分享方式:

在 Microsoft Defender XDR 中設定自動攻擊中斷功能

  • 文章

Microsoft Defender XDR 包含強大的 自動化攻擊中斷 功能,可保護您的環境免於遭受複雜、高影響的攻擊。

本文說明如何使用下列步驟 ,在 Microsoft Defender XDR 中設定自動攻擊中斷功能:

  1. 檢閱必要條件
  2. 檢閱或變更使用者的自動回應排除專案。

然後,在您全部設定完成之後,您就可以在事件和控制中心中檢視和管理內含項目動作。 而且,如有必要,您可以變更設定。

Microsoft Defender XDR 中自動攻擊中斷的必要條件

需求 詳細資料
訂閱需求 下列其中一個訂用帳戶:
  • Microsoft 365 E5 或 A5
  • Microsoft 365 E3 與 Microsoft 365 E5 安全性附加元件
  • Microsoft 365 E3 與 Enterprise Mobility + Security E5 附加元件
  • Microsoft 365 A3 與 Microsoft 365 安全性附加元件
  • Windows 10 企業版 E5 或 A5
  • Windows 11 企業版 E5 或 A5
  • Enterprise Mobility + Security (EMS) E5 或 A5
  • Office 365 E5 或 A5
  • Microsoft適用於端點的 Defender (方案 2)
  • 適用於身分識別的 Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • 適用於 Office 365 的 Defender (方案 2)
  • 適用於企業的 Microsoft Defender

參閱 Microsoft Defender XDR 授權需求
部署需求
  • 跨 Defender 產品部署 (例如適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender 和適用於雲端應用程式的 Defender)
    • 部署越廣泛,保護涵蓋範圍就越大。 例如,如果在特定偵測中使用適用於雲端應用程式的 Microsoft Defender 訊號,則需要此產品來偵測相關的特定攻擊案例。
    • 同樣地,應該部署相關產品來執行自動化響應動作。 例如,Microsoft適用於端點的 Defender 必須自動包含裝置。
  • Microsoft適用於端點的 Defender 裝置探索設定為「標準探索」
權限 若要設定自動攻擊中斷功能,您必須在 Microsoft Entra ID () https://portal.azure.com 或 Microsoft 365 系統管理中心 https://admin.microsoft.com () 中指派下列其中一個角色:
  • 全域系統管理員
  • 安全性系統管理員
若要使用自動化調查和回應功能,例如檢閱、核准或拒絕擱置中的動作,請參閱 控制中心工作的必要許可權。

Microsoft適用於端點的 Defender 必要條件

MDE 用戶端 (的最低 Sense 用戶端版本)

[ 包含使用者 ] 動作運作所需的最小 Sense 代理程式版本是 v10.8470。 您可以執行下列 PowerShell 命令來識別裝置上的 Sense 代理程式版本:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name “InstallLocation”

組織裝置的自動化設定

檢閱為您的裝置組策略設定的自動化層級、執行其他自動化調查,以及是否自動採取補救動作,或僅在裝置核准時,視特定設定而定。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:

  1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。

  2. 移至 [許可權]> 下的 [設定端點>裝置群組]

  3. 檢閱您的裝置組策略。 查看 [自動化層級] 資料 行。 建議您 自動使用完整 - 補救威脅。 您可能需要建立或編輯裝置群組,以取得您想要的自動化層級。 若要從自動化內含專案中排除裝置群組,請將其自動化層級設定為 無自動化回應。 請注意,這不是強烈建議的做法,應該只針對數量有限的裝置來完成。

裝置探索設定

裝置探索設定至少必須啟用為「標準探索」。 瞭解如何在設定裝置探索中設定 裝置探索

注意事項

攻擊中斷可能會在裝置上運作,而不受裝置的Microsoft Defender 防病毒軟體操作狀態影響。 作業狀態可以是主動、被動或 EDR 封鎖模式。

Microsoft適用於身分識別的 Defender 必要條件

在域控制器中設定稽核

瞭解如何在設定 Windows 事件記錄 檔的稽核原則中的域控制器中設定稽核,以確保在部署適用於身分識別的 Defender 感測器的域控制器上設定必要的稽核事件。

驗證動作帳戶

適用於身分識別的 Defender 可讓您在身分識別遭入侵時,採取以內部部署 Active Directory 帳戶為目標的補救動作。 若要採取這些動作,適用於身分識別的 Defender 必須具有執行此動作的必要許可權。 根據預設,適用於身分識別的Defender感測器會模擬域控制器的LocalSystem帳戶,並執行動作。 由於可以變更預設值,請驗證適用於身分識別的 Defender 具有必要的許可權,或使用預設的 LocalSystem 帳戶。

您可以在設定適用於身分識別的Defender動作帳戶中找到動作帳戶的詳細資訊Microsoft

適用於身分識別的Defender感測器必須部署在要關閉Active Directory 帳戶的域控制器上。

注意事項

如果您已備妥自動化來啟用或封鎖使用者,請檢查自動化是否可能會干擾中斷。 例如,如果有自動化就地定期檢查並強制所有作用中員工都已啟用帳戶,這可能會在偵測到攻擊時無意中啟用因攻擊中斷而停用的帳戶。

Microsoft適用於雲端應用程式的Defender必要條件

Microsoft Office 365 連接器

Microsoft適用於雲端應用程式的 Defender 必須透過連接器連線到 Microsoft Office 365。 若要連線適用於雲端應用程式的Defender,請 參閱將 Microsoft 365 連線到適用於雲端應用程式Microsoft Defender

應用程式控管

必須開啟應用程式控管。 請參閱 應用程式控管檔 以開啟它。

Microsoft適用於 Office 365 的 Defender 必要條件

信箱位置

信箱必須裝載在 Exchange Online 中。

信箱稽核記錄

下列信箱事件必須至少稽核:

  • MailItemsAccessed
  • UpdateInboxRules
  • MoveToDeletedItems
  • SoftDelete
  • HardDelete

檢閱 管理信箱稽核 ,以瞭解如何管理信箱稽核。

檢閱或變更使用者的自動回應排除專案

自動攻擊中斷可讓您排除來自自動化內含專案動作的特定用戶帳戶。 排除的使用者不會受到攻擊中斷所觸發的自動化動作影響。 您必須是全域管理員或安全性系統管理員,才能執行下列程式:

  1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。

  2. 移至 [設定>Microsoft Defender XDR 身>分識別自動化回應。 檢查使用者清單以排除帳戶。 選取用戶帳戶以進行自動回應排除

  3. 若要排除新的用戶帳戶,請選取 [ 新增使用者排除]

不建議排除使用者帳戶,且新增至此清單的帳戶不會在所有支援的攻擊類型中暫停,例如商務電子郵件洩露 (BEC) 和人為操作的勒索軟體。

後續步驟

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群