在 Microsoft Defender XDR 中配置自动攻击中断功能

Microsoft Defender XDR包括强大的自动攻击中断功能，可保护环境免受复杂的高影响攻击。

本文介绍如何通过以下步骤在 Microsoft Defender XDR 中配置自动攻击中断功能：

1. 查看先决条件。
2. 查看或更改用户的自动响应排除项。

然后，完成所有设置后，可以在事件和操作中心查看和管理包含操作。 如有必要，还可以对设置进行更改。

Microsoft Defender XDR中自动攻击中断的先决条件

要求	详细信息
订阅要求	以下订阅之一： Microsoft 365 E5 或 A5 使用Microsoft 365 E5 安全性加载项Microsoft 365 E3 使用 企业移动性 + 安全性 E5 加载项Microsoft 365 E3 使用 Microsoft 365 A5 安全性加载项Microsoft 365 A3 Windows 10 企业版 E5 或 A5 Windows 11 企业版 E5 或 A5 企业移动性 + 安全性 (EMS) E5 或 A5 Office 365 E5 或 A5 Microsoft Defender for Endpoint (计划 2) Microsoft Defender for Identity Microsoft Defender for Cloud Apps Defender for Office 365 (计划 2) Microsoft Defender 商业版 请参阅Microsoft Defender XDR许可要求。
部署要求	跨 Defender 产品 (部署，例如 Defender for Endpoint、Defender for Office 365、Defender for Identity 和 Defender for Cloud Apps) 部署范围越广，保护覆盖面越大。 例如，如果在某个检测中使用了Microsoft Defender for Cloud Apps信号，则需要此产品来检测相关的特定攻击方案。 同样，应部署相关产品以执行自动响应操作。 例如，需要Microsoft Defender for Endpoint才能自动包含设备。 Microsoft Defender for Endpoint的设备发现设置为“标准发现”， (自动启动“包含设备”操作的先决条件)
权限	若要配置自动攻击中断功能，必须在Microsoft Entra ID () 或Microsoft 365 管理中心 (https://portal.azure.com) 中https://admin.microsoft.com分配以下角色之一： 全局管理员 安全管理员 若要使用自动调查和响应功能（例如通过查看、批准或拒绝挂起的操作），请参阅 操作中心任务的所需权限。

Microsoft Defender for Endpoint先决条件

最低感知客户端版本 (MDE 客户端)

“包含用户”操作运行所需的最低感知代理版本为 v10.8470。 可以通过运行以下 PowerShell 命令来标识设备上的 Sense Agent 版本：

Get-ItemProperty -Path “Registry：：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection” -Name “InstallLocation”

组织设备的自动化设置

查看设备组策略配置的自动化级别、自动调查是否运行，以及是自动执行修正操作还是仅在设备批准后执行修正操作取决于某些设置。 必须是全局管理员或安全管理员才能执行以下过程：

1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。

2. 转到“权限”下的“设置>终结点>”“设备组”。

3. 查看设备组策略。 查看 “自动化级别 ”列。 建议 使用完全 - 自动修正威胁。 可能需要创建或编辑设备组才能获得所需的自动化级别。 若要从自动包含中排除设备组，请将其自动化级别设置为 无自动响应。 请注意，不建议这样做，应仅对有限数量的设备执行此操作。

设备发现配置

设备发现设置必须至少激活为“Standard发现”。 在设置设备发现中了解如何配置 设备发现。

注意

攻击中断可以作用于与设备Microsoft Defender防病毒操作状态无关的设备。 操作状态可以是主动、被动或 EDR 块模式。

Microsoft Defender for Identity先决条件

在域控制器中设置审核

了解如何在域控制器中设置审核，请参阅 配置 Windows 事件日志的审核策略 ，以确保在部署 Defender for Identity 传感器的域控制器上配置所需的审核事件。

验证操作帐户

Defender for Identity 允许在标识泄露时针对本地 Active Directory帐户采取修正操作。 若要执行这些操作，Defender for Identity 需要具有执行此操作所需的权限。 默认情况下，Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行操作。 由于可以更改默认值，因此请验证 Defender for Identity 是否具有所需的权限或使用默认的 LocalSystem 帐户。

可以在配置操作帐户中找到有关操作帐户的详细信息Microsoft Defender for Identity操作帐户

需要在要关闭 Active Directory 帐户的域控制器上部署 Defender for Identity 传感器。

注意

如果你有自动化来激活或阻止用户，检查自动化是否会干扰中断。 例如，如果有一个自动化来定期检查并强制所有活动员工都启用了帐户，则可能会在检测到攻击时无意中激活因攻击中断而停用的帐户。

Microsoft Defender for Cloud Apps先决条件

Microsoft Office 365连接器

Microsoft Defender for Cloud Apps必须通过连接器连接到Microsoft Office 365。 若要连接Defender for Cloud Apps，请参阅将 Microsoft 365 连接到Microsoft Defender for Cloud Apps。

应用治理

必须启用应用治理。 请参阅 应用治理文档 以将其打开。

Microsoft Defender for Office 365先决条件

邮箱位置

邮箱必须托管在 Exchange Online 中。

邮箱审核日志记录

以下邮箱事件需要按最低要求进行审核：

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• HardDelete

查看 管理邮箱审核 ，了解如何管理邮箱审核。

需要存在安全链接策略。

查看或更改用户的自动响应排除项

自动攻击中断允许从自动包含操作中排除特定用户帐户。 排除的用户不会受到攻击中断触发的自动操作的影响。 必须是全局管理员或安全管理员才能执行以下过程：

1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。

2. 转到“设置Microsoft Defender XDR>>Identity 自动响应”。 检查用户列表以排除帐户。

3. 若要排除新用户帐户，请选择“ 添加用户排除项”。

不建议排除用户帐户，并且添加到此列表的帐户不会在所有受支持的攻击类型中暂停，例如业务电子邮件泄露 (BEC) 和人为操作勒索软件。

后续步骤

• 查看详细信息和结果
• 获取响应操作电子邮件通知

另请参阅

• Microsoft Defender XDR中的自动攻击中断
• SAP 的自动攻击中断

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。