在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷
Microsoft Defender 全面偵測回應 包含強大的自動化攻擊中斷功能,可保護您的環境免於遭受複雜、高影響的攻擊。
本文說明如何在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷功能。 一切設定完成之後,您就可以在事件和控制中心中檢視和管理內含項目動作。 而且,如有必要,您可以變更設定。
必要條件
以下是在 Microsoft Defender 全面偵測回應 中設定自動攻擊中斷的必要條件:
需求 | 詳細資料 |
---|---|
訂閱需求 | 下列其中一個訂用帳戶:
|
部署需求 |
|
權限 | 若要設定自動攻擊中斷功能,您必須在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中https://admin.microsoft.com指派下列其中一個角色:
|
適用於端點的 Microsoft Defender 必要條件
用戶端 (MDE 用戶端) 的最低 Sense 用戶端版本
[ 包含使用者 ] 動作運作所需的最小 Sense 代理程式版本是 v10.8470。 您可以執行下列 PowerShell 命令來識別裝置上的 Sense 代理程式版本:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name “InstallLocation”
組織裝置的自動化設定
檢閱為您的裝置組策略設定的自動化層級、自動調查是否執行,以及是否自動採取補救動作,或僅在裝置核准時採取補救動作,取決於特定設定。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
移至 [許可權] 下的 [系統>設定>端點>裝置群組]。
檢閱您的裝置組策略,並查看 [補救層級] 數據 行。 建議您 自動使用完整 - 補救威脅。
您也可以建立或編輯您的裝置群組,為每個群組設定適當的補救層級。 選取 半自動化層 級可觸發自動攻擊中斷,而不需要手動核准。 若要從自動化內含專案中排除裝置群組,您可以將其自動化層級設定為 無自動化回應。 請注意,此設定不強烈建議使用,而且應該只針對數量有限的裝置來完成。
裝置探索設定
裝置探索設定至少必須啟用為「Standard 探索」。 瞭解如何在設定裝置探索中設定 裝置探索。
注意事項
攻擊中斷可能會在裝置上運作,而不受裝置的 Microsoft Defender 防病毒軟體作狀態影響。 作業狀態可以是主動、被動或 EDR 封鎖模式。
適用於身分識別的 Microsoft Defender 必要條件
在域控制器中設定稽核
瞭解如何在設定 Windows 事件記錄 檔的稽核原則中的域控制器中設定稽核,以確保在部署適用於身分識別的 Defender 感測器的域控制器上設定必要的稽核事件。
驗證動作帳戶
適用於身分識別的 Defender 可讓您在身分識別遭入侵時,針對 內部部署的 Active Directory 帳戶採取補救動作。 若要採取這些動作,適用於身分識別的 Defender 必須具有執行此動作的必要許可權。 根據預設,適用於身分識別的Defender感測器會模擬域控制器的LocalSystem帳戶,並執行動作。 由於可以變更預設值,請驗證適用於身分識別的 Defender 具有必要的許可權,或使用預設的 LocalSystem 帳戶。
您可以在設定動作帳戶中找到動作帳戶的詳細資訊 適用於身分識別的 Microsoft Defender
適用於身分識別的Defender感測器必須部署在要關閉Active Directory 帳戶的域控制器上。
注意事項
如果您已備妥自動化來啟用或封鎖使用者,請檢查自動化是否可能會干擾中斷。 例如,如果有自動化就地定期檢查並強制所有作用中員工都已啟用帳戶,這可能會在偵測到攻擊時無意中啟用因攻擊中斷而停用的帳戶。
Microsoft Defender for Cloud Apps 必要條件
Microsoft Office 365 連接器
Microsoft Defender for Cloud Apps 必須透過連接器連接到 Microsoft Office 365。 若要連線 Defender for Cloud Apps,請參閱將 Microsoft 365 連線到 Microsoft Defender for Cloud Apps。
應用程式控管
必須開啟應用程式控管。 請參閱 應用程式控管檔 以開啟它。
適用於 Office 365 的 Microsoft Defender 必要條件
信箱位置
信箱必須裝載在 Exchange Online 中。
信箱稽核記錄
下列信箱事件必須至少稽核:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
檢閱 管理信箱稽核 ,以瞭解如何管理信箱稽核。
安全鏈接原則必須存在
後續步驟
相關內容
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。