在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷

Microsoft Defender 全面偵測回應 包含強大的自動化攻擊中斷功能，可保護您的環境免於遭受複雜、高影響的攻擊。

本文說明如何在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷功能。 一切設定完成之後，您就可以在事件和控制中心中檢視和管理內含項目動作。 而且，如有必要，您可以變更設定。

必要條件

以下是在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷的必要條件：

需求	詳細資料
訂閱需求	下列其中一個訂用帳戶： Microsoft 365 E5 或 A5 使用 Microsoft 365 E5 安全性 附加元件 Microsoft 365 E3 使用 Enterprise Mobility + Security E5 附加元件 Microsoft 365 E3 使用 Microsoft 365 A5 Security 附加元件 Microsoft 365 A3 Windows 10 企業版 E5 或 A5 Windows 11 企業版 E5 或 A5 Enterprise Mobility + Security (EMS) E5 或 A5 Office 365 E5 或 A5 適用於端點的 Microsoft Defender (方案 2) 適用於身分識別的 Microsoft Defender Microsoft Defender for Cloud Apps 適用於 Office 365 的 Defender (方案 2) 適用於企業的 Microsoft Defender 請參閱 Microsoft Defender 全面偵測回應 授權需求。
部署需求	跨 Defender 產品部署 (例如適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender 和 Defender for Cloud Apps) 部署越廣泛，保護涵蓋範圍就越大。 例如，如果在特定偵測中使用 Microsoft Defender for Cloud Apps 訊號，則需要此產品才能偵測相關的特定攻擊案例。 同樣地，應該部署相關產品來執行自動化響應動作。 例如，需要 適用於端點的 Microsoft Defender 才能自動包含裝置。 適用於端點的 Microsoft Defender的裝置探索設定為「標準探索」， (自動起始「包含裝置」動作的必要條件)
權限	若要設定自動攻擊中斷功能，您必須在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中https://admin.microsoft.com指派下列其中一個角色： 全域系統管理員 安全性系統管理員 若要使用自動化調查和回應功能，例如檢閱、核准或拒絕擱置中的動作，請參閱 控制中心工作的必要許可權。

適用於端點的 Microsoft Defender 必要條件

用戶端 (MDE 用戶端) 的最低 Sense 用戶端版本

[ 包含使用者 ] 動作運作所需的最小 Sense 代理程式版本是 v10.8470。 您可以執行下列 PowerShell 命令來識別裝置上的 Sense 代理程式版本：

Get-ItemProperty -Path 'Registry：：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name “InstallLocation”

組織裝置的自動化設定

檢閱為您的裝置組策略設定的自動化層級、自動調查是否執行，以及是否自動採取補救動作，或僅在裝置核准時採取補救動作，取決於特定設定。 您必須是全域管理員或安全性系統管理員，才能執行下列程式：

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。

2. 移至 [許可權] 下的 [系統>設定>端點>裝置群組]。

3. 檢閱您的裝置組策略，並查看 [補救層級] 數據 行。 建議您 自動使用完整 - 補救威脅。

您也可以建立或編輯您的裝置群組，為每個群組設定適當的補救層級。 選取 半自動化層 級可觸發自動攻擊中斷，而不需要手動核准。 若要從自動化內含專案中排除裝置群組，您可以將其自動化層級設定為 無自動化回應。 請注意，此設定不強烈建議使用，而且應該只針對數量有限的裝置來完成。

裝置探索設定

裝置探索設定至少必須啟用為「Standard 探索」。 瞭解如何在設定裝置探索中設定 裝置探索。

注意事項

攻擊中斷可能會在裝置上運作，而不受裝置的 Microsoft Defender 防病毒軟體作狀態影響。 作業狀態可以是主動、被動或 EDR 封鎖模式。

適用於身分識別的 Microsoft Defender 必要條件

在域控制器中設定稽核

瞭解如何在設定 Windows 事件記錄 檔的稽核原則中的域控制器中設定稽核，以確保在部署適用於身分識別的 Defender 感測器的域控制器上設定必要的稽核事件。

驗證動作帳戶

適用於身分識別的 Defender 可讓您在身分識別遭入侵時，針對 內部部署的 Active Directory 帳戶採取補救動作。 若要採取這些動作，適用於身分識別的 Defender 必須具有執行此動作的必要許可權。 根據預設，適用於身分識別的Defender感測器會模擬域控制器的LocalSystem帳戶，並執行動作。 由於可以變更預設值，請驗證適用於身分識別的 Defender 具有必要的許可權，或使用預設的 LocalSystem 帳戶。

您可以在設定動作帳戶中找到動作帳戶的詳細資訊 適用於身分識別的 Microsoft Defender

適用於身分識別的Defender感測器必須部署在要關閉Active Directory 帳戶的域控制器上。

注意事項

如果您已備妥自動化來啟用或封鎖使用者，請檢查自動化是否可能會干擾中斷。 例如，如果有自動化就地定期檢查並強制所有作用中員工都已啟用帳戶，這可能會在偵測到攻擊時無意中啟用因攻擊中斷而停用的帳戶。

Microsoft Defender for Cloud Apps 必要條件

Microsoft Office 365 連接器

Microsoft Defender for Cloud Apps 必須透過連接器連接到 Microsoft Office 365。 若要連線 Defender for Cloud Apps，請參閱將 Microsoft 365 連線到 Microsoft Defender for Cloud Apps。

應用程式控管

必須開啟應用程式控管。 請參閱 應用程式控管檔 以開啟它。

適用於 Office 365 的 Microsoft Defender 必要條件

信箱位置

信箱必須裝載在 Exchange Online 中。

信箱稽核記錄

下列信箱事件必須至少稽核：

• MailItemsAccessed
• UpdateInboxRules
• MoveToDeletedItems
• SoftDelete
• HardDelete

檢閱 管理信箱稽核 ，以瞭解如何管理信箱稽核。

安全鏈接原則必須存在

後續步驟

• 檢視詳細資料與報告
• 設定和管理攻擊中斷排除專案
• 取得回應動作的電子郵件通知

相關內容

• Microsoft Defender 全面偵測回應 中的自動攻擊中斷
• SAP 的自動攻擊中斷

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。