Dela via

Konfigurera automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR

  • Artikel

Microsoft Defender XDR innehåller kraftfulla automatiserade undersöknings- och svarsfunktioner som kan spara mycket tid och arbete för ditt säkerhetsteam. Med självåterställning efterliknar dessa funktioner de steg som en säkerhetsanalytiker skulle vidta för att undersöka och svara på hot, bara snabbare och med större skalbarhet.

I den här artikeln beskrivs hur du konfigurerar automatiserad undersökning och svar i Microsoft Defender XDR med följande steg:

  1. Granska förutsättningarna.
  2. Granska eller ändra automatiseringsnivån för enhetsgrupper.
  3. Granska säkerhets- och aviseringsprinciperna i Office 365.

När du har konfigurerat allt kan du sedan visa och hantera reparationsåtgärder i Åtgärdscenter. Och om det behövs kan du göra ändringar i inställningarna för automatiserad undersökning.

Krav för automatiserad undersökning och svar i Microsoft Defender XDR

Krav Information
Prenumerationskrav En av dessa prenumerationer:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 med säkerhetstillägget Microsoft 365 E5
  • Microsoft 365 A3 med säkerhetstillägget Microsoft 365 A5
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Se Licensieringskrav för Microsoft Defender XDR.
Nätverkskrav
Krav för Windows-enheter
Skydd för e-postinnehåll och Office-filer
Behörigheter Om du vill konfigurera funktioner för automatiserad undersökning och svar måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i administrationscentret för Microsoft 365 (https://admin.microsoft.com):
  • Global administratör
  • Säkerhetsadministratör
Information om hur du arbetar med automatiserade undersöknings- och svarsfunktioner, till exempel genom att granska, godkänna eller avvisa väntande åtgärder, finns i Nödvändiga behörigheter för Åtgärdscenter-uppgifter.

Obs!

Microsoft rekommenderar att du använder roller med färre behörigheter för bättre säkerhet. Rollen Global administratör, som har många behörigheter, bör endast användas i nödsituationer när ingen annan roll passar.

Granska eller ändra automatiseringsnivån för enhetsgrupper

Om automatiserade undersökningar körs och om reparationsåtgärder vidtas automatiskt eller endast vid godkännande av dina enheter beror på vissa inställningar, till exempel organisationens enhetsgruppsprinciper. Granska den konfigurerade automatiseringsnivån för dina enhetsgruppsprinciper. Du måste vara global administratör eller säkerhetsadministratör för att utföra följande procedur:

  1. Gå till Microsoft Defender-portalen på https://security.microsoft.com och logga in.

  2. Gå till Inställningar>Slutpunkter>Enhetsgrupper under Behörigheter.

  3. Granska dina enhetsgruppsprinciper. Titta särskilt på kolumnen Reparationsnivå . Vi rekommenderar att du använder Fullständig – åtgärda hot automatiskt. Du kan behöva skapa eller redigera dina enhetsgrupper för att få den automatiseringsnivå du vill ha. Information om hur du får hjälp med den här uppgiften finns i följande artiklar:

Granska dina säkerhets- och aviseringsprinciper i Office 365

Microsoft tillhandahåller inbyggda aviseringsprinciper som hjälper dig att identifiera vissa risker. Dessa risker omfattar missbruk av Exchange-administratörsbehörigheter, skadlig kodaktivitet, potentiella externa och interna hot och risker för datalivscykelhantering. Vissa aviseringar kan utlösa automatiserad undersökning och svar i Office 365. Kontrollera att dina Defender för Office 365-funktioner är korrekt konfigurerade.

Vissa aviseringar och säkerhetsprinciper kan utlösa automatiserade undersökningar, men inga åtgärder vidtas automatiskt för e-post och innehåll. I stället väntar alla reparationsåtgärder för e-post- och e-postinnehåll på godkännande av ditt säkerhetsåtgärdsteam i Åtgärdscenter.

Säkerhetsinställningar i Exchange Online Protection (EOP) och Defender för Office 365 hjälper till att skydda e-post och innehåll. Vi rekommenderar att du använder standard- och strikt förinställda säkerhetsprinciper för att tilldela skydd till användare.

Om du använder anpassade principer använder du configuration analyzer för att jämföra dina principinställningar med inställningarna för standard- och strikt förinställda säkerhetsprinciper. En detaljerad lista över alla principinställningar finns i tabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365-säkerhet.

Du kan granska dina aviseringsprinciper i Defender-portalen på https://security.microsoft.com>Principer & regler>Aviseringsprincip eller direkt på https://security.microsoft.com/alertpoliciesv2. Flera standardaviseringsprinciper finns i kategorin Hothantering . Vissa av aviseringsprinciperna i kategorin Hothantering kan utlösa automatiserad undersökning och svar. Mer information finns i Aviseringsprinciper för hothantering.

Behöver du göra ändringar i inställningarna för automatiserad undersökning?

Du kan välja mellan flera alternativ för att ändra inställningarna för dina automatiserade undersöknings- och svarsfunktioner. Några alternativ visas i följande tabell:

Så här gör du detta Följ dessa steg
Ange automatiseringsnivåer för grupper av enheter
  1. Konfigurera en eller flera enhetsgrupper. Se Skapa och hantera enhetsgrupper.
  2. I Microsoft Defender-portalen går du till Behörigheter>Endpoints-roller & grupper>Enhetsgrupper.
  3. Välj en enhetsgrupp och granska dess inställning för Automation-nivå . (Vi rekommenderar att du använder Fullständig – åtgärda hot automatiskt). Se Automatiseringsnivåer i funktioner för automatiserad undersökning och reparation.
  4. Upprepa steg 2 och 3 efter behov för alla enhetsgrupper.

Nästa steg

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.