Configurare le funzionalità di interruzione automatica degli attacchi in Microsoft Defender XDR

Articolo
12/25/2024

Microsoft Defender XDR include potenti funzionalità di interruzione automatica degli attacchi che possono proteggere l'ambiente da attacchi sofisticati e ad alto impatto.

Questo articolo descrive come configurare le funzionalità di interruzione automatica degli attacchi in Microsoft Defender XDR con la procedura seguente:

Esaminare i prerequisiti.
Esaminare o modificare le esclusioni di risposta automatizzate per gli utenti.

Dopo aver configurato tutto, è quindi possibile visualizzare e gestire le azioni di contenimento in Eventi imprevisti e centro notifiche. E, se necessario, è possibile apportare modifiche alle impostazioni.

Prerequisiti per l'interruzione automatica degli attacchi in Microsoft Defender XDR

Requisito	Dettagli
Requisiti dell'abbonamento	Una di queste sottoscrizioni: Microsoft 365 E5 o A5 Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security Microsoft 365 E3 con il componente aggiuntivo Enterprise Mobility + Security E5 Microsoft 365 A3 con il componente aggiuntivo sicurezza Microsoft 365 A5 Windows 10 Enterprise E5 o A5 Windows 11 Enterprise E5 o A5 Enterprise Mobility + Security (EMS) E5 o A5 Office 365 E5 o A5 Microsoft Defender per endpoint (piano 2) Microsoft Defender per identità Microsoft Defender for Cloud Apps Defender per Office 365 (Piano 2) Microsoft Defender for Business Vedere Microsoft Defender XDR requisiti di licenza.
Requisiti di distribuzione	Distribuzione tra i prodotti Defender (ad esempio Defender per endpoint, Defender per Office 365, Defender per identità e Defender for Cloud Apps) Più ampia è la distribuzione, maggiore è la copertura di protezione. Ad esempio, se un segnale Microsoft Defender for Cloud Apps viene usato in un determinato rilevamento, questo prodotto è necessario per rilevare lo scenario di attacco specifico pertinente. Analogamente, il prodotto pertinente deve essere distribuito per eseguire un'azione di risposta automatizzata. Ad esempio, Microsoft Defender per endpoint deve contenere automaticamente un dispositivo. l'individuazione del dispositivo di Microsoft Defender per endpoint è impostata su 'individuazione standard' (prerequisito per l'avvio automatico dell'azione "Contain Device")
Autorizzazioni	Per configurare le funzionalità di interruzione automatica degli attacchi, è necessario avere uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com): Amministratore globale Amministratore della sicurezza Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

Requisito

Dettagli

Requisiti dell'abbonamento

Una di queste sottoscrizioni:

Microsoft 365 E5 o A5
Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft 365 E3 con il componente aggiuntivo Enterprise Mobility + Security E5
Microsoft 365 A3 con il componente aggiuntivo sicurezza Microsoft 365 A5
Windows 10 Enterprise E5 o A5
Windows 11 Enterprise E5 o A5
Enterprise Mobility + Security (EMS) E5 o A5
Office 365 E5 o A5
Microsoft Defender per endpoint (piano 2)
Microsoft Defender per identità
Microsoft Defender for Cloud Apps
Defender per Office 365 (Piano 2)
Microsoft Defender for Business

Vedere Microsoft Defender XDR requisiti di licenza.

Requisiti di distribuzione

Distribuzione tra i prodotti Defender (ad esempio Defender per endpoint, Defender per Office 365, Defender per identità e Defender for Cloud Apps)

Più ampia è la distribuzione, maggiore è la copertura di protezione. Ad esempio, se un segnale Microsoft Defender for Cloud Apps viene usato in un determinato rilevamento, questo prodotto è necessario per rilevare lo scenario di attacco specifico pertinente.
Analogamente, il prodotto pertinente deve essere distribuito per eseguire un'azione di risposta automatizzata. Ad esempio, Microsoft Defender per endpoint deve contenere automaticamente un dispositivo.

l'individuazione del dispositivo di Microsoft Defender per endpoint è impostata su 'individuazione standard' (prerequisito per l'avvio automatico dell'azione "Contain Device")

Autorizzazioni

Per configurare le funzionalità di interruzione automatica degli attacchi, è necessario avere uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com):

Amministratore globale
Amministratore della sicurezza

Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

Prerequisiti Microsoft Defender per endpoint

Versione minima del client sense (client MDE)

La versione minima dell'agente di valutazione necessaria per il funzionamento dell'azione Contain User è v10.8470. È possibile identificare la versione di Sense Agent in un dispositivo eseguendo il comando di PowerShell seguente:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Impostazione di automazione per i dispositivi delle organizzazioni

Esaminare il livello di automazione configurato per i criteri del gruppo di dispositivi, se vengono eseguite indagini automatizzate e se le azioni di correzione vengono eseguite automaticamente o solo dopo l'approvazione dei dispositivi in base a determinate impostazioni. Per eseguire la procedura seguente, è necessario essere un amministratore globale o un amministratore della sicurezza:

Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Passare a Impostazioni>EndpointGruppi di> dispositivi in Autorizzazioni.
Esaminare i criteri del gruppo di dispositivi. Esaminare la colonna Livello di automazione . È consigliabile usare Full: correggere automaticamente le minacce. Potrebbe essere necessario creare o modificare i gruppi di dispositivi per ottenere il livello di automazione desiderato. Per escludere un gruppo di dispositivi dal contenimento automatizzato, impostare il livello di automazione su nessuna risposta automatizzata. Si noti che questa operazione non è altamente consigliata e deve essere eseguita solo per un numero limitato di dispositivi.

Configurazione dell'individuazione dei dispositivi

Le impostazioni di individuazione dei dispositivi devono essere attivate almeno in "individuazione Standard". Informazioni su come configurare l'individuazione dei dispositivi in Configurare l'individuazione dei dispositivi.

Nota

L'interruzione degli attacchi può agire sui dispositivi indipendentemente dallo stato operativo Microsoft Defender Antivirus di un dispositivo. Lo stato operativo può essere attivo, passivo o in modalità blocco EDR.

Prerequisiti Microsoft Defender per identità

Configurare il controllo nei controller di dominio

Informazioni su come configurare il controllo nei controller di dominio in Configurare i criteri di controllo per i log eventi di Windows per assicurarsi che gli eventi di controllo necessari siano configurati nei controller di dominio in cui viene distribuito il sensore Defender per identità.

Convalidare gli account azione

Defender per identità consente di eseguire azioni correttive destinate agli account Active Directory locale nel caso in cui un'identità venga compromessa. Per eseguire queste azioni, Defender per identità deve disporre delle autorizzazioni necessarie per eseguire questa operazione. Per impostazione predefinita, il sensore Defender per identità rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni. Poiché è possibile modificare l'impostazione predefinita, verificare che Defender per identità disponga delle autorizzazioni necessarie o usi l'account LocalSystem predefinito.

Per altre informazioni sugli account azione, vedere Configurare gli account azione Microsoft Defender per identità

Il sensore Defender per identità deve essere distribuito nel controller di dominio in cui l'account di Active Directory deve essere disattivato.

Nota

Se sono presenti automazioni per attivare o bloccare un utente, verificare se le automazioni possono interferire con l'interruzione. Ad esempio, se è in atto un'automazione per verificare e applicare regolarmente che tutti i dipendenti attivi abbiano abilitato gli account, questo potrebbe attivare involontariamente gli account disattivati dall'interruzione dell'attacco mentre viene rilevato un attacco.

prerequisiti Microsoft Defender for Cloud Apps

Connettore Microsoft Office 365

Microsoft Defender for Cloud Apps deve essere connesso a Microsoft Office 365 tramite il connettore. Per connettersi Defender for Cloud Apps, vedere Connettere Microsoft 365 a Microsoft Defender for Cloud Apps.

App Governance

La governance delle app deve essere attivata. Per attivarlo, vedere la documentazione sulla governance delle app .

Microsoft Defender per Office 365 prerequisiti

Percorso delle cassette postali

Le cassette postali devono essere ospitate in Exchange Online.

Registrazione di controllo delle cassette postali

È necessario controllare almeno gli eventi della cassetta postale seguenti:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Per informazioni sulla gestione del controllo delle cassette postali, vedere Gestire il controllo delle cassette postali .

I criteri safelink devono essere presenti.

Esaminare o modificare le esclusioni di risposta automatizzate per gli utenti

L'interruzione automatica degli attacchi consente l'esclusione di account utente specifici da azioni di contenimento automatizzate. Gli utenti esclusi non saranno interessati da azioni automatizzate attivate dall'interruzione degli attacchi. Per eseguire la procedura seguente, è necessario essere un amministratore globale o un amministratore della sicurezza:

Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Passare a Settings Microsoft Defender XDR Identity automated response (Risposta automatizzatasettings>Microsoft Defender XDR> Identity). Controllare l'elenco utenti per escludere gli account.
Per escludere un nuovo account utente, selezionare Aggiungi esclusione utente.

L'esclusione degli account utente non è consigliata e gli account aggiunti a questo elenco non verranno sospesi in tutti i tipi di attacco supportati, ad esempio la compromissione della posta elettronica aziendale (BEC) e il ransomware gestito dall'uomo.

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

Condividi tramite