Del via

Begynd at bruge Defender Experts for XDR-tjenesten

  • Artikel

Gælder for:

Når du har fuldført onboardingtrinnene og parathedstjek for Microsoft Defender Experts for XDR, begynder vores eksperter at overvåge dit miljø for at strømline tjenesten, så vi kan udføre omfattende tjeneste på dine vegne. I denne fase identificerer vores eksperter latent trusler, risikokilder og normal aktivitet.

Når vores eksperter begynder at udføre omfattende svararbejde på dine vegne, begynder du at modtage meddelelser om hændelser, der kræver afhjælpningstrin og målrettede anbefalinger til kritiske hændelser. Du kan også chatte med vores eksperter eller dine serviceleveringschefer (SDMs) om vigtige forespørgsler og regelmæssige anmeldelser af forretnings- og sikkerhedsholdninger og få vist rapporter i realtid om antallet af hændelser, vi har undersøgt og løst på dine vegne.

Administreret registrering og respons

Ved hjælp af en kombination af automatisering og menneskelig ekspertise filtrerer Defender Experts for XDR Microsoft Defender XDR-hændelser, prioriterer dem på dine vegne, filtrerer støjen, udfører detaljerede undersøgelser og leverer handlingsstyret svar til dine SOC-teams (Security Operations Center).

Hændelsesopdateringer

Når vores eksperter begynder at undersøge en hændelse, opdateres felterne Tildelt til og Status for hændelsen til henholdsvis Defender Experts og Igangværende.

Når vores eksperter afslutter deres undersøgelse af en hændelse, opdateres feltet Klassificering af hændelsen til et af følgende afhængigt af eksperternes resultater:

  • Sand positiv
  • Falsk positiv
  • Oplysende, forventet aktivitet

Det bestemmelsesfelt , der svarer til hver klassificering, opdateres også for at give mere indsigt i de resultater, der fik vores eksperter til at bestemme den nævnte klassificering.

Skærmbillede af siden Hændelser, der viser felterne Tags, Status, Tildelt til, Klassificering og Bestemmelse.

Hvis en hændelse er klassificeret som Falsk positiv eller Oplysende, Forventet aktivitet, opdateres feltet Status for hændelsen til Løst. Vores eksperter afslutter derefter deres arbejde med denne hændelse, og feltet Tildelt til opdateres til Ikke tildelt. Vores eksperter kan dele opdateringer fra deres undersøgelse og deres konklusion, når de løser en hændelse. Disse opdateringer sendes i pop op-vinduet Kommentarer og historik i hændelsen.

Bemærk!

Kommentarer til hændelser er envejsmeddelelser. Defender Experts kan ikke besvare kommentarer eller spørgsmål, du tilføjer i panelet Kommentarer og oversigt . Du kan få flere oplysninger om, hvordan du svarer med vores eksperter, under Kommunikation med eksperter i tjenesten Microsoft Defender Experts for XDR.

Ellers identificerer vores eksperter de påkrævede svarhandlinger, der skal udføres, hvis en hændelse er klassificeret som sand positiv. Den metode, som handlingerne udføres på, afhænger af de tilladelser og adgangsniveauer, du har givet Defender Experts for XDR-tjenesten. Få mere at vide om tildeling af tilladelser til vores eksperter.

  • Hvis du har givet Defender Experts for XDR de anbefalede adgangstilladelser til sikkerhedsoperatøren, kan vores eksperter udføre de påkrævede svarhandlinger på hændelsen på dine vegne. Disse handlinger vises sammen med en undersøgelsesoversigt i hændelsens pop op-vindue med administreret svar på din Microsoft Defender-portal, som du eller dit SOC-team kan gennemse. Alle handlinger, der er fuldført af Defender Experts for XDR, vises i afsnittet Fuldførte handlinger . Alle ventende handlinger, der kræver, at du eller dit SOC-team fuldfører, er angivet i afsnittet Ventende handlinger . Du kan få flere oplysninger i afsnittet Handlinger . Når vores eksperter har truffet alle de nødvendige handlinger på hændelsen, opdateres feltet Status til Løst , og feltet Tildelt til opdateres til Ikke-tildelt.

  • Hvis du har givet Defender Experts for XDR standardadgangen til sikkerhedslæsere, vises de påkrævede svarhandlinger sammen med en undersøgelsesoversigt i hændelsens panel for administreret svar under sektionen Ventende handlinger på Din Microsoft Defender-portal, som du eller dit SOC-team kan udføre. Du kan få flere oplysninger i afsnittet Handlinger . For at identificere denne overdragelse opdateres feltet Status for hændelsen til Afventer kundehandling , og feltet Tildelt til opdateres til Kunde.

Du kan kontrollere antallet af hændelser, der kræver din handling, i banneret Defender Experts øverst på Startsiden for Microsoft Defender.

Skærmbillede af kortet Defender Experts på Microsoft Defender-portalen, der viser antallet af hændelser, der afventer kundehandling.

Hvis du vil se de hændelser, som vores eksperter har undersøgt eller er i gang med at undersøge, skal du filtrere hændelseskøen i din Microsoft Defender-portal ved hjælp af mærket Defender Experts .

Skærmbillede af køen Hændelser i Microsoft Defender-portalen, der er filtreret til kun at vise dem med koden Defender Experts.

Sådan bruger du administreret svar i Microsoft Defender XDR

På Microsoft Defender-portalen er feltet Tildelt til angivet til Kunde og et opgavekort øverst i ruden Hændelser for en hændelse, der kræver din opmærksomhed ved hjælp af administreret svar. Dine udpegede hændelseskontakter modtager også en tilsvarende mailmeddelelse med et link til Defender-portalen for at få vist hændelsen. Få mere at vide om kontakter med beskeder.

Vælg Få vist administreret svar på opgavekortet eller øverst på portalsiden (fanen Administreret svar ) for at åbne et pop op-panel, hvor du kan læse vores eksperters undersøgelsesoversigt, fuldføre ventende handlinger, der er identificeret af vores eksperter, eller interagere med dem via chat.

Undersøgelsesoversigt

Afsnittet Undersøgelsesoversigt giver dig mere kontekst om den hændelse, der er analyseret af vores eksperter, så du kan se, hvor alvorlig den er, og hvilken potentiel indvirkning den kan have, hvis den ikke håndteres med det samme. Det kan omfatte enhedens tidslinje, indikatorer for angreb og indikatorer for kompromitteret (IOCs) og andre oplysninger.

Skærmbillede af oversigt over administreret svarundersøgelse.

Handlinger

Fanen Handlinger viser opgavekort, der indeholder svarhandlinger, som vores eksperter anbefaler.

Defender Experts for XDR understøtter i øjeblikket følgende administrerede svarhandlinger med ét klik:

Handling Beskrivelse
Isoler enhed Isolerer en enhed, hvilket hjælper med at forhindre en hacker i at styre den og udføre yderligere aktiviteter, f.eks. dataudfiltrering og tværgående bevægelse. Den isolerede enhed vil stadig være tilsluttet Microsoft Defender for Endpoint.
Karantænefil Stopper kørsel af processer, sætter filerne i karantæne og sletter vedvarende data, f.eks. registreringsdatabasenøgler.
Begræns appudførelse Begrænser udførelsen af potentielt skadelige programmer og låser enheden ned for at forhindre yderligere forsøg.
Frigiv fra isolation Fortryder isolering af en enhed.
Fjern appbegrænsning Fortryder udgivelse fra isolation.

Ud over disse handlinger med et enkelt klik kan du også modtage administrerede svar fra vores eksperter, som du skal udføre manuelt.

Bemærk!

Før du udfører nogen af de anbefalede administrerede svarhandlinger, skal du sørge for, at de ikke allerede håndteres af dine automatiserede undersøgelses- og svarkonfigurationer. Få mere at vide om automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR.

Sådan får du vist og udfører de administrerede svarhandlinger:

  1. Vælg pileknapperne på et handlingskort for at udvide det, og læs flere oplysninger om den påkrævede handling.

    Skærmbillede af administreret svarhandling for at isolere enhedens prod-server.

  2. For kort med svarhandlinger med et enkelt klik skal du vælge den nødvendige handling. Handlingsstatussen på kortet ændres til I gang og derefter til Mislykket eller Fuldført, afhængigt af handlingens resultat.

    Skærmbillede af administreret svarhandling, der viser igangværende for at isolere enhedens prod-server.

    Tip

    Du kan også overvåge status for svarhandlinger i portalen i Løsningscenter. Hvis en svarhandling mislykkes, kan du prøve at gøre det igen fra siden Vis enhedsoplysninger eller starte en chat med Defender Experts.

  3. For kort med påkrævede handlinger, som du skal udføre manuelt, skal du vælge Jeg har fuldført denne handling , når du har udført dem, og derefter vælge Ja, jeg har gjort det i bekræftelsesdialogboksen, der vises.

    Skærmbillede af administreret svarhandling for at bekræfte fuldførelsen af handlingen.

  4. Hvis du ikke vil fuldføre en påkrævet handling med det samme, skal du vælge Spring over og derefter vælge Ja, springe denne handling over i bekræftelsesdialogboksen, der vises.

Vigtigt!

Hvis du bemærker, at nogle af knapperne på handlingskortene er nedtonet, kan det indikere, at du ikke har de nødvendige tilladelser til at udføre handlingen. Sørg for, at du er logget på Microsoft Defender XDR-portalen med de relevante tilladelser. De fleste administrerede svarhandlinger kræver, at du som minimum har adgang til sikkerhedsoperatoren.

Hvis du stadig oplever dette problem, selv med de relevante tilladelser, skal du navigere til Vis enhedsdetaljer og fuldføre trinnene derfra.

Få indblik i Defender Experts-undersøgelser i dit SIEM- eller ITSM-program

Som Defender Experts for XDR undersøger hændelser og finder på afhjælpningshandlinger, kan du få indblik i deres arbejde med hændelser i dine SIEM- (Security Information and Event Management) og ITSM-programmer (IT Service Management), herunder programmer, der er tilgængelige.

Microsoft Sentinel

Du kan få indblik i hændelser i Microsoft Sentinel ved at aktivere den indbyggede Microsoft Defender XDR-dataconnector. Få mere at vide.

Når du har aktiveret connectoren, vises opdateringer fra Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR i den tilsvarende Status, Ejer og Årsag til lukning af felter i Sentinel.

Bemærk!

Status for hændelser, der undersøges af Defender-eksperter i Microsoft Defender XDR, skifter typisk fra Aktiv til Igangværende til Afventer kundehandling til Løst, mens den i Sentinel følger stien Ny til aktiv til Løst . Microsoft Defender XDR-status, der afventer kundehandling , har ikke et tilsvarende felt i Sentinel. I stedet vises den som et mærke i en hændelse i Sentinel.

I følgende afsnit beskrives det, hvordan en hændelse, der håndteres af vores eksperter, opdateres i Sentinel, efterhånden som undersøgelsesrejsen skrider frem:

  1. En hændelse, der undersøges af vores eksperter, har statussenangivet som Aktiv , og ejeren er angivet som Defender Experts.
  2. En hændelse, som vores eksperter har bekræftet som sand positiv , har et administreret svar, der er postet i Microsoft Defender XDR, og en TagAfventer kundehandling , og ejeren er angivet som Kunde. Du skal reagere på hændelsen baseret på brug af det angivne administrerede svar.
  3. Når vores eksperter har afsluttet deres undersøgelse og lukket en hændelse som falsk positiv eller oplysende, forventet aktivitet, opdateres hændelsens status til Løst, ejeren opdateres til Ikke-tildelt, og der angives en årsag til lukning .

Skærmbillede af Microsoft Sentinel-hændelser.

Andre programmer

Du kan få indsigt i hændelser i dit SIEM- eller ITSM-program ved hjælp af Microsoft Defender XDR-API'en eller connectors i Sentinel.

Når du har konfigureret en connector, kan opdateringerne af Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR synkroniseres med tredjeparts-SIEM- eller ITSM-programmer, afhængigt af hvordan felttilknytningen er implementeret. Du kan illustrere det ved at se på den connector, der er tilgængelig fra Sentinel til ServiceNow.

Få synlighed i realtid med Defender Experts for XDR-rapporter

Defender Experts for XDR indeholder en interaktiv rapport efter behov, der giver en tydelig oversigt over det arbejde, som vores ekspertanalytikere udfører på dine vegne, aggregerer oplysninger om dit hændelseslandskab og detaljerede oplysninger om specifikke hændelser. Din serviceleveringschef (SDM) bruger også rapporten til at give dig mere kontekst vedrørende tjenesten under en månedlig virksomhedsgennemgang.

Skærmbillede af Defender Experts for XDR-rapport.

Hvert afsnit i rapporten er designet til at give mere indsigt i de hændelser, som vores eksperter undersøgte og løste i dit miljø i realtid. Du kan også vælge datointervallet for at få detaljerede oplysninger om hændelser baseret på alvorsgrad, kategori og forstå den tid, det tager at undersøge og løse en hændelse i en bestemt periode.

Forstå Defender Experts for XDR-rapporten

Den øverste del af Defender Experts for XDR-rapporten indeholder procentdelen af hændelser, vi har løst i dit miljø, hvilket giver dig gennemsigtighed i vores handlinger. Denne procentdel er afledt af følgende tal, som også er præsenteret i rapporten:

  • Undersøgt – antallet af aktive trusler og andre hændelser fra din hændelseskø, som vi har undersøgt, undersøgt eller i øjeblikket undersøger inden for vores område.
  • Resolved – det samlede antal undersøgte hændelser, der blev lukket.
  • Løst direkte – antallet af undersøgte hændelser, som vi kunne lukke direkte på dine vegne.
  • Løst med din hjælp – antallet af undersøgte hændelser, der blev løst på grund af din handling på en eller flere administrerede svaropgaver.

Afsnittet Gennemsnitlig tid til at løse hændelser viser et liggende søjlediagram over den gennemsnitlige tid i minutter, hvor vores eksperter har brugt på at undersøge og lukke hændelser i dit miljø og den gennemsnitlige tid, du har brugt på at udføre de påkrævede administrerede svarhandlinger.

Afsnittene Hændelser efter alvorsgrad, Hændelser efter kategori og Hændelser efter tjenestekilde opdeler løste hændelser efter alvorsgrad, angrebsteknik og Microsofts kilde til sikkerhedstjenester. I disse afsnit kan du identificere potentielle indgangspunkter for angreb og typer af trusler, der registreres i dit miljø, vurdere deres indvirkning og udvikle strategier, der kan afhjælpe og forhindre dem. Vælg Vis hændelser for at få en filtreret visning af hændelseskøen baseret på de valg, du har foretaget i hver af de to afsnit.

Afsnittet Mest påvirkede aktiver viser de brugere og enheder i dit miljø, der var involveret i det største antal hændelser i løbet af det valgte datointerval. Du kan se mængden af hændelser, som hvert aktiv var involveret i. Vælg et aktiv for at få en filtreret visning af hændelseskøen baseret på de hændelser, der omfattede det pågældende aktiv.

Proaktiv administreret jagt

Defender Experts for XDR omfatter også proaktiv trusselsjagt, der tilbydes af Microsoft Defender Experts for Hunting. Defender Experts for Hunting blev oprettet til kunder, der har et robust center for sikkerhedshandlinger, men som ønsker, at Microsoft skal hjælpe dem med proaktivt at jage trusler ved hjælp af Microsoft Defender-data. Denne proaktive trusselsjagttjeneste går ud over slutpunktet for at jage på tværs af slutpunkter, Office 365, cloudprogrammer og identitet. Vores eksperter undersøger alt, hvad de finder, og afleverer derefter kontekstafhængige beskedoplysninger sammen med afhjælpningsinstruktioner, så du hurtigt kan reagere.

Anmod om avanceret trusselsekspertise efter behov

Vælg Spørg Defender-eksperter direkte på Microsoft Defender XDR-portalen for at få hurtige og nøjagtige svar på alle dine trusselsspørgsmål. Eksperter kan give indsigt for bedre at forstå de komplekse trusler, din organisation kan stå overfor. Kontakt en ekspert for at:

  • Indsaml yderligere oplysninger om beskeder og hændelser, herunder rodårsager og omfang.
  • Få klarhed over mistænkelige enheder, beskeder eller hændelser, og få de næste trin, hvis du står over for en avanceret hacker.
  • Fastslå risici og tilgængelige beskyttelser, der er relateret til aktivitetsgrupper, kampagner eller nye hackerteknikker.

Bemærk!

Ask Defender Experts er ikke en tjeneste til svar på sikkerhedshændelser. Den er beregnet til at give en bedre forståelse af komplekse trusler, der påvirker din organisation. Kontakt dit eget team for svar på sikkerhedshændelser for at løse presserende problemer med svar på sikkerhedshændelser. Hvis du ikke har dit eget team for svar på sikkerhedshændelser og gerne vil have Microsofts hjælp, kan du oprette en supportanmodning i Premier Services Hub.

Indstillingen Spørg Defender-eksperter er tilgængelig på hændelses- og beskedsiderne, så du kan stille kontekstafhængige spørgsmål om en bestemt hændelse eller besked:

  • Pop op-menu til siden Beskeder:

Skærmbillede af menuindstillingen Ask Defender Experts i pop op-menuen Beskeder på Microsoft Defender-portalen.

  • Menuen Handlinger på hændelsessiden:

IScreenshot af menuindstillingen Ask Defender Experts i menuen Handlinger på siden Hændelser på Microsoft Defender-portalen.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.