Aracılığıyla paylaş

Microsoft Defender XDR'de otomatik saldırı kesintisi yapılandırma

  • Makale

Microsoft Defender XDR, ortamınızı gelişmiş, yüksek etkili saldırılara karşı koruyabilen güçlü otomatik saldırı kesintisi özellikleri içerir.

Bu makalede, Microsoft Defender XDR'da otomatik saldırı kesintisi özelliklerinin nasıl yapılandırıldığı açıklanır. Her şey ayarlandıktan sonra Olaylar'da ve İşlem merkezinde kapsama eylemlerini görüntüleyebilir ve yönetebilirsiniz. Gerekirse ayarlarda değişiklik yapabilirsiniz.

Önkoşullar

Microsoft Defender XDR'de otomatik saldırı kesintisini yapılandırma önkoşulları şunlardır:

Gereksinim Ayrıntılar
Abonelik gereksinimleri Şu aboneliklerden biri:
  • Microsoft 365 E5 veya A5
  • Microsoft 365 E5 Güvenlik eklentisiyle Microsoft 365 E3
  • Enterprise Mobility + Security E5 eklentisiyle Microsoft 365 E3
  • Microsoft 365 A5 Güvenliği eklentisiyle Microsoft 365 A3
  • Windows 10 Enterprise E5 veya A5
  • E5 veya A5 Windows 11 Enterprise
  • Enterprise Mobility + Security (EMS) E5 veya A5
  • Office 365 E5 veya A5
  • Uç Nokta için Microsoft Defender (Plan 2)
  • Kimlik için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Office 365 için Defender (Plan 2)
  • İş için Microsoft Defender

Bkz. lisanslama gereksinimlerini Microsoft Defender XDR.
Dağıtım gereksinimleri
  • Defender ürünleri arasında dağıtım (örneğin, Uç Nokta için Defender, Office 365 için Defender, Kimlik için Defender ve Defender for Cloud Apps)
    • Dağıtım ne kadar genişse koruma kapsamı da o kadar büyük olur. Örneğin, belirli bir algılamada Microsoft Defender for Cloud Apps sinyali kullanılıyorsa ilgili saldırı senaryolarını algılamak için bu ürün gereklidir.
    • Benzer şekilde, otomatik bir yanıt eylemi yürütmek için ilgili ürünün dağıtılması gerekir. Örneğin, otomatik olarak bir cihaz içermek için Uç Nokta için Microsoft Defender gerekir.
  • Uç Nokta için Microsoft Defender'nin cihaz keşfi 'standart bulma' olarak ayarlanmıştır ("Cihazı İçerme" eyleminin otomatik başlatılması için önkoşul)
İzinler Otomatik saldırı kesintisi özelliklerini yapılandırmak için, Microsoft Entra ID (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com):
  • Genel Yönetici
  • Güvenlik Yöneticisi
Bekleyen eylemleri gözden geçirme, onaylama veya reddetme gibi otomatik araştırma ve yanıt özellikleriyle çalışmak için bkz. İşlem merkezi görevleri için gerekli izinler.

Uç Nokta için Microsoft Defender önkoşulları

En Düşük Akıllı İstemci sürümü (MDE istemcisi)

Kullanıcı İçer eyleminin çalışması için gereken En Düşük Akıllı Aracı sürümü v10.8470'tir. Aşağıdaki PowerShell komutunu çalıştırarak bir cihazdaki Sense Agent sürümünü tanımlayabilirsiniz:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Kuruluş cihazlarınız için otomasyon ayarı

Cihaz grubu ilkeleriniz için yapılandırılan otomasyon düzeyini, otomatik araştırmaların çalışıp çalışmadığını ve düzeltme eylemlerinin otomatik olarak mı yoksa yalnızca cihazlarınız için onay üzerine mi gerçekleştirildiğinin belirli ayarlara bağlı olup olmadığını gözden geçirin. Aşağıdaki yordamı gerçekleştirmek için genel yönetici veya güvenlik yöneticisi olmanız gerekir:

  1. Microsoft Defender portalına (https://security.microsoft.com) gidin ve oturum açın.

  2. İzinler'in> altında Sistem>Ayarları>Uç NoktalarıCihaz grupları'na gidin.

  3. Cihaz grubu ilkelerinizi gözden geçirin ve Düzeltme düzeyi sütununa bakın. Tam - tehditleri otomatik olarak düzeltmenizi öneririz.

Ayrıca, her grup için uygun düzeltme düzeyini ayarlamak için cihaz gruplarınızı oluşturabilir veya düzenleyebilirsiniz. Yarı otomasyon düzeyinin seçilmesi, el ile onay gerekmeden otomatik saldırı kesintisinin tetiklenmesine olanak tanır. Bir cihaz grubunu otomatik kapsamanın dışında tutmak için, otomatik yanıt olmadan otomasyon düzeyini ayarlayabilirsiniz. Bu ayarın kesinlikle önerilmez ve yalnızca sınırlı sayıda cihaz için yapılması gerektiğini unutmayın.

Cihaz bulma yapılandırması

Cihaz bulma ayarlarının en az "Standart Bulma" olarak etkinleştirilmesi gerekir. Cihaz bulmayı ayarlama bölümünde cihaz bulmayı yapılandırmayı öğrenin.

Not

Saldırı kesintisi, bir cihazın Microsoft Defender Virüsten Koruma çalışma durumundan bağımsız olarak cihazlarda işlem yapabilir. Çalışma durumu Etkin, Pasif veya EDR Blok Modunda olabilir.

Kimlik için Microsoft Defender önkoşulları

Etki alanı denetleyicilerinde denetimi ayarlama

Kimlik için Defender algılayıcısının dağıtıldığı etki alanı denetleyicilerinde gerekli denetim olaylarının yapılandırıldığından emin olmak için Windows olay günlükleri için denetim ilkelerini yapılandırma bölümündeki etki alanı denetleyicilerinde denetimi ayarlamayı öğrenin.

Eylem hesaplarını doğrulama

Kimlik için Defender, kimliğin gizliliğinin ihlal edilmesi durumunda şirket içi Active Directory hesapları hedefleyen düzeltme eylemleri gerçekleştirmenize olanak tanır. Bu eylemleri gerçekleştirmek için Kimlik için Defender'ın bunu yapmak için gerekli izinlere sahip olması gerekir. Varsayılan olarak, Kimlik için Defender algılayıcısı etki alanı denetleyicisinin LocalSystem hesabını taklit eder ve eylemleri gerçekleştirir. Varsayılan değer değiştirilebildiği için, Kimlik için Defender'ın gerekli izinlere sahip olduğunu veya varsayılan LocalSystem hesabını kullandığını doğrulayın.

Eylem hesapları hakkında daha fazla bilgiyi Kimlik için Microsoft Defender eylem hesaplarını yapılandırma bölümünde bulabilirsiniz

Kimlik için Defender algılayıcısının Active Directory hesabının kapatılacağı etki alanı denetleyicisine dağıtılması gerekir.

Not

Bir kullanıcıyı etkinleştirmek veya engellemek için otomasyona sahipseniz, otomasyonun kesintiye engel olup olmadığını denetleyin. Örneğin, tüm etkin çalışanların hesapları etkinleştirdiğini düzenli olarak denetleyen ve zorunlu kılan bir otomasyon varsa, bu işlem saldırı algılanırken saldırı kesintisi nedeniyle devre dışı bırakılan hesapları istemeden etkinleştirebilir.

Microsoft Defender for Cloud Apps önkoşulları

bağlayıcıyı Microsoft Office 365

Microsoft Defender for Cloud Apps bağlayıcı aracılığıyla Microsoft Office 365 bağlanmalıdır. Defender for Cloud Apps bağlanmak için bkz. Microsoft 365'i Microsoft Defender for Cloud Apps bağlama.

Uygulama İdaresi

Uygulama İdaresi açık olmalıdır. Açmak için uygulama idaresi belgelerine bakın.

Office 365 için Microsoft Defender önkoşulları

Posta kutuları konumu

Posta kutularının Exchange Online'de barındırılması gerekir.

Posta kutusu denetim günlüğü

Aşağıdaki posta kutusu olaylarının en düşük düzeyde denetlenmiş olması gerekir:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Posta kutusu denetimini yönetme hakkında bilgi edinmek için posta kutusu denetimini yönetme makalesini gözden geçirin.

Sonraki adımlar

İlgili içerik

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.