Freigeben über


Konfigurieren automatischer Angriffsunterbrechungsfunktionen in Microsoft Defender XDR

Microsoft Defender XDR umfasst leistungsstarke automatisierte Angriffsunterbrechungsfunktionen, die Ihre Umgebung vor komplexen, schwerwiegenden Angriffen schützen können.

In diesem Artikel wird beschrieben, wie Sie funktionen für automatische Angriffsunterbrechungen in Microsoft Defender XDR mit den folgenden Schritten konfigurieren:

  1. Überprüfen Sie die Voraussetzungen.
  2. Überprüfen oder ändern Sie die automatisierten Antwortausschlüsse für Benutzer.

Nachdem Sie alles eingerichtet haben, können Sie eindämmungsaktionen in Incidents und im Info-Center anzeigen und verwalten. Und bei Bedarf können Sie Änderungen an den Einstellungen vornehmen.

Voraussetzungen für automatische Angriffsunterbrechungen in Microsoft Defender XDR

Anforderung Details
Abonnementanforderungen Eines dieser Abonnements:
  • Microsoft 365 E5 oder A5
  • Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On
  • Microsoft 365 E3 mit dem Enterprise Mobility + Security E5-Add-On
  • Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On
  • Windows 10 Enterprise E5 oder A5
  • Windows 11 Enterprise E5 oder A5
  • Enterprise Mobility + Security (EMS) E5 oder A5
  • Office 365 E5 oder A5
  • Microsoft Defender for Endpoint (Plan 2)
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Office 365 (Plan 2)
  • Microsoft Defender für Unternehmen

Weitere Informationen finden Sie unter Microsoft Defender XDR Lizenzanforderungen.

Bereitstellungsanforderungen
  • Bereitstellung über Defender-Produkte hinweg (z. B. Defender für Endpunkt, Defender for Office 365, Defender for Identity und Defender for Cloud Apps)
    • Je breiter die Bereitstellung, desto größer ist die Schutzabdeckung. Wenn beispielsweise ein Microsoft Defender for Cloud Apps-Signal bei einer bestimmten Erkennung verwendet wird, ist dieses Produkt erforderlich, um das relevante spezifische Angriffsszenario zu erkennen.
    • Ebenso sollte das relevante Produkt bereitgestellt werden, um eine automatisierte Antwortaktion auszuführen. Beispielsweise muss Microsoft Defender for Endpoint automatisch ein Gerät enthalten.
  • Microsoft Defender for Endpoint Geräteermittlung ist auf "Standardermittlung" festgelegt (Voraussetzung für die automatische Initiierung der Aktion "Gerät enthalten")
Berechtigungen Zum Konfigurieren automatischer Angriffsunterbrechungsfunktionen muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
  • Globaler Administrator
  • Sicherheitsadministrator
Informationen zum Arbeiten mit automatisierten Untersuchungs- und Antwortfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Microsoft Defender for Endpoint Voraussetzungen

Mindestversion des Sense-Clients (MDE Client)

Die mindestens erforderliche Version des Sense-Agents, damit die Aktion Benutzer enthalten funktioniert, ist v10.8470. Sie können die Version des Sense-Agents auf einem Gerät ermitteln, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automatisierungseinstellung für Geräte Ihrer Organisation

Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien, ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.

  3. Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Um eine Gerätegruppe vom automatisierten Einschluss auszuschließen, legen Sie die Automatisierungsebene auf keine automatisierte Antwort fest. Beachten Sie, dass dies nicht dringend empfohlen wird und nur für eine begrenzte Anzahl von Geräten erfolgen sollte.

Konfiguration der Geräteermittlung

Die Geräteermittlungseinstellungen müssen mindestens für "Standard Ermittlung" aktiviert werden. Informationen zum Konfigurieren der Geräteermittlung finden Sie unter Einrichten der Geräteermittlung.

Hinweis

Angriffsunterbrechungen können auf Geräten unabhängig vom Microsoft Defender Antivirus-Betriebszustand eines Geräts auftreten. Der Betriebszustand kann sich im Aktiv-, Passiv- oder EDR-Blockmodus befinden.

Microsoft Defender for Identity Voraussetzungen

Einrichten der Überwachung auf Domänencontrollern

Informationen zum Einrichten der Überwachung auf Domänencontrollern finden Sie unter Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle , um sicherzustellen, dass erforderliche Überwachungsereignisse auf den Domänencontrollern konfiguriert werden, auf denen der Defender for Identity-Sensor bereitgestellt wird.

Überprüfen von Aktionskonten

Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokales Active Directory Konten durchzuführen, falls eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Defender for Identity über die erforderlichen Berechtigungen verfügen. Standardmäßig nimmt der Defender for Identity-Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die Aktionen aus. Da die Standardeinstellung geändert werden kann, überprüfen Sie, ob Defender for Identity über die erforderlichen Berechtigungen verfügt oder das Standardkonto LocalSystem verwendet.

Weitere Informationen zu den Aktionskonten finden Sie unter Konfigurieren Microsoft Defender for Identity Aktionskonten.

Der Defender for Identity-Sensor muss auf dem Domänencontroller bereitgestellt werden, auf dem das Active Directory-Konto deaktiviert werden soll.

Hinweis

Wenn Sie über Automatisierungen zum Aktivieren oder Blockieren eines Benutzers verfügen, überprüfen Sie, ob die Automatisierungen die Unterbrechung beeinträchtigen können. Wenn beispielsweise eine Automatisierung vorhanden ist, um regelmäßig zu überprüfen und zu erzwingen, dass alle aktiven Mitarbeiter Konten aktiviert haben, könnte dies unbeabsichtigt Konten aktivieren, die durch eine Angriffsunterbrechung deaktiviert wurden, während ein Angriff erkannt wird.

Microsoft Defender for Cloud Apps Voraussetzungen

Microsoft Office 365 Connector

Microsoft Defender for Cloud Apps muss über den Connector mit Microsoft Office 365 verbunden sein. Informationen zum Herstellen einer Verbindung mit Defender for Cloud Apps finden Sie unter Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps.

App-Governance

App Governance muss aktiviert sein. Informationen zum Aktivieren finden Sie in der Dokumentation zur App-Governance .

Microsoft Defender for Office 365 Voraussetzungen

Postfachspeicherort

Postfächer müssen in Exchange Online gehostet werden.

Postfachüberwachungsprotokollierung

Die folgenden Postfachereignisse müssen mindestens überwacht werden:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

Informationen zum Verwalten der Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung .

Überprüfen oder Ändern von Ausschlüssen für automatisierte Antworten für Benutzer

Automatische Angriffsunterbrechung ermöglicht den Ausschluss bestimmter Benutzerkonten von automatisierten Einschlussaktionen. Ausgeschlossene Benutzer sind nicht von automatisierten Aktionen betroffen, die durch eine Angriffsunterbrechung ausgelöst werden. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen>Microsoft Defender XDR>Identity automatisierte Antwort. Überprüfen Sie die Benutzerliste, um Konten auszuschließen. Auswählen von Benutzerkonten für den Ausschluss von automatisierten Antworten

  3. Um ein neues Benutzerkonto auszuschließen, wählen Sie Benutzerausschluss hinzufügen aus.

Das Ausschließen von Benutzerkonten wird nicht empfohlen, und Konten, die dieser Liste hinzugefügt werden, werden nicht in allen unterstützten Angriffstypen wie Business Email Compromise (BEC) und von Menschen betriebene Ransomware ausgesetzt.

Nächste Schritte

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.