Konfigurieren automatischer Angriffsunterbrechungsfunktionen in Microsoft Defender XDR
Microsoft Defender XDR umfasst leistungsstarke automatisierte Angriffsunterbrechungsfunktionen, die Ihre Umgebung vor komplexen, schwerwiegenden Angriffen schützen können.
In diesem Artikel wird beschrieben, wie Sie funktionen für automatische Angriffsunterbrechungen in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:
- Überprüfen Sie die Voraussetzungen.
- Überprüfen oder ändern Sie die automatisierten Antwortausschlüsse für Benutzer.
Nachdem Sie alles eingerichtet haben, können Sie eindämmungsaktionen in Incidents und im Info-Center anzeigen und verwalten. Und bei Bedarf können Sie Änderungen an den Einstellungen vornehmen.
Voraussetzungen für automatische Angriffsunterbrechungen in Microsoft Defender XDR
Anforderung | Details |
---|---|
Abonnementanforderungen | Eines dieser Abonnements:
Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen. |
Bereitstellungsanforderungen |
|
Berechtigungen | Zum Konfigurieren automatischer Angriffsunterbrechungsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
|
Microsoft Defender for Endpoint Voraussetzungen
Mindestversion des Sense-Clients (MDE Client)
Die mindestens erforderliche Version des Sense-Agents, damit die Aktion Benutzer enthalten funktioniert, ist v10.8470. Sie können die Version des Sense-Agents auf einem Gerät ermitteln, indem Sie den folgenden PowerShell-Befehl ausführen:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Automatisierungseinstellung für Geräte Ihrer Organisation
Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien, ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:
Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.
Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Um eine Gerätegruppe vom automatisierten Einschluss auszuschließen, legen Sie die Automatisierungsebene auf keine automatisierte Antwort fest. Beachten Sie, dass dies nicht dringend empfohlen wird und nur für eine begrenzte Anzahl von Geräten erfolgen sollte.
Konfiguration der Geräteermittlung
Die Geräteermittlungseinstellungen müssen mindestens für "Standard Ermittlung" aktiviert werden. Informationen zum Konfigurieren der Geräteermittlung finden Sie unter Einrichten der Geräteermittlung.
Hinweis
Angriffsunterbrechungen können auf Geräten unabhängig vom Microsoft Defender Antivirus-Betriebszustand eines Geräts auftreten. Der Betriebszustand kann sich im Aktiv-, Passiv- oder EDR-Blockmodus befinden.
Microsoft Defender for Identity Voraussetzungen
Einrichten der Überwachung auf Domänencontrollern
Informationen zum Einrichten der Überwachung auf Domänencontrollern finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle , um sicherzustellen, dass erforderliche Überwachungsereignisse auf den Domänencontrollern konfiguriert werden, auf denen der Defender for Identity-Sensor bereitgestellt wird.
Überprüfen von Aktionskonten
Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokales Active Directory Konten durchzuführen, falls eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Defender for Identity über die erforderlichen Berechtigungen verfügen. Standardmäßig nimmt der Defender for Identity-Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die Aktionen aus. Da die Standardeinstellung geändert werden kann, überprüfen Sie, ob Defender for Identity über die erforderlichen Berechtigungen verfügt oder das Standardkonto LocalSystem verwendet.
Weitere Informationen zu den Aktionskonten finden Sie unter Konfigurieren Microsoft Defender for Identity Aktionskonten.
Der Defender for Identity-Sensor muss auf dem Domänencontroller bereitgestellt werden, auf dem das Active Directory-Konto deaktiviert werden soll.
Hinweis
Wenn Sie über Automatisierungen zum Aktivieren oder Blockieren eines Benutzers verfügen, überprüfen Sie, ob die Automatisierungen die Unterbrechung beeinträchtigen können. Wenn beispielsweise eine Automatisierung vorhanden ist, um regelmäßig zu überprüfen und zu erzwingen, dass alle aktiven Mitarbeiter Konten aktiviert haben, könnte dies unbeabsichtigt Konten aktivieren, die durch eine Angriffsunterbrechung deaktiviert wurden, während ein Angriff erkannt wird.
Microsoft Defender for Cloud Apps Voraussetzungen
Microsoft Office 365 Connector
Microsoft Defender for Cloud Apps muss über den Connector mit Microsoft Office 365 verbunden sein. Informationen zum Herstellen einer Verbindung mit Defender for Cloud Apps finden Sie unter Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps.
App-Governance
App Governance muss aktiviert sein. Informationen zum Aktivieren finden Sie in der Dokumentation zur App-Governance .
Microsoft Defender for Office 365 Voraussetzungen
Postfachspeicherort
Postfächer müssen in Exchange Online gehostet werden.
Postfachüberwachungsprotokollierung
Die folgenden Postfachereignisse müssen mindestens überwacht werden:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
Informationen zum Verwalten der Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung .
Die Safelinks-Richtlinie muss vorhanden sein.
Überprüfen oder Ändern von Ausschlüssen für automatisierte Antworten für Benutzer
Automatische Angriffsunterbrechung ermöglicht den Ausschluss bestimmter Benutzerkonten von automatisierten Einschlussaktionen. Ausgeschlossene Benutzer sind nicht von automatisierten Aktionen betroffen, die durch eine Angriffsunterbrechung ausgelöst werden. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:
Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
Wechseln Sie zu Einstellungen>Microsoft Defender XDR>Identity automatisierte Antwort. Überprüfen Sie die Benutzerliste, um Konten auszuschließen.
Um ein neues Benutzerkonto auszuschließen, wählen Sie Benutzerausschluss hinzufügen aus.
Das Ausschließen von Benutzerkonten wird nicht empfohlen, und Konten, die dieser Liste hinzugefügt werden, werden nicht in allen unterstützten Angriffstypen wie Business Email Compromise (BEC) und von Menschen betriebene Ransomware ausgesetzt.
Nächste Schritte
Siehe auch
- Automatische Angriffsunterbrechung in Microsoft Defender XDR
- Automatische Angriffsunterbrechung für SAP
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.