Automaattisten hyökkäyshäiriöiden ominaisuuksien määrittäminen Microsoft Defender XDR

Artikkeli
12/25/2024

Microsoft Defender XDR sisältää tehokkaita automatisoituja hyökkäyshäiriötoimintoja, jotka voivat suojata ympäristöäsi kehittyneiltä, suurivaikutteiselta hyökkäyksiltä.

Tässä artikkelissa kuvataan, miten voit määrittää automaattisen hyökkäyksen häiriötoiminnot Microsoft Defender XDR seuraavien vaiheiden avulla:

Tarkista edellytykset.
Tarkastele tai muuta käyttäjien automaattisia vastauspoikkeuksia.

Kun olet valmis, voit tarkastella ja hallita eristämistoimintoja tapahtumat- ja toimintokeskuksessa. Voit myös tarvittaessa tehdä muutoksia asetuksiin.

Automaattisen hyökkäyksen häiriöiden edellytykset Microsoft Defender XDR

Vaatimus	Tiedot
Tilausvaatimukset	Jokin näistä tilauksista: Microsoft 365 E5 tai A5 Microsoft 365 E3 Microsoft 365 E5 Security apuohjelman kanssa Microsoft 365 E3 Enterprise Mobility + Security E5 -apuohjelman kanssa Microsoft 365 A3 Microsoft 365 A5 Security -apuohjelman kanssa Windows 10 Enterprise E5 tai A5 Windows 11 Enterprise E5 tai A5 Enterprise Mobility + Security (EMS) E5 tai A5 Office 365 E5 tai A5 Microsoft Defender for Endpoint (palvelupaketti 2) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Defender for Office 365 (palvelupaketti 2) Microsoft Defender for Business Katso Microsoft Defender XDR käyttöoikeusvaatimukset.
Käyttöönottovaatimukset	Käyttöönotto Defender-tuotteissa (esimerkiksi Defender for Endpoint, Defender for Office 365, Defender for Identity ja Defender for Cloud Apps) Mitä laajempi käyttöönotto on, sitä suurempi suojauksen kattavuus on. Jos esimerkiksi tietyssä tunnistamisessa käytetään Microsoft Defender for Cloud Apps-signaalia, tätä tuotetta tarvitaan tietyn hyökkäysskenaarion havaitsemiseen. Vastaavasti asianmukainen tuote olisi otettava käyttöön automatisoidun vastaustoiminnon suorittamiseksi. Laitteen automaattiseen sisällytykseen tarvitaan esimerkiksi Microsoft Defender for Endpoint. Microsoft Defender for Endpoint laiteetsintä on määritetty vakioetsinnäksi (edellytys "Sisällytä laite" -toiminnon automaattiselle käynnistymiselle)
Käyttöoikeudet	Jos haluat määrittää automaattisen hyökkäyksen häiriötoiminnot, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID (https://portal.azure.com) tai Microsoft 365 -hallintakeskus (https://admin.microsoft.com): Yleinen järjestelmänvalvoja Suojauksen järjestelmänvalvoja Jos haluat käsitellä automatisoituja tutkimus- ja vastaustoimintoja, kuten tarkastelemalla, hyväksymällä tai hylkäämällä odottavia toimintoja, katso Toimintokeskuksen tehtävien pakolliset käyttöoikeudet.

Vaatimus

Tiedot

Tilausvaatimukset

Jokin näistä tilauksista:

Microsoft 365 E5 tai A5
Microsoft 365 E3 Microsoft 365 E5 Security apuohjelman kanssa
Microsoft 365 E3 Enterprise Mobility + Security E5 -apuohjelman kanssa
Microsoft 365 A3 Microsoft 365 A5 Security -apuohjelman kanssa
Windows 10 Enterprise E5 tai A5
Windows 11 Enterprise E5 tai A5
Enterprise Mobility + Security (EMS) E5 tai A5
Office 365 E5 tai A5
Microsoft Defender for Endpoint (palvelupaketti 2)
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Defender for Office 365 (palvelupaketti 2)
Microsoft Defender for Business

Katso Microsoft Defender XDR käyttöoikeusvaatimukset.

Käyttöönottovaatimukset

Käyttöönotto Defender-tuotteissa (esimerkiksi Defender for Endpoint, Defender for Office 365, Defender for Identity ja Defender for Cloud Apps)

Mitä laajempi käyttöönotto on, sitä suurempi suojauksen kattavuus on. Jos esimerkiksi tietyssä tunnistamisessa käytetään Microsoft Defender for Cloud Apps-signaalia, tätä tuotetta tarvitaan tietyn hyökkäysskenaarion havaitsemiseen.
Vastaavasti asianmukainen tuote olisi otettava käyttöön automatisoidun vastaustoiminnon suorittamiseksi. Laitteen automaattiseen sisällytykseen tarvitaan esimerkiksi Microsoft Defender for Endpoint.

Microsoft Defender for Endpoint laiteetsintä on määritetty vakioetsinnäksi (edellytys "Sisällytä laite" -toiminnon automaattiselle käynnistymiselle)

Käyttöoikeudet

Jos haluat määrittää automaattisen hyökkäyksen häiriötoiminnot, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID (https://portal.azure.com) tai Microsoft 365 -hallintakeskus (https://admin.microsoft.com):

Yleinen järjestelmänvalvoja
Suojauksen järjestelmänvalvoja

Jos haluat käsitellä automatisoituja tutkimus- ja vastaustoimintoja, kuten tarkastelemalla, hyväksymällä tai hylkäämällä odottavia toimintoja, katso Toimintokeskuksen tehtävien pakolliset käyttöoikeudet.

Microsoft Defender for Endpoint edellytykset

Sense Client -vähimmäisversio (MDE asiakas)

Pienin seurannan agentin versio, joka tarvitaan Käyttäjän sisällyttämisen toimintoon, on v10.8470. Voit tunnistaa laitteen Sense Agent -version suorittamalla seuraavan PowerShell-komennon:

Get-ItemProperty –Rekisteri::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection -Nimi "InstallLocation"

Organisaatiosi laitteiden automaatioasetus

Tarkista laiteryhmäkäytäntöjesi määritetty automaatiotaso sekä se, suoritetaanko automatisoidut tutkimukset ja tehdäänkö korjaustoimintoja automaattisesti vai vain, kun laitteiden hyväksyntä on riippuvainen tietyistä asetuksista. Sinun on oltava yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit suorittaa seuraavat toimet:

Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse Asetukset>Päätepisteet>Laiteryhmät kohdassa Käyttöoikeudet.
Tarkista laiteryhmäkäytännöt. Tutustu automaatiotason sarakkeeseen. Suosittelemme, että käytät täysin korjaavia uhkia automaattisesti. Laiteryhmiä on ehkä luotava tai muokattava, jotta saat haluamasi automaatiotason. Jos haluat sulkea laiteryhmän pois automatisoidusta eristämisestä, aseta sen automaatiotasoksi ei automaattista vastausta. Huomaa, että tämä ei ole erittäin suositeltavaa, ja se tulisi tehdä vain rajoitetulle määrälle laitteita.

Laitteiden etsinnän määritykset

Laitteen etsintäasetukset on otettava käyttöön vähintään Standard Discoveryssa. Lue, miten voit määrittää laitteiden etsinnän kohdassa Laiteetsintä.

Huomautus

Hyökkäyshäiriöt voivat toimia laitteissa, jotka ovat riippumattomia laitteen Microsoft Defender virustentorjuntaohjelman käyttötilasta. Toimintatila voi olla aktiivinen, passiivinen tai EDR-lohkotila.

Microsoft Defender for Identity edellytykset

Valvonnan määrittäminen toimialueen ohjauskoneissa

Lue, miten voit määrittää valvonnan toimialueen ohjauskoneissa kohdassa Windowsin tapahtumalokien valvontakäytäntöjen määrittäminen sen varmistamiseksi, että vaaditut valvontatapahtumat määritetään toimialueen ohjauskoneissa, joissa Defender for Identity -tunnistin otetaan käyttöön.

Vahvista toimintotilit

Defender for Identityn avulla voit tehdä korjaustoimia, joiden kohteena on paikallinen Active Directory tiliä, jos käyttäjätiedot ovat vaarantuneet. Näiden toimintojen suorittamiseksi Defender for Identityllä on oltava siihen tarvittavat oikeudet. Oletusarvoisesti Defender for Identity -tunnistin tekeytyy toimialueen ohjauskoneen LocalSystem-tiliksi ja suorittaa toiminnot. Koska oletusarvoa voidaan muuttaa, tarkista, että Defender for Identityllä on tarvittavat oikeudet tai että se käyttää oletusarvoista LocalSystem-tiliä.

Lisätietoja toimintotileistä on kohdassa Microsoft Defender for Identity toimintotilien määrittäminen

Defender for Identity -tunnistin on otettava käyttöön toimialueen ohjauskoneessa, jossa Active Directory -tili poistetaan käytöstä.

Huomautus

Jos käytössäsi on automaatioita käyttäjän aktivoimiseksi tai estämiseksi, tarkista, voivatko automaatiot häiritä häiriöitä. Jos käytössä on esimerkiksi automaatio, jolla tarkistetaan ja valvotaan säännöllisesti, että kaikki aktiiviset työntekijät ovat ottaneet tilit käyttöön, tämä voi tahattomasti aktivoida tilejä, jotka hyökkäyshäiriöt ovat poistaneet aktivoinnin hyökkäyksen havaitsemisen aikana.

Microsoft Defender for Cloud Apps edellytykset

Microsoft Office 365 liitin

Microsoft Defender for Cloud Apps on yhdistettävä Microsoft Office 365 liittimen kautta. Jos haluat muodostaa yhteyden Defender for Cloud Apps, katso Microsoft 365:n yhdistäminen Microsoft Defender for Cloud Apps.

Sovellusten hallinta

Sovellusten hallinta on otettava käyttöön. Katso sovellusten hallinnan dokumentaatiosta , miten se on käytössä.

Microsoft Defender for Office 365 edellytykset

Postilaatikoiden sijainti

Postilaatikoita on isännöidä Exchange Online.

Postilaatikon valvontaloki

Seuraavat postilaatikon tapahtumat on valvottava minimin mukaan:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
Pehmeäpoista
Kovapoista

Lue postilaatikoiden valvonnan hallinnasta lisätietoja postilaatikoiden valvonnan hallinnasta.

Safelinks-käytännön on oltava käytössä.

Käyttäjien automaattisten vastausten poissulkemisten tarkistaminen tai muuttaminen

Automaattinen hyökkäyshäiriö mahdollistaa tiettyjen käyttäjätilien sulkemisen pois automatisoiduista eristämistoimista. Hyökkäyshäiriön aiheuttamat automatisoidut toiminnot eivät vaikuta pois jätettyihin käyttäjiin. Sinun on oltava yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit suorittaa seuraavat toimet:

Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Siirry kohtaan Asetukset>Microsoft Defender XDR>Tunnus automatisoitu vastaus. Valitse käyttäjäluettelo, jos haluat jättää tilit pois.
Jos haluat sulkea pois uuden käyttäjätilin, valitse Lisää käyttäjän poissulkeminen.

Käyttäjätilien pois jättäminen ei ole suositeltavaa, eikä tähän luetteloon lisättyjä tilejä jäädytetä kaikissa tuetuissa hyökkäystyypeissä, kuten yrityssähköpostin kompromississa (BEC) ja ihmisen ylläpitämässä kiristyshaittaohjelmassa.

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

Jaa