Megosztás a következőn keresztül:


Automatikus támadáskimaradás konfigurálása Microsoft Defender XDR

Microsoft Defender XDR hatékony automatizált támadáskimaradási képességeket tartalmaz, amelyekkel megvédheti környezetét a kifinomult, nagy hatású támadásoktól.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus támadáskimaradási képességeket Microsoft Defender XDR. Miután minden beállítás elkészült, megtekintheti és kezelheti az incidensek és a műveletközpont elszigetelési műveleteit. Szükség esetén módosíthatja a beállításokat.

Előfeltételek

A következő előfeltételek szükségesek az automatikus támadási megszakítás konfigurálásához Microsoft Defender XDR:

Követelmény Részletek
Előfizetési követelmények Az alábbi előfizetések egyike:
  • Microsoft 365 E5 vagy A5
  • Microsoft 365 E3 a Microsoft 365 Biztonság E5 csomag bővítménnyel
  • Microsoft 365 E3 az Enterprise Mobility + Security E5 bővítménnyel
  • Microsoft 365 A3 csomag a Microsoft 365 A5 csomag Security bővítménnyel
  • Windows 10 Enterprise E5 vagy A5
  • Windows 11 Nagyvállalati verzió E5 vagy A5
  • Enterprise Mobility + Security (EMS) E5 vagy A5
  • Office 365 E5 csomag vagy A5
  • Végponthoz készült Microsoft Defender (2. csomag)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Office 365-höz készült Defender (2. csomag)
  • Microsoft Defender Vállalati verzió

Lásd: Microsoft Defender XDR licencelési követelmények.

Üzembe helyezési követelmények
  • Üzembe helyezés a Defender-termékekben (például Végponthoz készült Defender, Office 365-höz készült Defender, Defender for Identity és Defender for Cloud Apps)
    • Minél szélesebb az üzembe helyezés, annál nagyobb a védelmi lefedettség. Ha például egy Microsoft Defender for Cloud Apps jelet használ egy bizonyos észlelésben, akkor ez a termék szükséges a vonatkozó konkrét támadási forgatókönyv észleléséhez.
    • Hasonlóképpen, a megfelelő terméket kell üzembe helyezni egy automatizált válaszművelet végrehajtásához. A Végponthoz készült Microsoft Defender például automatikusan tartalmaznia kell egy eszközt.
  • Végponthoz készült Microsoft Defender eszközfelderítése "standard felderítés" értékre van állítva (az "Eszköz tartalmazása" művelet automatikus elindításának előfeltétele)
Engedélyek Az automatikus támadáskimaradási képességek konfigurálásához a következő szerepkörök egyikével kell rendelkeznie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com):
  • Globális rendszergazda
  • Biztonsági rendszergazda
Ha automatizált vizsgálati és válaszképességekkel szeretne dolgozni, például a függőben lévő műveletek áttekintésével, jóváhagyásával vagy elutasításával, olvassa el a Műveletközpont-feladatokhoz szükséges engedélyek című témakört.

Végponthoz készült Microsoft Defender előfeltételek

A Sense-ügyfél minimális verziója (MDE ügyfél)

A Felhasználót tartalmazó művelet működéséhez szükséges minimális segédügynök-verzió a 10.8470-es verzió. A Sense Agent verziójának azonosításához futtassa a következő PowerShell-parancsot:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatizálási beállítás a szervezet eszközeihez

Tekintse át az eszközcsoport-szabályzatok konfigurált automatizálási szintjét, hogy futnak-e automatizált vizsgálatok, és hogy a szervizelési műveletek automatikusan vagy csak az eszközök jóváhagyásával hajthatók-e végre bizonyos beállításoktól függenek. A következő eljárás végrehajtásához globális rendszergazdának vagy biztonsági rendszergazdának kell lennie:

  1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.

  2. Lépjen a Rendszerbeállítások>>végpontjai>Eszközcsoportok területre az Engedélyek területen.

  3. Tekintse át az eszközcsoport-szabályzatokat, és tekintse meg a Szervizelési szint oszlopot . Javasoljuk, hogy használja a Teljes – fenyegetések automatikus elhárítása parancsot.

Eszközcsoportokat is létrehozhat vagy szerkeszthet, hogy az egyes csoportokhoz megfelelő szervizelési szintet állítson be. A Félautomatizálás szint kiválasztása lehetővé teszi az automatikus támadás megszakításának aktiválását manuális jóváhagyás nélkül. Ha ki szeretne zárni egy eszközcsoportot az automatikus elszigetelésből, beállíthatja az automatizálási szintjét automatikus válasz nélkül. Vegye figyelembe, hogy ez a beállítás nem ajánlott, és csak korlátozott számú eszköz esetén ajánlott.

Eszközfelderítési konfiguráció

Az eszközfelderítési beállításokat legalább "Standard felderítés" értékre kell aktiválni. Az eszközfelderítés konfigurálásáról az Eszközfelderítés beállítása című témakörben olvashat.

Megjegyzés:

A támadások megszakítása az eszközök Microsoft Defender víruskereső működési állapotától függetlenül működhet. Az üzemeltetési állapot aktív, passzív vagy EDR blokkmódban is lehet.

Microsoft Defender for Identity előfeltételek

Naplózás beállítása tartományvezérlőkben

A naplózás tartományvezérlőkben való beállításáról A Windows-eseménynaplók naplózási házirendjeinek konfigurálása című témakörben tájékozódhat arról, hogy a szükséges naplózási események konfigurálva legyenek azon a tartományvezérlőn, amelyen a Defender for Identity érzékelő telepítve van.

Műveleti fiókok ellenőrzése

A Defender for Identity lehetővé teszi a helyi Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához a Defender for Identitynek rendelkeznie kell a szükséges engedélyekkel. Alapértelmezés szerint a Defender for Identity érzékelője megszemélyesíti a tartományvezérlő LocalSystem fiókját, és végrehajtja a műveleteket. Mivel az alapértelmezett beállítás módosítható, ellenőrizze, hogy a Defender for Identity rendelkezik-e a szükséges engedélyekkel, vagy használja-e az alapértelmezett LocalSystem-fiókot.

A műveleti fiókokról további információt a Microsoft Defender for Identity műveleti fiókok konfigurálása című témakörben talál.

A Defender for Identity érzékelőt azon a tartományvezérlőn kell üzembe helyezni, ahol az Active Directory-fiókot ki kell kapcsolni.

Megjegyzés:

Ha rendelkezik automatizálással egy felhasználó aktiválásához vagy letiltásához, ellenőrizze, hogy az automatizálás zavarja-e a fennakadásokat. Ha például van egy automatizálás, amely rendszeresen ellenőrzi és kikényszeríti, hogy az összes aktív alkalmazott engedélyezte-e a fiókokat, ez akaratlanul aktiválhatja azokat a fiókokat, amelyeket támadás észlelése közben a rendszer inaktivált.

Microsoft Defender for Cloud Apps előfeltételek

Microsoft Office 365 összekötő

Microsoft Defender for Cloud Apps az összekötőn keresztül kell csatlakoztatni Microsoft Office 365. A Defender for Cloud Apps csatlakoztatásához lásd: A Microsoft 365 csatlakoztatása Microsoft Defender for Cloud Apps.

Alkalmazásirányítás

Az alkalmazásirányítást be kell kapcsolni. A bekapcsolásához tekintse meg az alkalmazásirányítási dokumentációt .

Office 365-höz készült Microsoft Defender előfeltételek

Postaládák helye

A postaládákat Exchange Online kell üzemeltetni.

Postaláda naplózása

A következő postaláda-eseményeket legalább naplózni kell:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

A postaláda-naplózás kezelésével kapcsolatos információkért tekintse át a postaláda-naplózás kezelését ismertető cikket.

Következő lépések

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.