通过

在Microsoft Defender XDR中配置自动攻击中断

  • 项目

Microsoft Defender XDR包括强大的自动攻击中断功能,可保护环境免受复杂的高影响攻击。

本文介绍如何在Microsoft Defender XDR中配置自动攻击中断功能。 完成设置后,可以在事件和作中心查看和管理包含作。 如有必要,还可以对设置进行更改。

先决条件

以下是在 Microsoft Defender XDR 中配置自动攻击中断的先决条件:

要求 详细信息
订阅要求 以下订阅之一:
  • Microsoft 365 E5 或 A5
  • 使用Microsoft 365 E5 安全性加载项Microsoft 365 E3
  • 使用 企业移动性 + 安全性 E5 加载项Microsoft 365 E3
  • 使用 Microsoft 365 A5 安全性加载项Microsoft 365 A3
  • Windows 10 企业版 E5 或 A5
  • Windows 11 企业版 E5 或 A5
  • 企业移动性 + 安全性 (EMS) E5 或 A5
  • Office 365 E5 或 A5
  • Microsoft Defender for Endpoint (计划 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Defender for Office 365 (计划 2)
  • Microsoft Defender 商业版

请参阅Microsoft Defender XDR许可要求
部署要求
  • 跨 Defender 产品 (部署,例如 Defender for Endpoint、Defender for Office 365、Defender for Identity 和 Defender for Cloud Apps)
    • 部署范围越广,保护覆盖面越大。 例如,如果在某个检测中使用了Microsoft Defender for Cloud Apps信号,则需要此产品来检测相关的特定攻击方案。
    • 同样,应部署相关产品以执行自动响应作。 例如,需要Microsoft Defender for Endpoint才能自动包含设备。
  • Microsoft Defender for Endpoint的设备发现设置为“标准发现”, (自动启动“包含设备”作的先决条件)
权限 若要配置自动攻击中断功能,必须在Microsoft Entra ID () 或Microsoft 365 管理中心 (https://portal.azure.com) 中https://admin.microsoft.com分配以下角色之一:
  • 全局管理员
  • 安全管理员
若要使用自动调查和响应功能(例如通过查看、批准或拒绝挂起的作),请参阅 作中心任务的所需权限

Microsoft Defender for Endpoint先决条件

最低感知客户端版本 (MDE 客户端)

“包含用户”作运行所需的最低感知代理版本为 v10.8470。 可以通过运行以下 PowerShell 命令来标识设备上的 Sense Agent 版本:

Get-ItemProperty -Path “Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection” -Name “InstallLocation”

组织设备的自动化设置

查看设备组策略配置的自动化级别、自动调查是否运行,以及是自动执行修正作还是仅在设备批准后执行修正作取决于某些设置。 必须是全局管理员或安全管理员才能执行以下过程:

  1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。

  2. 转到“权限”下的“系统>设置>终结点>”“设备组”。

  3. 查看设备组策略并查看 “修正级别” 列。 建议 使用完全 - 自动修正威胁

还可以创建或编辑设备组,为每个组设置适当的修正级别。 选择 Semi 自动化 级别可以触发自动攻击中断,而无需手动批准。 若要从自动包含中排除设备组,可以将其自动化级别设置为 无自动响应。 请注意,不建议使用此设置,只能对有限数量的设备执行此设置。

设备发现配置

设备发现设置必须至少激活为“Standard发现”。 在设置设备发现中了解如何配置 设备发现

注意

攻击中断可以作用于与设备Microsoft Defender防病毒作状态无关的设备。 作状态可以是主动、被动或 EDR 块模式。

Microsoft Defender for Identity 先决条件

在域控制器中设置审核

了解如何在域控制器中设置审核,请参阅 配置 Windows 事件日志的审核策略 ,以确保在部署 Defender for Identity 传感器的域控制器上配置所需的审核事件。

验证作帐户

Defender for Identity 允许在标识泄露时针对本地 Active Directory帐户采取修正作。 若要执行这些作,Defender for Identity 需要具有执行此作所需的权限。 默认情况下,Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行作。 由于可以更改默认值,因此请验证 Defender for Identity 是否具有所需的权限或使用默认的 LocalSystem 帐户。

可以在配置作帐户中找到有关作帐户的详细信息Microsoft Defender for Identity作帐户

需要在要关闭 Active Directory 帐户的域控制器上部署 Defender for Identity 传感器。

注意

如果有自动化来激活或阻止用户,检查自动化是否会干扰中断。 例如,如果有一个自动化来定期检查并强制所有活动员工都启用了帐户,则可能会在检测到攻击时无意中激活因攻击中断而停用的帐户。

Microsoft Defender for Cloud Apps先决条件

Microsoft Office 365连接器

Microsoft Defender for Cloud Apps必须通过连接器连接到Microsoft Office 365。 若要连接Defender for Cloud Apps,请参阅将 Microsoft 365 连接到Microsoft Defender for Cloud Apps

应用治理

必须启用应用治理。 请参阅 应用治理文档 以将其打开。

Microsoft Defender for Office 365先决条件

邮箱位置

邮箱必须托管在 Exchange Online 中。

邮箱审核日志记录

以下邮箱事件需要按最低要求进行审核:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

查看 管理邮箱审核 ,了解如何管理邮箱审核。

后续步骤

相关内容

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区