Automatikus támadáskimaradás konfigurálása Microsoft Defender XDR
Microsoft Defender XDR hatékony automatizált támadáskimaradási képességeket tartalmaz, amelyekkel megvédheti környezetét a kifinomult, nagy hatású támadásoktól.
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus támadáskimaradási képességeket Microsoft Defender XDR. Miután minden beállítás elkészült, megtekintheti és kezelheti az incidensek és a műveletközpont elszigetelési műveleteit. Szükség esetén módosíthatja a beállításokat.
Előfeltételek
A következő előfeltételek szükségesek az automatikus támadási megszakítás konfigurálásához Microsoft Defender XDR:
Követelmény | Részletek |
---|---|
Előfizetési követelmények | Az alábbi előfizetések egyike:
|
Üzembe helyezési követelmények |
|
Engedélyek | Az automatikus támadáskimaradási képességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com):
|
Végponthoz készült Microsoft Defender előfeltételek
A Sense-ügyfél minimális verziója (MDE ügyfél)
A Felhasználót tartalmazó művelet működéséhez szükséges minimális segédügynök-verzió a 10.8470-es verzió. A Sense Agent verziójának azonosításához futtassa a következő PowerShell-parancsot:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Automatizálási beállítás a szervezet eszközeihez
Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét, hogy futnak-e automatizált vizsgálatok, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával hajthatók-e végre bizonyos beállításoktól függenek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:
Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
Lépjen a Rendszerbeállítások>>végpontjai>Eszközcsoportok területre az Engedélyek területen.
Tekintse át az eszközcsoport-szabályzatokat, és tekintse meg a Szervizelési szint oszlopot . Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot.
Eszközcsoportokat is létrehozhat vagy szerkeszthet, hogy az egyes csoportokhoz megfelelő szervizelési szintet állítson be. A Félautomatizálás szint kiválasztása lehetővé teszi az automatikus támadás megszakításának aktiválását manuális jóváhagyás nélkül. Ha ki szeretne zárni egy eszközcsoportot az automatikus elszigetelésből, beállíthatja az automatizálási szintjét automatikus válasz nélkül. Vegye figyelembe, hogy ez a beállítás nem ajánlott, és csak korlátozott számú eszköz esetén ajánlott.
Eszközfelderítési konfiguráció
Az eszközfelderítési beállításokat legalább "Standard felderítés" értékre kell aktiválni. Az eszközfelderítés konfigurálásáról az Eszközfelderítés beállítása című témakörben olvashat.
Megjegyzés:
A támadások megszakítása az eszközök Microsoft Defender víruskereső működési állapotától függetlenül működhet. Az üzemeltetési állapot aktív, passzív vagy EDR blokkmódban is lehet.
Microsoft Defender for Identity előfeltételek
Naplózás beállítása tartományvezérlőkben
A naplózás tartományvezérlőkben való beállításáról A Windows-eseménynaplók naplózási házirendjeinek konfigurálása című témakörben tájékozódhat arról, hogy a szükséges naplózási események konfigurálva legyenek azon a tartományvezérlőn, amelyen a Defender for Identity érzékelő telepítve van.
Műveleti fiókok ellenőrzése
A Defender for Identity lehetővé teszi a helyi Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához a Defender for Identitynek rendelkeznie kell a szükséges engedélyekkel. Alapértelmezés szerint a Defender for Identity érzékelője megszemélyesíti a tartományvezérlő LocalSystem fiókját, és végrehajtja a műveleteket. Mivel az alapértelmezett beállítás módosítható, ellenőrizze, hogy a Defender for Identity rendelkezik-e a szükséges engedélyekkel, vagy használja-e az alapértelmezett LocalSystem-fiókot.
A műveleti fiókokról további információt a Microsoft Defender for Identity műveleti fiókok konfigurálása című témakörben talál.
A Defender for Identity érzékelőt azon a tartományvezérlőn kell üzembe helyezni, ahol az Active Directory-fiókot ki kell kapcsolni.
Megjegyzés:
Ha rendelkezik automatizálással egy felhasználó aktiválásához vagy letiltásához, ellenőrizze, hogy az automatizálás zavarja-e a fennakadásokat. Ha például van egy automatizálás, amely rendszeresen ellenőrzi és kikényszeríti, hogy az összes aktív alkalmazott engedélyezte-e a fiókokat, ez akaratlanul aktiválhatja azokat a fiókokat, amelyeket támadás észlelése közben a rendszer inaktivált.
Microsoft Defender for Cloud Apps előfeltételek
Microsoft Office 365 összekötő
Microsoft Defender for Cloud Apps az összekötőn keresztül kell csatlakoztatni Microsoft Office 365. A Defender for Cloud Apps csatlakoztatásához lásd: A Microsoft 365 csatlakoztatása Microsoft Defender for Cloud Apps.
Alkalmazásirányítás
Az alkalmazásirányítást be kell kapcsolni. A bekapcsolásához tekintse meg az alkalmazásirányítási dokumentációt .
Office 365-höz készült Microsoft Defender előfeltételek
Postaládák helye
A postaládákat Exchange Online kell üzemeltetni.
Postaláda naplózása
A következő postaláda-eseményeket legalább naplózni kell:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
A postaláda-naplózás kezelésével kapcsolatos információkért tekintse át a postaláda-naplózás kezelését ismertető cikket.
A safelinks szabályzatnak jelen kell lennie
Következő lépések
- Részletek és eredmények megtekintése
- Támadáskimaradási kizárások beállítása és kezelése
- E-mail-értesítések lekérése válaszműveletekhez
Kapcsolódó tartalom
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.