在 Microsoft Defender XDR 中配置自动攻击中断功能
Microsoft Defender XDR 包括强大的 自动攻击中断 功能,可保护环境免受复杂的高影响攻击。
本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动攻击中断功能:
然后,完成所有设置后,可以在事件和操作中心查看和管理包含操作。 如有必要,还可以对设置进行更改。
Microsoft Defender XDR 中自动攻击中断的先决条件
要求 | 详细信息 |
---|---|
订阅要求 | 以下订阅之一:
|
部署要求 |
|
权限 | 若要配置自动攻击中断功能,必须在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 管理中心 (https://admin.microsoft.com) 中分配以下角色之一:
|
Microsoft Defender for Endpoint 先决条件
最低感知客户端版本 (MDE 客户端)
“包含用户”操作运行所需的最低感知代理版本为 v10.8470。 可以通过运行以下 PowerShell 命令来标识设备上的 Sense Agent 版本:
Get-ItemProperty -Path “Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection” -Name “InstallLocation”
组织设备的自动化设置
查看设备组策略的配置自动化级别,wWhether 自动调查运行,以及修正操作是自动执行还是仅在设备批准后取决于某些设置。 必须是全局管理员或安全管理员才能执行以下过程:
转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。
转到“权限”下的“设置>终结点>”“设备组”。
查看设备组策略。 查看 “自动化级别 ”列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要从自动包含中排除设备组,请将其自动化级别设置为 无自动响应。 请注意,不建议这样做,应仅对有限数量的设备执行此操作。
设备发现配置
设备发现设置必须至少激活为“标准发现”。 在设置设备发现中了解如何配置 设备发现。
注意
攻击中断可以作用于与设备Microsoft Defender 防病毒操作状态无关的设备。 操作状态可以是主动、被动或 EDR 块模式。
Microsoft Defender for Identity 先决条件
在域控制器中设置审核
了解如何在域控制器中设置审核,请参阅 配置 Windows 事件日志的审核策略 ,以确保在部署 Defender for Identity 传感器的域控制器上配置所需的审核事件。
验证操作帐户
Defender for Identity 允许在标识泄露时针对本地 Active Directory 帐户采取修正操作。 若要执行这些操作,Defender for Identity 需要具有执行此操作所需的权限。 默认情况下,Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行操作。 由于可以更改默认值,因此请验证 Defender for Identity 是否具有所需的权限或使用默认的 LocalSystem 帐户。
可以在配置 Microsoft Defender for Identity 操作帐户中找到有关操作帐户的详细信息
需要在要关闭 Active Directory 帐户的域控制器上部署 Defender for Identity 传感器。
注意
如果已设置自动化来激活或阻止用户,请检查自动化是否会干扰中断。 例如,如果有一个自动化来定期检查和强制所有在职员工都启用了帐户,则可能会在检测到攻击时无意中激活因攻击中断而停用的帐户。
Microsoft Defender for Cloud Apps 先决条件
Microsoft Office 365 连接器
Microsoft Defender for Cloud Apps 必须通过连接器连接到 Microsoft Office 365。 若要连接 Defender for Cloud Apps,请参阅 将 Microsoft 365 连接到 Microsoft Defender for Cloud Apps。
应用治理
必须启用应用治理。 请参阅 应用治理文档 以将其打开。
Microsoft Defender for Office 365 先决条件
邮箱位置
邮箱必须托管在 Exchange Online 中。
邮箱审核日志记录
以下邮箱事件需要按最低要求进行审核:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
查看 管理邮箱审核 ,了解如何管理邮箱审核。
需要存在安全链接策略。
查看或更改用户的自动响应排除项
自动攻击中断允许从自动包含操作中排除特定用户帐户。 排除的用户不会受到攻击中断触发的自动操作的影响。 必须是全局管理员或安全管理员才能执行以下过程:
转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。
若要排除新用户帐户,请选择“ 添加用户排除项”。
不建议排除用户帐户,并且添加到此列表的帐户不会在所有受支持的攻击类型中暂停,例如业务电子邮件泄露 (BEC) 和人为操作勒索软件。
后续步骤
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。