Konfigurera funktioner för automatiska angreppsstörningar i Microsoft Defender XDR

Artikel
12/25/2024

Microsoft Defender XDR innehåller kraftfulla funktioner för automatiska angreppsavbrott som kan skydda din miljö mot avancerade attacker med hög påverkan.

I den här artikeln beskrivs hur du konfigurerar funktioner för automatiska angreppsstörningar i Microsoft Defender XDR med följande steg:

Granska förutsättningarna.
Granska eller ändra automatiska svarsundantag för användare.

När du har konfigurerat allt kan du sedan visa och hantera inneslutningsåtgärder i Incidenter och Åtgärdscenter. Och om det behövs kan du göra ändringar i inställningarna.

Förutsättningar för automatiska angreppsstörningar i Microsoft Defender XDR

Krav	Information
Prenumerationskrav	En av dessa prenumerationer: Microsoft 365 E5 eller A5 Microsoft 365 E3 med tillägget Microsoft 365 E5 Security Microsoft 365 E3 med tillägget Enterprise Mobility + Security E5 Microsoft 365 A3 med tillägget Microsoft 365 A5 Security Windows 10 Enterprise E5 eller A5 Windows 11 Enterprise E5 eller A5 Enterprise Mobility + Security (EMS) E5 eller A5 Office 365 E5 eller A5 Microsoft Defender för Endpoint (plan 2) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Defender för Office 365 (plan 2) Microsoft Defender för företag Se Microsoft Defender XDR licensieringskrav.
Distributionskrav	Distribution mellan Defender-produkter (t.ex. Defender för Endpoint, Defender för Office 365, Defender för identitet och Defender for Cloud Apps) Desto bredare distribution, desto större är skyddstäckningen. Om till exempel en Microsoft Defender for Cloud Apps signal används i en viss identifiering krävs den här produkten för att identifiera det relevanta specifika attackscenariot. På samma sätt bör den relevanta produkten distribueras för att köra en automatiserad svarsåtgärd. Till exempel krävs Microsoft Defender för Endpoint för att automatiskt innehålla en enhet. Microsoft Defender för Endpoint enhetsidentifiering är inställd på "standardidentifiering" (förutsättning för automatisk initiering av åtgärden "Contain Device" (Inneslut enhet)
Behörigheter	Om du vill konfigurera funktioner för automatisk attackstörning måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i Administrationscenter för Microsoft 365 (https://admin.microsoft.com): Global administratör Säkerhetsadministratör Information om hur du arbetar med automatiserade undersöknings- och svarsfunktioner, till exempel genom att granska, godkänna eller avvisa väntande åtgärder, finns i Nödvändiga behörigheter för Åtgärdscenter-uppgifter.

Krav

Information

Prenumerationskrav

En av dessa prenumerationer:

Microsoft 365 E5 eller A5
Microsoft 365 E3 med tillägget Microsoft 365 E5 Security
Microsoft 365 E3 med tillägget Enterprise Mobility + Security E5
Microsoft 365 A3 med tillägget Microsoft 365 A5 Security
Windows 10 Enterprise E5 eller A5
Windows 11 Enterprise E5 eller A5
Enterprise Mobility + Security (EMS) E5 eller A5
Office 365 E5 eller A5
Microsoft Defender för Endpoint (plan 2)
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Defender för Office 365 (plan 2)
Microsoft Defender för företag

Se Microsoft Defender XDR licensieringskrav.

Distributionskrav

Distribution mellan Defender-produkter (t.ex. Defender för Endpoint, Defender för Office 365, Defender för identitet och Defender for Cloud Apps)

Desto bredare distribution, desto större är skyddstäckningen. Om till exempel en Microsoft Defender for Cloud Apps signal används i en viss identifiering krävs den här produkten för att identifiera det relevanta specifika attackscenariot.
På samma sätt bör den relevanta produkten distribueras för att köra en automatiserad svarsåtgärd. Till exempel krävs Microsoft Defender för Endpoint för att automatiskt innehålla en enhet.

Microsoft Defender för Endpoint enhetsidentifiering är inställd på "standardidentifiering" (förutsättning för automatisk initiering av åtgärden "Contain Device" (Inneslut enhet)

Behörigheter

Om du vill konfigurera funktioner för automatisk attackstörning måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i Administrationscenter för Microsoft 365 (https://admin.microsoft.com):

Global administratör
Säkerhetsadministratör

Information om hur du arbetar med automatiserade undersöknings- och svarsfunktioner, till exempel genom att granska, godkänna eller avvisa väntande åtgärder, finns i Nödvändiga behörigheter för Åtgärdscenter-uppgifter.

Microsoft Defender för Endpoint förutsättningar

Lägsta sense-klientversion (MDE klient)

Den lägsta Sense Agent-version som krävs för att åtgärden Contain User ska fungera är v10.8470. Du kan identifiera Sense Agent-versionen på en enhet genom att köra följande PowerShell-kommando:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Automationsinställning för dina organisationers enheter

Granska den konfigurerade automatiseringsnivån för dina enhetsgruppsprinciper, om automatiserade undersökningar körs och om reparationsåtgärder vidtas automatiskt eller endast vid godkännande för dina enheter beror på vissa inställningar. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:

Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
Gå till Inställningar>Slutpunkter>Enhetsgrupper under Behörigheter.
Granska dina enhetsgruppsprinciper. Titta på kolumnen Automation-nivå . Vi rekommenderar att du använder Fullständig – åtgärda hot automatiskt. Du kan behöva skapa eller redigera dina enhetsgrupper för att få den automatiseringsnivå du vill ha. Om du vill undanta en enhetsgrupp från automatisk inneslutning anger du dess automatiseringsnivå till inget automatiserat svar. Observera att detta inte rekommenderas och bör endast göras för ett begränsat antal enheter.

Konfiguration av enhetsidentifiering

Inställningarna för enhetsidentifiering måste aktiveras till standardidentifiering som minst. Lär dig hur du konfigurerar enhetsidentifiering i Konfigurera enhetsidentifiering.

Obs!

Attackavbrott kan fungera på enheter som är oberoende av enhetens Microsoft Defender Antivirus-driftstillstånd. Drifttillståndet kan vara i aktivt, passivt eller EDR-blockeringsläge.

Microsoft Defender for Identity förutsättningar

Konfigurera granskning i domänkontrollanter

Lär dig hur du konfigurerar granskning i domänkontrollanter i Konfigurera granskningsprinciper för Windows-händelseloggar för att säkerställa att nödvändiga granskningshändelser har konfigurerats på domänkontrollanterna där Defender för identitetssensorn distribueras.

Verifiera åtgärdskonton

Med Defender for Identity kan du vidta reparationsåtgärder för lokal Active Directory konton i händelse av att en identitet komprometteras. För att kunna vidta dessa åtgärder måste Defender for Identity ha de behörigheter som krävs för att göra det. Som standard personifierar Defender for Identity-sensorn LocalSystem-kontot för domänkontrollanten och utför åtgärderna. Eftersom standardvärdet kan ändras kontrollerar du att Defender for Identity har de behörigheter som krävs eller använder standardkontot LocalSystem.

Mer information om åtgärdskontona finns i Konfigurera Microsoft Defender for Identity åtgärdskonton

Defender for Identity-sensorn måste distribueras på domänkontrollanten där Active Directory-kontot ska stängas av.

Obs!

Om du har automatiseringar på plats för att aktivera eller blockera en användare kontrollerar du om automatiseringarna kan störa störningar. Om det till exempel finns en automatisering för att regelbundet kontrollera och framtvinga att alla aktiva anställda har aktiverat konton kan detta oavsiktligt aktivera konton som inaktiverats av attackavbrott när en attack identifieras.

Microsoft Defender for Cloud Apps förutsättningar

Microsoft Office 365-anslutningsprogram

Microsoft Defender for Cloud Apps måste anslutas till Microsoft Office 365 via anslutningsappen. Information om hur du ansluter Defender for Cloud Apps finns i Ansluta Microsoft 365 till Microsoft Defender for Cloud Apps.

Appstyrning

Appstyrning måste vara aktiverat. Se dokumentationen för appstyrning för att aktivera den.

Microsoft Defender för Office 365 förutsättningar

Plats för postlådor

Postlådor måste finnas i Exchange Online.

Granskningsloggning för postlåda

Följande postlådehändelser måste granskas minst:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Granska hantera granskning av postlådor om du vill veta mer om hur du hanterar granskning av postlådor.

Safelinks-principen måste finnas.

Granska eller ändra automatiska svarsundantag för användare

Med automatisk attackavbrott kan specifika användarkonton undantas från automatiserade inneslutningsåtgärder. Exkluderade användare påverkas inte av automatiserade åtgärder som utlöses av attackavbrott. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:

Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
Gå till Inställningar>Microsoft Defender XDR>Identitetsautomatiserat svar. Kontrollera användarlistan för att exkludera konton.
Om du vill exkludera ett nytt användarkonto väljer du Lägg till användarundantag.

Att exkludera användarkonton rekommenderas inte, och konton som läggs till i den här listan kommer inte att inaktiveras i alla attacktyper som stöds, till exempel hot mot företags-e-post (BEC) och utpressningstrojaner som drivs av människor.

Nästa steg

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.

Dela via