Настройка автоматического прерывания атак в Microsoft Defender XDR

Microsoft Defender XDR включает в себя мощные возможности автоматического нарушения атак, которые могут защитить среду от сложных атак с высоким воздействием.

Настройте возможности автоматического нарушения атаки в Microsoft Defender XDR. После настройки вы можете просматривать действия сдерживания и управлять ими в разделе Инциденты и Центре уведомлений. При необходимости можно внести изменения в параметры автоматического нарушения атаки.

Предварительные условия

Ниже приведены предварительные требования для настройки автоматического нарушения атак в Microsoft Defender.

Требование Сведения
Требования к подписке: Одна из следующих подписок:
  • Microsoft 365 E5 или A5
  • Microsoft 365 E3 с дополнением Microsoft Defender Suite
  • Microsoft 365 E3 с надстройкой Enterprise Mobility + Security E5
  • Microsoft 365 A3 с дополнением Microsoft 365 A5 Security
  • Windows 10 Корпоративная E5 или A5
  • Windows 11 Корпоративная E5 или A5
  • Enterprise Mobility + Security (EMS) E5 или A5
  • Office 365 E5 или A5
  • Microsoft Defender для конечной точки (план 2)
  • Microsoft Defender для идентификации
  • Microsoft Defender для облачных приложений
  • Defender для Office 365 (план 2)
  • Microsoft Defender для бизнеса

См. Microsoft Defender XDR требования к лицензированию.

Требования к развертыванию
  • Развертывание продуктов Defender (например, Defender for Endpoint, Defender для Office 365, Defender for Identity и Defender for Cloud Apps)
    • Чем шире развертывание, тем выше уровень защиты. Например, если в определенном обнаружении используется сигнал Microsoft Defender for Cloud Apps, то этот продукт требуется для обнаружения соответствующего конкретного сценария атаки.
    • Аналогичным образом, необходимо развернуть каждый продукт Defender для выполнения его автоматизированных действий реагирования. Например, Microsoft Defender для конечной точки требуется для автоматического хранения устройства.
  • Для функции обнаружения устройств в Microsoft Defender для конечной точки задано значение «Стандартное обнаружение» (обязательное условие для автоматического запуска действия «Изоляция устройства»).
  • Для действий по срыву атак на внешних платформах, таких как Okta или AWS (предварительная версия): аналитическая рабочая область Microsoft Sentinel, подключенная к единому порталу управления операциями безопасности, с развернутым соединителем соответствующего поставщика.
Разрешения Чтобы настроить возможности автоматического прерывания атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com):
  • Глобальный администратор
  • Администратор безопасности
  • Администратор пользователей
  • Администратор проверки подлинности
  • Привилегированный администратор проверки подлинности
  • Средства записи каталогов
  • Администратор службы поддержки
  • Оператор безопасности
Сведения о том, как работать с возможностями автоматизированного расследования и реагирования, например при просмотре, утверждении или отклонении ожидающих выполнения действий, см. в разделе Необходимые разрешения для задач центра уведомлений и действий.

Предварительные требования для Microsoft Defender для конечной точки

Для поддержки функции автоматического прерывания атаки Microsoft Defender для конечной точки требуется минимальная версия клиента Sense и правильные параметры автоматизации для групп устройств.

Минимальная версия клиента sense (клиент MDE)

Минимальная версия агента Sense, необходимая для работы действия Contain User, — v10.8470. Вы можете определить версию агента sense на устройстве, выполнив следующую команду PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\' -Name "InstallLocation"

Или

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status' -Name "MsSenseDllVersion"

Настройка автоматизации для устройств организации

Просмотрите параметры автоматизации для групповых политик устройств, чтобы определить, выполняются ли автоматические исследования и выполняются ли действия по исправлению автоматически или только после утверждения. Для выполнения следующей процедуры необходимо быть глобальным администратором или администратором безопасности.

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. Перейдите в раздел Система>Параметры>Конечные устройства>Группы устройств в меню Разрешения.

  3. Просмотрите групповые политики устройств и просмотрите столбец Уровень исправления . Полный — автоматическое исправление угроз — это рекомендуемый параметр.

Вы также можете создать или изменить группы устройств, чтобы задать соответствующий уровень исправления для каждой группы. Выбор уровня полуавтома автоматизации позволяет активировать автоматическое прерывание атаки без необходимости утверждения вручную. Чтобы исключить группу устройств из автоматического сдерживания, можно задать для нее уровень автоматизации без автоматического ответа. Этот параметр не рекомендуется и должен выполняться только для ограниченного количества устройств.

Примечание.

Прерывание атаки может применяться к устройствам независимо от состояния Microsoft Defender Antivirus на устройстве. Состояние работы антивирусной программы Microsoft Defender может быть активным, пассивным или режимом блокировки EDR.

Предварительные требования для Microsoft Defender для удостоверений

Для поддержки автоматического прерывания атак Microsoft Defender для удостоверений требует включения аудита на контроллерах домена и правильно настроенных учетных записей для выполнения действий.

Настройка аудита в контроллерах домена

Сведения о настройке аудита на контроллерах домена см. в разделе "Настройка политик аудита" для журналов событий Windows. Убедитесь, что необходимые события аудита настроены на контроллерах домена, на которых развернут датчик Microsoft Defender для удостоверений.

Проверка учетных записей действий

Defender for Identity позволяет принимать меры по устранению в отношении учетных записей локальной службы Active Directory, если учетная запись скомпрометирована. Чтобы выполнить эти действия, Defender for Identity должен иметь требуемые разрешения. По умолчанию сенсор Defender for Identity работает от имени учетной записи LocalSystem на контроллере домена и выполняет эти действия. Поскольку использование учетной записи LocalSystem по умолчанию для олицетворения можно изменить, убедитесь, что Defender for Identity имеет необходимые разрешения или использует учетную запись LocalSystem по умолчанию.

Дополнительные сведения об учетных записях действий см. в разделе "Настройка учетных записей действий Microsoft Defender для удостоверений".

Датчик Defender для удостоверений необходимо развернуть на контроллере домена, где должна быть отключена учетная запись Active Directory.

Примечание.

Если у вас настроена автоматизация для активации или блокировки пользователя, проверьте, не может ли она помешать устранению сбоя. Например, если настроен автоматизированный процесс для регулярной проверки того, что у всех активных сотрудников учетные записи включены, и принудительного обеспечения этого, он может непреднамеренно повторно активировать учетные записи, которые были деактивированы в рамках противодействия атаке при её обнаружении.

предварительные требования Microsoft Defender for Cloud Apps

Для поддержки автоматического прерывания атаки Microsoft Defender for Cloud Apps требуется правильно настроенный коннектор Microsoft Office 365.

соединитель Microsoft Office 365

Microsoft Defender for Cloud Apps должны быть подключены к Microsoft Office 365 через соединитель. Сведения о подключении Defender for Cloud Apps см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps.

Это важно

Чтобы обеспечить полную функциональность возможности, необходимо правильно настроить соединитель Microsoft 365. В процессе установки все флажки в соединителе Microsoft 365 должны быть выбраны, включая параметр включения Microsoft Entra ID приложений. Если не выбрать все необходимые параметры, это может привести к следующим последствиям:

  • Частичная или пониженная функциональность
  • Невозможность выполнять критически важные действия (например, управление приложениями или сценарии прерывания)
  • Повышенная вероятность сбоев операций

Предварительные требования для Microsoft Defender для Office 365

Для поддержки автоматического прерывания атак Microsoft Defender для Office 365 требуется наличие почтовых ящиков, размещённых в Exchange Online, и определённых событий журнала аудита почтовых ящиков.

Расположение почтовых ящиков

Почтовые ящики должны размещаться в Exchange Online.

Ведение журнала аудита почтового ящика

Как минимум, проверяйте эти события почтового ящика: MailItemsAccessed, UpdateInboxRules, MoveToDeletedItems, SoftDelete и HardDelete.

Сведения об управлении аудитом почтовых ящиков см. в статье Управление аудитом почтовых ящиков.

Предварительные требования для Microsoft Sentinel для внешних платформ (предварительная версия)

Аналитическая рабочая область Microsoft Sentinel должна быть подключена к унифицированному порталу операций безопасности, чтобы включить действия по срыву атак для Okta и AWS.

Дальнейшие действия