Konfigurace automatického přerušení útoku v Microsoft Defender XDR

Microsoft Defender XDR zahrnuje výkonné funkce automatického přerušení útoků, které můžou chránit vaše prostředí před sofistikovanými útoky s vysokým dopadem.

Tento článek popisuje, jak nakonfigurovat funkce automatického přerušení útoku v Microsoft Defender XDR. Po nastavení můžete zobrazit a spravovat akce zahrnutí v incidentech a v Centru akcí. A v případě potřeby můžete nastavení změnit.

Požadavky

Níže jsou uvedené požadavky pro konfiguraci automatického přerušení útoku v Microsoft Defender XDR:

Požadavek	Podrobnosti
Požadavky na předplatné	Jedno z těchto předplatných: Microsoft 365 E5 nebo A5 Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security Microsoft 365 E3 s doplňkem Enterprise Mobility + Security E5 Microsoft 365 A3 doplňkem zabezpečení Microsoft 365 A5 Windows 10 Enterprise E5 nebo A5 Windows 11 Enterprise E5 nebo A5 Enterprise Mobility + Security (EMS) E5 nebo A5 Office 365 E5 nebo A5 Microsoft Defender for Endpoint (Plán 2) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Defender pro Office 365 (Plán 2) Microsoft Defender pro firmy Viz Microsoft Defender XDR licenční požadavky.
Požadavky na nasazení	Nasazení napříč produkty Defender (např. Defender for Endpoint, Defender pro Office 365, Defender for Identity a Defender for Cloud Apps) Tím širší je nasazení, tím větší je pokrytí ochrany. Pokud se například při určité detekci používá signál Microsoft Defender for Cloud Apps, je tento produkt nutný k detekci relevantního konkrétního scénáře útoku. Podobně by se měl nasadit příslušný produkt, aby se spustila automatizovaná akce odpovědi. Například Microsoft Defender for Endpoint musí automaticky obsahovat zařízení. Microsoft Defender for Endpoint zjišťování zařízení je nastavené na standardní zjišťování (předpoklad pro automatické spuštění akce "Obsahovat zařízení").
Oprávnění	Pokud chcete nakonfigurovat možnosti automatického přerušení útoku, musíte mít v Microsoft Entra ID (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) přiřazenou jednu z následujících rolí: Globální správce Správce zabezpečení Pokud chcete pracovat s funkcemi automatizovaného vyšetřování a reakce, například kontrolou, schvalováním nebo odmítnutím čekajících akcí, přečtěte si téma Požadovaná oprávnění pro úlohy Centra akcí.

požadavky na Microsoft Defender for Endpoint

Minimální verze klienta Služby Sense (MDE klient)

Minimální verze agenta Sense, která se vyžaduje k tomu, aby akce Obsahovat uživatele fungovala, je verze 10.8470. Verzi agenta Sense na zařízení můžete identifikovat spuštěním následujícího příkazu PowerShellu:

Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection -Name "InstallLocation"

Nastavení automatizace pro zařízení vaší organizace

Zkontrolujte nakonfigurovanou úroveň automatizace pro zásady skupiny zařízení, jestli se spouští automatizovaná šetření a jestli nápravné akce probíhají automaticky nebo jenom po schválení pro vaše zařízení, závisí na určitých nastaveních. Abyste mohli provést následující postup, musíte být globálním správcem nebo správcem zabezpečení:

1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.

2. V části Oprávnění přejděte naNastavení>systému>Koncové body>Skupiny zařízení.

3. Zkontrolujte zásady skupiny zařízení a podívejte se na sloupec Úroveň nápravy . Doporučujeme použít úplné – automaticky napravit hrozby.

Můžete také vytvořit nebo upravit skupiny zařízení a nastavit odpovídající úroveň nápravy pro každou skupinu. Výběr úrovně poloautomatiky umožňuje aktivovat automatické přerušení útoku bez nutnosti ručního schválení. Pokud chcete vyloučit skupinu zařízení z automatizovaného omezování, můžete nastavit její úroveň automatizace na žádnou automatizovanou odpověď. Mějte na paměti, že toto nastavení se nedoporučuje a mělo by se provádět pouze pro omezený počet zařízení.

Konfigurace zjišťování zařízení

Nastavení zjišťování zařízení musí být aktivované minimálně na standardní zjišťování. Informace o konfiguraci zjišťování zařízení najdete v tématu Nastavení zjišťování zařízení.

Poznámka

Přerušení útoku může fungovat na zařízeních nezávisle na Microsoft Defender stavu antivirové ochrany. Provozní stav může být v aktivním, pasivním nebo blokovém režimu EDR.

požadavky na Microsoft Defender for Identity

Nastavení auditování v řadičích domény

Zjistěte, jak nastavit auditování v řadičích domény v tématu Konfigurace zásad auditu pro protokoly událostí Windows , abyste zajistili, že jsou na řadičích domény, kde je nasazený senzor Defenderu for Identity, nakonfigurované požadované události auditu.

Ověření účtů akcí

Defender for Identity umožňuje provádět nápravné akce, které cílí místní Active Directory účty v případě ohrožení identity. K provedení těchto akcí musí mít Defender for Identity požadovaná oprávnění. Ve výchozím nastavení senzor Defenderu for Identity zosobňuje účet LocalSystem řadiče domény a provádí tyto akce. Vzhledem k tomu, že výchozí nastavení je možné změnit, ověřte, že defender for Identity má požadovaná oprávnění nebo používá výchozí účet LocalSystem.

Další informace o účtech akcí najdete v tématu Konfigurace účtů Microsoft Defender for Identity akcí.

Senzor Defenderu for Identity musí být nasazený na řadič domény, kde má být vypnutý účet Active Directory.

Poznámka

Pokud používáte automatizaci pro aktivaci nebo blokování uživatele, zkontrolujte, jestli tato automatizace nemůže narušovat přerušení. Pokud například existuje automatizace, která pravidelně kontroluje a vynucuje, že všichni aktivní zaměstnanci mají povolené účty, může to neúmyslně aktivovat účty, které byly deaktivovány přerušením útoku, zatímco je zjištěn útok.

požadavky na Microsoft Defender for Cloud Apps

konektor Microsoft Office 365

Microsoft Defender for Cloud Apps musí být připojen k Microsoft Office 365 prostřednictvím konektoru. Informace o připojení Defender for Cloud Apps najdete v tématu Připojení Microsoftu 365 k Microsoft Defender for Cloud Apps.

Zásady správného řízení aplikací

Zásady správného řízení aplikací musí být zapnuté. Informace o zapnutí najdete v dokumentaci k zásadám správného řízení aplikací .

požadavky na Microsoft Defender pro Office 365

Umístění poštovních schránek

Poštovní schránky musí být hostované v Exchange Online.

Protokolování auditu poštovní schránky

Minimálně je potřeba auditovat následující události poštovní schránky:

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• Pevné odstranění

Informace o správě auditování poštovních schránek najdete v tématu Správa auditování poštovních schránek.

Musí existovat zásady bezpečných odkazů.

Další kroky

• Zobrazení podrobností a výsledků
• Nastavení a správa vyloučení přerušení útoku
• Získání e-mailových oznámení o akcích odpovědí

Související obsah

• Automatické přerušení útoku v Microsoft Defender XDR
• Automatické přerušení útoku pro SAP

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.