Configurar capacidades de interrupção automática de ataques no Microsoft Defender XDR
Microsoft Defender XDR inclui poderosas capacidades de interrupção automatizada de ataques que podem proteger o seu ambiente de ataques sofisticados e de alto impacto.
Este artigo descreve como configurar as capacidades de interrupção automática de ataques no Microsoft Defender XDR com estes passos:
- Reveja os pré-requisitos.
- Reveja ou altere as exclusões de resposta automatizadas para os utilizadores.
Em seguida, depois de configurar tudo, pode ver e gerir as ações de contenção em Incidentes e no Centro de Ação. Se necessário, pode efetuar alterações às definições.
Pré-requisitos para a interrupção automática de ataques no Microsoft Defender XDR
Requisito | Detalhes |
---|---|
Requisitos de assinatura | Uma destas subscrições:
|
Requisitos de implementação |
|
Permissões | Para configurar as capacidades de interrupção automática de ataques, tem de ter uma das seguintes funções atribuídas Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com):
|
Pré-requisitos do Microsoft Defender para Ponto de Extremidade
Versão mínima do Cliente Sense (cliente MDPE)
A versão mínima do Agente de Sensor necessária para que a ação Conter Utilizador funcione é v10.8470. Pode identificar a versão do Agente do Sense num dispositivo ao executar o seguinte comando do PowerShell:
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
Definição de automatização para os dispositivos da sua organização
Reveja o nível de automatização configurado para as políticas do grupo de dispositivos, se as investigações automatizadas são executadas e se as ações de remediação são executadas automaticamente ou apenas após a aprovação dos seus dispositivos dependem de determinadas definições. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:
Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.
Reveja as políticas do grupo de dispositivos. Observe a coluna ao nível da Automatização . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para excluir um grupo de dispositivos da contenção automatizada, defina o nível de automatização para nenhuma resposta automatizada. Tenha em atenção que isto não é altamente recomendado e só deve ser feito para um número limitado de dispositivos.
Configuração da deteção de dispositivos
As definições de deteção de dispositivos têm de ser ativadas para "Standard Deteção" no mínimo. Saiba como configurar a deteção de dispositivos em Configurar a deteção de dispositivos.
Observação
A interrupção do ataque pode atuar em dispositivos independentemente do estado operacional Microsoft Defender Antivírus de um dispositivo. O estado operacional pode estar no Modo de Bloqueio Ativo, Passivo ou EDR.
Pré-requisitos do Microsoft Defender para Identidade
Configurar a auditoria em controladores de domínio
Saiba como configurar a auditoria em controladores de domínio em Configurar políticas de auditoria para registos de eventos do Windows para garantir que os eventos de auditoria necessários são configurados nos controladores de domínio onde o sensor do Defender para Identidade está implementado.
Validar contas de ação
O Defender para Identidade permite-lhe realizar ações de remediação direcionadas Active Directory local contas caso uma identidade seja comprometida. Para efetuar estas ações, o Defender para Identidade tem de ter as permissões necessárias para o fazer. Por predefinição, o sensor do Defender para Identidade representa a conta localSystem do controlador de domínio e executa as ações. Uma vez que a predefinição pode ser alterada, confirme que o Defender para Identidade tem as permissões necessárias ou utiliza a conta localSystem predefinida.
Pode encontrar mais informações sobre as contas de ação em Configurar contas de ação Microsoft Defender para Identidade
O sensor do Defender para Identidade tem de ser implementado no controlador de domínio onde a conta do Active Directory deve ser desativada.
Observação
Se tiver automatizações implementadas para ativar ou bloquear um utilizador, marcar se as automatizações podem interferir com a Interrupção. Por exemplo, se existir uma automatização em vigor para marcar regularmente e impor que todos os funcionários ativos tenham ativado contas, isto poderá ativar involuntariamente contas que foram desativadas por interrupção do ataque enquanto um ataque é detetado.
pré-requisitos do Microsoft Defender para Aplicativos de Nuvem
Conector Microsoft Office 365
Microsoft Defender para Aplicativos de Nuvem tem de estar ligado a Microsoft Office 365 através do conector. Para ligar Defender para Aplicativos de Nuvem, consulte Ligar o Microsoft 365 ao Microsoft Defender para Aplicativos de Nuvem.
Governação de Aplicações
A Governação de Aplicações tem de estar ativada. Veja a documentação de governação de aplicações para ativá-la.
pré-requisitos do Microsoft Defender para Office 365
Localização das caixas de correio
As caixas de correio têm de ser alojadas no Exchange Online.
Registro em log de auditoria da caixa de correio
Os seguintes eventos de caixa de correio têm de ser auditados no mínimo:
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
Reveja gerir a auditoria de caixas de correio para saber mais sobre a gestão da auditoria de caixas de correio.
A política de ligações seguras tem de estar presente.
Rever ou alterar exclusões de resposta automatizadas para utilizadores
A interrupção automática de ataques permite a exclusão de contas de utilizador específicas de ações de contenção automatizadas. Os utilizadores excluídos não serão afetados por ações automatizadas acionadas por interrupção do ataque. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:
Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
Aceda a Definições>Microsoft Defender XDR>Identidade de resposta automatizada. Verifique a lista de utilizadores para excluir contas.
Para excluir uma nova conta de utilizador, selecione Adicionar exclusão de utilizador.
A exclusão das contas de utilizador não é recomendada e as contas adicionadas a esta lista não serão suspensas em todos os tipos de ataque suportados, como o comprometimento de e-mail empresarial (BEC) e o ransomware operado por humanos.
Próximas etapas
Confira também
- Interrupção automática de ataques no Microsoft Defender XDR
- Interrupção automática de ataques para SAP
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.