender for Endpoint Voraussetzungen
Mindestversion des Sense-Clients (MDE Client)
Die mindestens erforderliche Version des Sense-Agents, damit die Aktion Benutzer enthalten funktioniert, ist v10.8470. Sie können die Version des Sense-Agents auf einem Gerät ermitteln, indem Sie den folgenden PowerShell-Befehl ausführen:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Automatisierungseinstellung für Geräte Ihrer Organisation
Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien, ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:
Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
WechselnSie zu Systemeinstellungen>>Endpunkte>Gerätegruppen unter Berechtigungen.
Überprüfen Sie ihre Gerätegruppenrichtlinien, und sehen Sie sich die Spalte Wartungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben.
Sie können auch Ihre Gerätegruppen erstellen oder bearbeiten, um die entsprechende Korrekturstufe für jede Gruppe festzulegen. Die Auswahl der Halbautomatisierungsstufe ermöglicht das Auslösen einer automatischen Angriffsunterbrechung, ohne dass eine manuelle Genehmigung erforderlich ist. Um eine Gerätegruppe vom automatisierten Einschluss auszuschließen, können Sie deren Automatisierungsebene auf keine automatisierte Antwort festlegen. Beachten Sie, dass diese Einstellung nicht dringend empfohlen wird und nur für eine begrenzte Anzahl von Geräten verwendet werden sollte.
Konfiguration der Geräteermittlung
Die Geräteermittlungseinstellungen müssen mindestens für "Standard Ermittlung" aktiviert werden. Informationen zum Konfigurieren der Geräteermittlung finden Sie unter Einrichten der Geräteermittlung.
Hinweis
Angriffsunterbrechungen können auf Geräten unabhängig vom Microsoft Defender Antivirus-Betriebszustand eines Geräts auftreten. Der Betriebszustand kann sich im Aktiv-, Passiv- oder EDR-Blockmodus befinden.
Voraussetzungen für Microsoft Defender for Identity
Einrichten der Überwachung auf Domänencontrollern
Informationen zum Einrichten der Überwachung auf Domänencontrollern finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle , um sicherzustellen, dass erforderliche Überwachungsereignisse auf den Domänencontrollern konfiguriert werden, auf denen der Defender for Identity-Sensor bereitgestellt wird.
Überprüfen von Aktionskonten
Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokales Active Directory Konten durchzuführen, falls eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Defender for Identity über die erforderlichen Berechtigungen verfügen. Standardmäßig nimmt der Defender for Identity-Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die Aktionen aus. Da die Standardeinstellung geändert werden kann, überprüfen Sie, ob Defender for Identity über die erforderlichen Berechtigungen verfügt oder das Standardkonto LocalSystem verwendet.
Weitere Informationen zu den Aktionskonten finden Sie unter Konfigurieren Microsoft Defender for Identity Aktionskonten.
Der Defender for Identity-Sensor muss auf dem Domänencontroller bereitgestellt werden, auf dem das Active Directory-Konto deaktiviert werden soll.
Hinweis
Wenn Sie eine Automatisierung eingerichtet haben, um einen Benutzer zu aktivieren oder zu blockieren, überprüfen Sie, ob die Automatisierung unterbrechungsfrei sein kann. Wenn beispielsweise eine Automatisierung vorhanden ist, um regelmäßig zu überprüfen und zu erzwingen, dass alle aktiven Mitarbeiter Konten aktiviert haben, könnte dies unbeabsichtigt Konten aktivieren, die durch eine Angriffsunterbrechung deaktiviert wurden, während ein Angriff erkannt wird.
Microsoft Defender for Cloud Apps Voraussetzungen
Microsoft Office 365 Connector
Microsoft Defender for Cloud Apps muss über den Connector mit Microsoft Office 365 verbunden sein. Informationen zum Herstellen einer Verbindung mit Defender for Cloud Apps finden Sie unter Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps.
App-Governance
App Governance muss aktiviert sein. Informationen zum Aktivieren finden Sie in der Dokumentation zur App-Governance .
Microsoft Defender for Office 365 Voraussetzungen
Postfachspeicherort
Postfächer müssen in Exchange Online gehostet werden.
Postfachüberwachungsprotokollierung
Die folgenden Postfachereignisse müssen mindestens überwacht werden:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
Informationen zum Verwalten der Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung .
Safelinks-Richtlinie muss vorhanden sein
Nächste Schritte
- Anzeigen der Details und Ergebnissen
- Festlegen und Verwalten von Ausschlüssen für Angriffsunterbrechungen
- Abrufen von E-Mail-Benachrichtigungen für Antwortaktionen
Verwandte Inhalte
- Automatische Angriffsunterbrechung in Microsoft Defender XDR
- Automatische Angriffsunterbrechung für SAP
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.