在Microsoft Defender XDR中配置自动攻击中断
Microsoft Defender XDR包括强大的自动攻击中断功能,可保护环境免受复杂的高影响攻击。
本文介绍如何在Microsoft Defender XDR中配置自动攻击中断功能。 完成设置后,可以在事件和作中心查看和管理包含作。 如有必要,还可以对设置进行更改。
先决条件
以下是在 Microsoft Defender XDR 中配置自动攻击中断的先决条件:
要求 | 详细信息 |
---|---|
订阅要求 | 以下订阅之一:
|
部署要求 |
|
权限 | 若要配置自动攻击中断功能,必须在Microsoft Entra ID () 或Microsoft 365 管理中心 (https://portal.azure.com) 中https://admin.microsoft.com分配以下角色之一:
|
Microsoft Defender for Endpoint先决条件
最低感知客户端版本 (MDE 客户端)
“包含用户”作运行所需的最低感知代理版本为 v10.8470。 可以通过运行以下 PowerShell 命令来标识设备上的 Sense Agent 版本:
Get-ItemProperty -Path “Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection” -Name “InstallLocation”
组织设备的自动化设置
查看设备组策略配置的自动化级别、自动调查是否运行,以及是自动执行修正作还是仅在设备批准后执行修正作取决于某些设置。 必须是全局管理员或安全管理员才能执行以下过程:
转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
转到“权限”下的“系统>设置>终结点>”“设备组”。
查看设备组策略并查看 “修正级别” 列。 建议 使用完全 - 自动修正威胁。
还可以创建或编辑设备组,为每个组设置适当的修正级别。 选择 Semi 自动化 级别可以触发自动攻击中断,而无需手动批准。 若要从自动包含中排除设备组,可以将其自动化级别设置为 无自动响应。 请注意,不建议使用此设置,只能对有限数量的设备执行此设置。
设备发现配置
设备发现设置必须至少激活为“Standard发现”。 在设置设备发现中了解如何配置 设备发现。
注意
攻击中断可以作用于与设备Microsoft Defender防病毒作状态无关的设备。 作状态可以是主动、被动或 EDR 块模式。
Microsoft Defender for Identity 先决条件
在域控制器中设置审核
了解如何在域控制器中设置审核,请参阅 配置 Windows 事件日志的审核策略 ,以确保在部署 Defender for Identity 传感器的域控制器上配置所需的审核事件。
验证作帐户
Defender for Identity 允许在标识泄露时针对本地 Active Directory帐户采取修正作。 若要执行这些作,Defender for Identity 需要具有执行此作所需的权限。 默认情况下,Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行作。 由于可以更改默认值,因此请验证 Defender for Identity 是否具有所需的权限或使用默认的 LocalSystem 帐户。
可以在配置作帐户中找到有关作帐户的详细信息Microsoft Defender for Identity作帐户
需要在要关闭 Active Directory 帐户的域控制器上部署 Defender for Identity 传感器。
注意
如果有自动化来激活或阻止用户,检查自动化是否会干扰中断。 例如,如果有一个自动化来定期检查并强制所有活动员工都启用了帐户,则可能会在检测到攻击时无意中激活因攻击中断而停用的帐户。
Microsoft Defender for Cloud Apps先决条件
Microsoft Office 365连接器
Microsoft Defender for Cloud Apps必须通过连接器连接到Microsoft Office 365。 若要连接Defender for Cloud Apps,请参阅将 Microsoft 365 连接到Microsoft Defender for Cloud Apps。
应用治理
必须启用应用治理。 请参阅 应用治理文档 以将其打开。
Microsoft Defender for Office 365先决条件
邮箱位置
邮箱必须托管在 Exchange Online 中。
邮箱审核日志记录
以下邮箱事件需要按最低要求进行审核:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
查看 管理邮箱审核 ,了解如何管理邮箱审核。
需要存在安全链接策略
后续步骤
相关内容
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。