Delen via

Automatische onderbreking van aanvallen configureren in Microsoft Defender XDR

  • Artikel

Microsoft Defender XDR bevat krachtige mogelijkheden voor het onderbreken van geautomatiseerde aanvallen die uw omgeving kunnen beschermen tegen geavanceerde aanvallen met een hoge impact.

In dit artikel wordt beschreven hoe u mogelijkheden voor automatische aanvalsonderbreking configureert in Microsoft Defender XDR. Nadat u alles hebt ingesteld, kunt u insluitingsacties weergeven en beheren in Incidenten en het Actiecentrum. En, indien nodig, kunt u wijzigingen aanbrengen in instellingen.

Vereisten

Hier volgen vereisten voor het configureren van automatische onderbreking van aanvallen in Microsoft Defender XDR:

Vereiste Details
Abonnementsvereisten Een van deze abonnementen:
  • Microsoft 365 E5 of A5
  • Microsoft 365 E3 met de Microsoft 365 E5 Security-invoegtoepassing
  • Microsoft 365 E3 met de Enterprise Mobility + Security E5-invoegtoepassing
  • Microsoft 365 A3 met de Microsoft 365 A5 Security-invoegtoepassing
  • Windows 10 Enterprise E5 of A5
  • Windows 11 Enterprise E5 of A5
  • Enterprise Mobility + Security (EMS) E5 of A5
  • Office 365 E5 of A5
  • Microsoft Defender voor Eindpunt (abonnement 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender voor Office 365 (abonnement 2)
  • Microsoft Defender voor Bedrijven

Zie Microsoft Defender XDR licentievereisten.
Implementatievereisten
  • Implementatie in Defender-producten (bijvoorbeeld Defender voor Eindpunt, Defender voor Office 365, Defender for Identity en Defender for Cloud Apps)
    • Hoe breder de implementatie, hoe groter de beschermingsdekking is. Als bijvoorbeeld een Microsoft Defender for Cloud Apps-signaal wordt gebruikt bij een bepaalde detectie, is dit product vereist om het relevante specifieke aanvalsscenario te detecteren.
    • Op dezelfde manier moet het relevante product worden geïmplementeerd om een geautomatiseerde reactieactie uit te voeren. Microsoft Defender voor Eindpunt moet bijvoorbeeld automatisch een apparaat bevatten.
  • Microsoft Defender voor Eindpunt apparaatdetectie is ingesteld op 'standaarddetectie' (vereiste voor het automatisch starten van de actie Apparaat bevatten)
Machtigingen Als u mogelijkheden voor automatische aanvalsonderbreking wilt configureren, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in de Microsoft 365-beheercentrum (https://admin.microsoft.com):
  • Globale beheerder
  • Beveiligingsbeheerder
Zie Vereiste machtigingen voor actiecentrumtaken als u wilt werken met geautomatiseerde onderzoeks- en reactiemogelijkheden, zoals het controleren, goedkeuren of weigeren van acties die in behandeling zijn.

vereisten voor Microsoft Defender voor Eindpunt

Minimale sense-clientversie (MDE-client)

De minimale sense-agentversie die is vereist om de actie Gebruiker bevatten te laten werken, is v10.8470. U kunt de versie van de Sense Agent op een apparaat identificeren door de volgende PowerShell-opdracht uit te voeren:

Get-ItemProperty -Pad 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatiseringsinstelling voor apparaten van uw organisatie

Controleer het geconfigureerde automatiseringsniveau voor uw apparaatgroepsbeleid, of geautomatiseerde onderzoeken worden uitgevoerd en of herstelacties automatisch of alleen na goedkeuring voor uw apparaten worden uitgevoerd, zijn afhankelijk van bepaalde instellingen. U moet een globale beheerder of beveiligingsbeheerder zijn om de volgende procedure uit te voeren:

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Ga naar Systeeminstellingen>>Eindpunten>Apparaatgroepen onder Machtigingen.

  3. Controleer uw apparaatgroepsbeleid en bekijk de kolom Herstelniveau . U wordt aangeraden Volledig te gebruiken: bedreigingen automatisch herstellen.

U kunt ook uw apparaatgroepen maken of bewerken om het juiste herstelniveau voor elke groep in te stellen. Als u het niveau Semi-automatisering selecteert, kan automatische aanvalsonderbreking worden geactiveerd zonder dat handmatige goedkeuring nodig is. Als u een apparaatgroep wilt uitsluiten van geautomatiseerde insluiting, kunt u het automatiseringsniveau instellen op geen geautomatiseerd antwoord. Houd er rekening mee dat deze instelling niet sterk wordt aanbevolen en alleen moet worden uitgevoerd voor een beperkt aantal apparaten.

Configuratie van apparaatdetectie

Instellingen voor apparaatdetectie moeten minimaal worden geactiveerd op Standaarddetectie. Meer informatie over het configureren van apparaatdetectie in Apparaatdetectie instellen.

Opmerking

Aanvalsonderbreking kan optreden op apparaten die onafhankelijk zijn van de Microsoft Defender Antivirus-besturingssysteemstatus van een apparaat. De bedrijfsstatus kan actief, passief of EDR-blokmodus zijn.

vereisten voor Microsoft Defender for Identity

Controle instellen op domeincontrollers

Meer informatie over het instellen van controle in domeincontrollers in Auditbeleid configureren voor Windows-gebeurtenislogboeken om ervoor te zorgen dat vereiste controlegebeurtenissen worden geconfigureerd op de domeincontrollers waarop de Defender for Identity-sensor is geïmplementeerd.

Actieaccounts valideren

Met Defender for Identity kunt u herstelacties uitvoeren die gericht zijn op on-premises Active Directory-accounts in het geval dat een identiteit wordt gecompromitteerd. Als u deze acties wilt uitvoeren, moet Defender for Identity over de vereiste machtigingen beschikken om dit te doen. Standaard imiteert de Defender for Identity-sensor het LocalSystem-account van de domeincontroller en voert de acties uit. Omdat de standaardwaarde kan worden gewijzigd, controleert u of Defender for Identity de vereiste machtigingen heeft of het standaard LocalSystem-account gebruikt.

Meer informatie over de actieaccounts vindt u in Microsoft Defender for Identity actieaccounts configureren

De Defender for Identity-sensor moet worden geïmplementeerd op de domeincontroller waarop het Active Directory-account moet worden uitgeschakeld.

Opmerking

Als u automatisering hebt ingesteld om een gebruiker te activeren of te blokkeren, controleert u of de automatisering onderbrekingen kan verstoren. Als er bijvoorbeeld een automatisering is ingesteld om regelmatig te controleren en af te dwingen dat alle actieve werknemers accounts hebben ingeschakeld, kan dit onbedoeld accounts activeren die zijn gedeactiveerd door aanvalsonderbreking tijdens het detecteren van een aanval.

vereisten voor Microsoft Defender for Cloud Apps

Microsoft Office 365 connector

Microsoft Defender for Cloud Apps moet via de connector zijn verbonden met Microsoft Office 365. Zie Microsoft 365 verbinden met Microsoft Defender for Cloud Apps om verbinding te maken met Defender for Cloud Apps.

App-beheer

App Governance moet zijn ingeschakeld. Raadpleeg de documentatie over app-beheer om deze in te schakelen.

vereisten voor Microsoft Defender voor Office 365

Locatie van postvakken

Postvakken moeten worden gehost in Exchange Online.

Logboekregistratie van postvakcontrole

De volgende postvakgebeurtenissen moeten minimaal worden gecontroleerd:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Raadpleeg Postvakcontrole beheren voor meer informatie over het beheren van postvakcontrole.

Volgende stappen

Verwante onderwerpen

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.