Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender XDR включает в себя мощные возможности автоматического нарушения атак, которые могут защитить среду от сложных атак с высоким воздействием.
Настройте возможности автоматического нарушения атаки в Microsoft Defender XDR. После настройки вы можете просматривать действия сдерживания и управлять ими в разделе Инциденты и Центре уведомлений. При необходимости можно внести изменения в параметры автоматического нарушения атаки.
Предварительные условия
Ниже приведены предварительные требования для настройки автоматического нарушения атак в Microsoft Defender.
| Требование | Сведения |
|---|---|
| Требования к подписке: | Одна из следующих подписок:
|
| Требования к развертыванию |
|
| Разрешения | Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com):
|
Предварительные требования для Microsoft Defender для конечной точки
Для поддержки функции автоматического прерывания атаки Microsoft Defender для конечной точки требуется минимальная версия клиента Sense и правильные параметры автоматизации для групп устройств.
Минимальная версия клиента sense (клиент MDE)
Минимальная версия агента Sense, необходимая для работы действия Contain User, — v10.8470. Вы можете определить версию агента sense на устройстве, выполнив следующую команду PowerShell:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\' -Name "InstallLocation"
Или
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status' -Name "MsSenseDllVersion"
Настройка автоматизации для устройств организации
Просмотрите параметры автоматизации для групповых политик устройств, чтобы определить, выполняются ли автоматические исследования и выполняются ли действия по исправлению автоматически или только после утверждения. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите в раздел Система>Параметры>Конечные устройства>Группы устройств в меню Разрешения.
Просмотрите групповые политики устройств и просмотрите столбец Уровень исправления . Полный — автоматическое исправление угроз — это рекомендуемый параметр.
Вы также можете создать или изменить группы устройств, чтобы задать соответствующий уровень исправления для каждой группы. Выбор уровня полуавтома автоматизации позволяет активировать автоматическое прерывание атаки без необходимости утверждения вручную. Чтобы исключить группу устройств из автоматического сдерживания, можно задать для нее уровень автоматизации без автоматического ответа. Этот параметр не рекомендуется и должен выполняться только для ограниченного количества устройств.
Примечание.
Прерывание атаки может применяться к устройствам независимо от состояния Microsoft Defender Antivirus на устройстве. Состояние работы антивирусной программы Microsoft Defender может быть активным, пассивным или режимом блокировки EDR.
Предварительные требования для Microsoft Defender для удостоверений
Для поддержки автоматического прерывания атак Microsoft Defender для удостоверений требует включения аудита на контроллерах домена и правильно настроенных учетных записей для выполнения действий.
Настройка аудита в контроллерах домена
Сведения о настройке аудита на контроллерах домена см. в разделе "Настройка политик аудита" для журналов событий Windows. Убедитесь, что необходимые события аудита настроены на контроллерах домена, на которых развернут датчик Microsoft Defender для удостоверений.
Проверка учетных записей действий
Defender for Identity позволяет принимать меры по устранению в отношении учетных записей локальной службы Active Directory, если учетная запись скомпрометирована. Чтобы выполнить эти действия, Defender for Identity должен иметь требуемые разрешения. По умолчанию сенсор Defender for Identity работает от имени учетной записи LocalSystem на контроллере домена и выполняет эти действия. Поскольку использование учетной записи LocalSystem по умолчанию для олицетворения можно изменить, убедитесь, что Defender for Identity имеет необходимые разрешения или использует учетную запись LocalSystem по умолчанию.
Дополнительные сведения об учетных записях действий см. в разделе "Настройка учетных записей действий Microsoft Defender для удостоверений".
Датчик Defender для удостоверений необходимо развернуть на контроллере домена, где должна быть отключена учетная запись Active Directory.
Примечание.
Если у вас настроена автоматизация для активации или блокировки пользователя, проверьте, не может ли она помешать устранению сбоя. Например, если настроен автоматизированный процесс для регулярной проверки того, что у всех активных сотрудников учетные записи включены, и принудительного обеспечения этого, он может непреднамеренно повторно активировать учетные записи, которые были деактивированы в рамках противодействия атаке при её обнаружении.
предварительные требования Microsoft Defender for Cloud Apps
Для поддержки автоматического прерывания атаки Microsoft Defender for Cloud Apps требуется правильно настроенный коннектор Microsoft Office 365.
соединитель Microsoft Office 365
Microsoft Defender for Cloud Apps должны быть подключены к Microsoft Office 365 через соединитель. Сведения о подключении Defender for Cloud Apps см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps.
Это важно
Чтобы обеспечить полную функциональность возможности, необходимо правильно настроить соединитель Microsoft 365. В процессе установки все флажки в соединителе Microsoft 365 должны быть выбраны, включая параметр включения Microsoft Entra ID приложений. Если не выбрать все необходимые параметры, это может привести к следующим последствиям:
- Частичная или пониженная функциональность
- Невозможность выполнять критически важные действия (например, управление приложениями или сценарии прерывания)
- Повышенная вероятность сбоев операций
Предварительные требования для Microsoft Defender для Office 365
Для поддержки автоматического прерывания атак Microsoft Defender для Office 365 требуется наличие почтовых ящиков, размещённых в Exchange Online, и определённых событий журнала аудита почтовых ящиков.
Расположение почтовых ящиков
Почтовые ящики должны размещаться в Exchange Online.
Ведение журнала аудита почтового ящика
Как минимум, проверяйте эти события почтового ящика: MailItemsAccessed, UpdateInboxRules, MoveToDeletedItems, SoftDelete и HardDelete.
Сведения об управлении аудитом почтовых ящиков см. в статье Управление аудитом почтовых ящиков.
Предварительные требования для Microsoft Sentinel для внешних платформ (предварительная версия)
Аналитическая рабочая область Microsoft Sentinel должна быть подключена к унифицированному порталу операций безопасности, чтобы включить действия по срыву атак для Okta и AWS.
- Инструкции по интеграции и настройке Okta см. в статье Включение действий по прерыванию атак в Okta с помощью Microsoft Sentinel.
- Инструкции по интеграции и настройке AWS см. в статье "Включение действий по нарушению атак в AWS" с помощью Microsoft Sentinel.