MS Defender for Endpoint的自動化配置與管理
Microsoft Defender for Endpoint 提供自動調查和修復。自動化配置選項允許控制自動化如何應用於設備。Device groups提供兩個主要功能;設定remediation level並設定security access。
配置進階功能
Settings/General區域中的進階功能頁面提供以下自動化相關設定:
General Settings區域中的進階功能區域為產品內的功能提供了許多啟用開關。以下是聚焦於自動化的設定。
- Automated Investigation:
啟用”investigation and response”的自動化功能。 - Enable EDR in block mode:
開啟後,Microsoft Defender for Endpoint 將使用”behavioral blocking and containment”功能,封鎖透過 post-breach EDR 功能觀察到的惡意工件或行為。此功能不會改變 Microsoft Defender for Endpoint 執行偵測、告警產生和事故關聯的方式。 - Automatically resolve alerts:
如果自動調查未發現威脅或已成功修復所有惡意工件,則關閉告警。 - Allow or block file:
確保 Windows Defender 防毒軟體已打開,並在組織中啟用了基於雲端的保護功能,以使用允許或封鎖檔案功能。
開啟Automated investigation功能以利用該服務的自動調查和修復功能。
對於在 Windows 10 版本 1809 上或之後建立的tenants,預設會設定自動調查和修復功能以解決自動分析結果狀態為「No threats found」或「Remediated」的告警。如果不想Autoresolve remediated alerts,則需要手動關閉該功能。
Autoresolve action的結果可能會影響基於設備上發現的告警的設備風險等級計算。如果資安人員手動將警報狀態設為“In progress”或“Resolved”,autoresolve功能就不會take care這個告警。
Allow or block file
僅當組織滿足以需求時才可以進行封鎖:
- 使用 Microsoft Defender 防毒軟體作為主動反惡意軟體解決方案
和 - 雲端防護(cloud-based protection)功能已啟用
此功能使我們能夠封鎖網路中潛在的惡意檔案。封鎖檔案將阻止該檔案在組織中的裝置上進行"讀取、寫入或執行"。啟用此功能後,可以透過檔案設定檔頁面上的「Add Indicator」頁籤來封鎖檔案。
管理自動上傳和資料夾設定
啟用File Content Analysis功能,以便某些文件和電子郵件附件可以自動上傳到雲端,然後在Automated investigation中進行更多檢查。透過指定檔案副檔名和電子郵件附件副檔名來識別檔案和電子郵件附件。例如,如果新增 exe 和 bat 作為檔案或附件副檔名,則具有這些副檔名的所有檔案或附件將自動傳送至雲端,以便在自動調查期間進行更多檢查。
如果希望 Microsoft Defender for Endpoint 自automatically investigate memory content of processes的記憶體內容,請啟用Memory Content Analysis。啟用後,記憶體內容可能會在自動調查期間上傳到 Microsoft Defender for Endpoint。
新增檔案副檔名和附件副檔名
配置file setting:
- In the navigation pane for Microsoft Defender XDR, select Settings > Endpoints. Under the Rules section, select Automation uploads.
- Toggle the content analysis setting between On and Off.
- Configure the following extension names and separate extension names with a comma:
File extension names — Suspicious files except email attachments will be submitted for more inspection
管理自動化資料夾排除(automation folder exclusions)
自動化資料夾排除可指定自動調查將跳過的資料夾。可以控制要跳過的資料夾的以下屬性:
- Folders:
可以指定要跳過的資料夾及其子資料夾。 - Extensions of the files:
可以指定要在特定目錄中排除的副檔名。這些擴充功能是防止攻擊者使用排除的資料夾來隱藏漏洞的一種方法。extensions明確定義了要忽略的檔案。 - File names:
可以指定要在特定目錄中排除的檔案名稱。這些名稱是防止攻擊者使用排除的資料夾來隱藏漏洞的一種方法。這些名稱明確定義了要忽略的檔案。
管理folder exclusions:
- In the navigation pane for Microsoft Defender XDR, select Settings > Endpoints. Under the Rules section, select Automation folder exclusions.
- Select New folder exclusion.
- Enter the folder details:
— Folder
— Extensions
— File names
— Description - Select Save.
配置utomated investigation與remediation功能
若要設定automated investigation and remediation,開啟這些功能,然後設定device groups。
As a global administrator or security administrator:
- In the navigation pane, select Settings > Endpoints.
- In the General section, select Advanced features.
- Turn on both Automated Investigation and Automatically resolve alerts.
設定device groups
- In the navigation pane for Endpoints under Permissions, select Device groups.
- Select + Add device group.
至少建立一個設備群組,如下:
- 指定設備群組的名稱和描述。
- 在Automation level清單中,選擇一個級別,例如完全 — 自動修復威脅。Automation level會決定是否自動採取補救措施或僅在批准後採取補救措施。
- 在「設備」部分中,使用一個或多個條件來識別和包含設備。
- 在 User access tab上,選擇應有權存取正在建立的裝置群組的 Azure Active Directory Group。
3. 完成設備組設定後,選擇“完成”
配置自動調查與修復功能
要開啟該功能必須要是global admin或security admin:
- In the navigation pane, select Settings > Endpoints.
- In the General section, select Advanced features.
- Turn on both Automated Investigation and Automatically resolve alerts.
設定Device groups
- In the navigation pane for Endpoints under Permissions, select Device groups
- Select + Add device group。建立至少一個device group,步驟如下:
- 指定設備組的名稱和描述。
- 在Automation level清單中,選擇一個等級,例如完全 — 自動修復威脅。自動化等級決定是否自動採取補救措施或僅在批准後採取補救措施。
- 在「Devices」部分中,使用一個或多個條件來識別和包含設備。
- 在「User access」頁籤上,選擇應有權存取正在建立的裝置群組的 Azure Active Directory 群組。
3. 完成設備組設定後,選擇“完成”
Automation levels
- Full — remediate threats automatically (also referred to as full automation)
透過完全自動化,可以自動執行修復操作。可以在「Action Center」的「History」頁籤上查看所採取的所有補救措施。如有必要,可以撤銷補救措施。 - Semi — require approval for any remediation (also referred to as semi-automation)
在這種半自動化等級下,任何補救措施都需要獲得批准。可以在Action center的「Pending」頁籤上查看和批准此類待處理操作。 - Semi — require approval for core folders remediation (also a type of semi-automation)
過這種半自動化級別,對核心資料夾中的檔案或可執行檔案所需的任何修復操作都需要獲得批准。核心資料夾包含作業系統目錄,例如 Windows (\windows*)。可以對其他(非核心)資料夾中的檔案或執行檔自動執行修復操作。可以在Action center的「Pending」頁籤上檢視和批准核心資料夾中檔案或可執行檔案的待處理操作。可以在Action center的「History」頁籤上查看對其他資料夾中的檔案或可執行檔案執行的操作。 - Semi — require approval for non-temp folders remediation (also a type of semi-automation)
透過這種半自動化級別,對不在臨時資料夾中的檔案或可執行檔案所需的任何修復操作都需要獲得批准。
臨時資料夾可以包含以下範例:
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
- No automated response (also referred to as ‘no automation’)
如果沒有自動化,自動調查就不會在組織的設備上運作。因此,自動調查不會採取或未採取任何補救措施。但是,其他威脅防護功能(例如針對潛在有害應用程式的防護)可能會生效,具體取決於防毒和下一代防護功能的配置方式。
不建議使用無自動化選項,因為它會降低組織設備的安全狀況。考慮將自動化等級設定為完全自動化(或至少半自動化)。
在裝置群組上設定或更新修復等級的另一種方法是在「Settings, General, Auto remediation」頁面中。此頁面提供設備群組清單以及每個設備群組的目前修復等級。選擇該行將允許調整修復設定。
封鎖風險中的裝置
透過不讓有風險的設備透過條件式存(Conditional Access)取存取公司資源來遏制威脅。
我們需要一個 Microsoft Endpoint Manager 環境,其中包含 Intune 託管且加入 Azure AD 的 Windows 10 或更高版本的裝置。
存取這些網站並實施條件式存取所需的角色:
- Microsoft Defender portal
需要使用global admin角色登入網站才能啟用整合。 - Intune
需要使用具有管理權限的security admin權限登入網站。 - Azure AD portal
需要以global admin、security admin或Conditional Access admin的身分登入。
下列步驟會啟用條件式存取:
- Turn on the Microsoft Intune connection from Microsoft Defender XDR.
- Turn on the Defender for Endpoint integration in Endpoint Manager
- Create the compliance policy in Intune
- Assign the policy
- Create an Azure AD Conditional Access policy
啟用Microsoft Intune connection
- Sign in to the Microsoft Endpoint Manager admin center https://endpoint.microsoft.com.
- Select Endpoint security > Microsoft Defender for Endpoint.
- Set Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations to On.
- Select Save.
在Endpoint Manager建立compliance policy
- In the Microsoft Endpoint Manager admin center, select Devices, and select Compliance policies.
- Select + Create policy.
- In Platform, select Windows 10 and later, and select Create.
- Enter a Name and Description, select Next.
- In the Device Health settings, set Require the device to be at or under the Device Threat Level to your preferred level:
- Secured:
這個等級是最安全的。該設備不能存在任何現有威脅,並且仍然可以存取公司資源。如果發現任何威脅,該設備將被評估為不合規。 - Low:
如果僅存在低階威脅,則該裝置是合規的。具有中度或高威脅等級的設備不合規。 - Medium:
如果設備上發現的威脅為低度或中度,則該設備符合要求。如果偵測到高等級威脅,則裝置被確定為不合規。 - High:
此等級安全性最低,允許所有威脅等級。因此,具有高、中或低威脅等級的設備被認為是合規的。
6. Select Next until you can select Create, and Create to save your changes (and create the policy).
Endpoint Manager中分配政策
- In Microsoft Endpoint Manager admin center, open the policy you created in the previous step, select Properties.
- Under the Assignments section, select Edit.
- Select Assignments.
- Include or exclude your Azure AD groups to assign them the policy.
- To deploy the policy to the groups, select Review + Save and then select Save. The user devices targeted by the policy are evaluated for compliance.
建立Azure AD Conditional Access policy
- In the Azure portal, select Azure AD Conditional Access from the Services menu, and select the drop-down + New policy, and then select Create new policy.
- Enter a policy Name, and select Users or workload entities. Use the Include or Exclude options to add your groups for the policy.
- In the Cloud apps or actions area choose which apps to protect. For example, choose Select apps, and select Office 365 SharePoint Online and Office 365 Exchange Online.
- In the Conditions area, select to apply the policy to Client apps and browsers. When complete select done.
- In the Grant area, apply Conditional Access based on device compliance. For example, select Grant access > Require device to be marked as compliant. Choose Select to save your changes.
- Select Enable policy choice, and then Create to save your changes.
