Freigeben über


Erste Schritte mit Microsoft Defender Experts for XDR

Gilt für:

Anweisungen zum Onboarding finden Sie in diesem kurzen Video.

Sobald das Defender Experts for XDR-Team bereit ist, Ihr Unternehmen zu integrieren, erhalten Sie eine Willkommens-E-Mail, um das Setup fortzusetzen und Ihnen den Einstieg zu erleichtern.

Wählen Sie den Link in der Willkommens-E-Mail aus, um die Einrichtung der Defender Experts-Einstellungen direkt im Microsoft Defender-Portal zu starten. Sie können dieses Setup auch öffnen, indem Sie zu Einstellungen>Defender-Experten wechseln und Erste Schritte auswählen.

Screenshot der Seite

Erteilen von Berechtigungen für unsere Experten

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Defender Experts for XDR erfordert standardmäßig Dienstanbieterzugriff , mit dem sich unsere Experten bei Ihrem Mandanten anmelden und Dienste basierend auf zugewiesenen Sicherheitsrollen bereitstellen können. Weitere Informationen zum mandantenübergreifenden Zugriff

Außerdem müssen Sie unseren Experten eine oder beide der folgenden Berechtigungen erteilen:

  • Untersuchen von Vorfällen und Steuern meiner Antworten (Standard) – Mit dieser Option können unsere Experten Incidents proaktiv überwachen und untersuchen und Sie durch alle erforderlichen Reaktionsaktionen führen. (Zugriffsebene: Sicherheitsleseberechtigter)
  • Direkte Reaktion auf aktive Bedrohungen (empfohlen): Mit dieser Option können unsere Experten aktive Bedrohungen sofort eindämmen und beheben, während sie die Untersuchung durchführen, wodurch die Auswirkungen der Bedrohung verringert und ihre gesamte Reaktionseffizienz verbessert wird. (Zugriffsebene: Sicherheitsoperator)

Screenshot der Option

Wichtig

Wenn Sie die Bereitstellung zusätzlicher Berechtigungen überspringen, können unsere Experten bestimmte Reaktionsaktionen zum Schutz Ihrer Organisation nicht ausführen.

Obwohl unsere Experten diese relativ leistungsfähigen Berechtigungen erhalten, haben sie nur für einen begrenzten Zeitraum individuellen Zugang zu bestimmten Bereichen. Weitere Informationen zur Funktionsweise von Defender Experts für XDR-Berechtigungen

So erteilen Sie unseren Experten Berechtigungen:

  1. Wählen Sie im selben Setup für Defender Experts-Einstellungen unter Berechtigungen die Zugriffsebene(n) aus, die Sie unseren Experten gewähren möchten.

  2. Wenn Sie Geräte- und Benutzergruppen in Ihrer Organisation von Wartungsaktionen ausschließen möchten, wählen Sie Ausschlüsse verwalten aus.

  3. Wählen Sie Weiter aus, um Kontaktpersonen oder Gruppen hinzuzufügen.

Um Berechtigungen nach der ersten Einrichtung zu bearbeiten oder zu aktualisieren, wechseln Sie zu EinstellungenDefender Experts Permissions (Berechtigungen> fürDefender-Experten>).

Ausschließen von Geräten und Benutzern von der Wartung

Mit Defender Experts for XDR können Sie Geräte und Benutzer von den Von unseren Experten durchgeführten Korrekturmaßnahmen ausschließen und stattdessen Anleitungen zur Behebung dieser Entitäten erhalten. Diese Ausschlüsse basieren auf identifizierten Gerätegruppen in Microsoft Defender für Endpunkt und identifizierten Benutzergruppen in Microsoft Entra ID.

So schließen Sie Gerätegruppen aus:

  1. Navigieren Sie im gleichen Setup für Defender Experts-Einstellungen unter Ausschlüsse zur Registerkarte Gerätegruppen .

  2. Wählen Sie + Gerätegruppen hinzufügen aus, suchen Sie nach den Gerätegruppen, die Sie ausschließen möchten, und wählen Sie sie aus.

    Hinweis

    Auf dieser Seite werden nur vorhandene Gerätegruppen aufgelistet. Wenn Sie eine neue Gerätegruppe erstellen möchten, müssen Sie zunächst zu den Defender für Endpunkt-Einstellungen in Ihrem Microsoft Defender-Portal wechseln. Aktualisieren Sie dann diese Seite, um nach der neu erstellten Gruppe zu suchen und sie auszuwählen. Weitere Informationen zum Erstellen von Gerätegruppen

  3. Wählen Sie Gerätegruppen hinzufügen aus.

  4. Sehen Sie sich auf der Registerkarte Gerätegruppen die Liste der ausgeschlossenen Gerätegruppen an. Wenn Sie eine Gerätegruppe aus der Ausschlussliste entfernen möchten, wählen Sie sie aus, und wählen Sie dann Gerätegruppe entfernen aus.

  5. Wählen Sie Weiter aus, um Ihre Ausschlussliste zu bestätigen und mit dem Hinzufügen von Kontaktpersonen oder Gruppen fortzufahren. Wählen Sie andernfalls Überspringen aus, und alle hinzugefügten Ausschlüsse werden verworfen.

Screenshot der Option zum Ausschließen von Gerätegruppen.

So schließen Sie Benutzergruppen aus:

  1. Wechseln Sie im gleichen Setup für Defender Experts-Einstellungen unter Ausschlüsse zur Registerkarte Benutzergruppen .

  2. Wählen Sie + Benutzergruppen hinzufügen aus, suchen Sie nach den Benutzergruppen, die Sie ausschließen möchten, und wählen Sie sie aus.

    Hinweis

    Auf dieser Seite werden nur vorhandene Benutzergruppen aufgelistet. Wenn Sie eine neue Benutzergruppe erstellen möchten, müssen Sie sich zunächst beim Microsoft Entra ID Admin Center als globaler Administrator anmelden. Aktualisieren Sie dann diese Seite, um nach der neu erstellten Gruppe zu suchen und sie auszuwählen. Weitere Informationen zum Erstellen von Benutzergruppen

  3. Wählen Sie Benutzergruppen hinzufügen aus.

  4. Überprüfen Sie auf der Registerkarte Benutzergruppen die Liste der ausgeschlossenen Benutzergruppen. Wenn Sie eine Benutzergruppe aus der Ausschlussliste entfernen möchten, wählen Sie sie aus, und wählen Sie dann Benutzergruppe entfernen aus.

  5. Wählen Sie Weiter aus, um Ihre Ausschlussliste zu bestätigen und mit dem Hinzufügen von Kontaktpersonen oder Gruppen fortzufahren. Wählen Sie andernfalls Überspringen aus, und alle hinzugefügten Ausschlüsse werden verworfen.

Screenshot: Ausschließen von Benutzergruppen in Defender Experts for XDR

Hinweis

Sie können Benutzer nur ausschließen, indem Sie sie einer Microsoft Entra ID-Sicherheitsgruppe hinzufügen. Lokale Entra ID-Benutzer können derzeit nicht ausgeschlossen werden.

Um Ausschlüsse nach der ersteinrichtung zu bearbeiten oder zu aktualisieren, wechseln Sie zu Einstellungen>Defender Experts>Ausschlüsse und dann zur Registerkarte Gerätegruppen oder Benutzergruppen .

Teilen Sie uns mit, an wen Sie sich bei wichtigen Fragen wenden können.

Mit Defender Experts for XDR können Sie ermitteln, welche Personen oder Gruppen in Ihrer Organisation benachrichtigt werden müssen, wenn kritische Vorfälle, Dienstupdates, gelegentliche Abfragen und andere Empfehlungen vorliegen:

  • Kontakte zu Incidentbenachrichtigungen : Bei diesen Kontakten handelt es sich um Personen oder Teams, die wir für verwaltete Reaktionsaktionen oder jede Kommunikation, die sofortige Reaktion erfordert, benachrichtigen können. Angesichts der Dringlichkeit der Kommunikation empfehlen wir, dass diese Kontakte immer verfügbar sind.
  • Service Review-Kontakte : Bei diesen Kontakten handelt es sich um Personen oder Teams, mit denen wir zusammenarbeiten können, um laufende Sicherheitseinweisungen zu erhalten, die von unserem Servicebereitstellungsteam durchgeführt werden.

Nach der Identifizierung erhalten die Personen oder Gruppen eine E-Mail, in der sie darüber informiert werden, dass sie als Kontakt zu Benachrichtigungs- oder Dienstüberprüfungszwecken verwendet wurden.

Screenshot der Seite

So fügen Sie Benachrichtigungskontakte hinzu:

  1. Suchen Sie im selben Setup der Defender Experts-Einstellungen unter Kontakte nach Ihrer Kontaktperson oder Ihrem Team , und fügen Sie sie im angegebenen Textfeld hinzu.

  2. Fügen Sie eine Telefonnummer (optional) hinzu, die Defender-Experten für Angelegenheiten anrufen können, die sofortige Aufmerksamkeit erfordern.

  3. Wählen Sie im Dropdownfeld Kontakt für die Option Incidentbenachrichtigung oder Dienstüberprüfung aus.

  4. Klicken Sie auf Hinzufügen.

  5. Wählen Sie Weiter aus, um Ihre Kontaktliste zu bestätigen, und fahren Sie mit dem Erstellen eines Teams-Kanals fort, in dem Sie auch Incidentbenachrichtigungen erhalten können.

Um Ihre Benachrichtigungskontakte nach der ersteinrichtung zu bearbeiten oder zu aktualisieren, wechseln Sie zu Einstellungen Defender Experts Notification contacts .To edit or update your notification contacts after the initial setup, go to settings>Defender Experts>Notification contacts.

Screenshot: Benachrichtigungskontakte

Empfangen von Benachrichtigungen und Updates für verwaltete Antworten in Microsoft Teams

Neben E-Mail und In-Portal-Chat müssen Sie auch Microsoft Teams verwenden, um Updates zu verwalteten Antworten zu erhalten und in Echtzeit mit unseren Experten zu kommunizieren. Wenn diese Einstellung aktiviert ist, wird ein neues Team namens Defender Experts-Team erstellt, in dem verwaltete Antwortbenachrichtigungen im Zusammenhang mit laufenden Vorfällen als neue Beiträge im Kanal für verwaltete Antworten gesendet werden. Weitere Informationen zur Verwendung des Teams-Chats

Wichtig

Defender-Experten haben Zugriff auf alle Nachrichten, die auf einem beliebigen Kanal im erstellten Defender Experts-Team gepostet werden. Um zu verhindern, dass Defender-Experten auf Nachrichten in diesem Team zugreifen, wechseln Sie zu Apps in Teams, und navigieren Sie dann zu Verwalten Ihrer Apps>Defender-Experten>Entfernen. Diese Entfernungsaktion kann nicht rückgängig gemacht werden.

So aktivieren Sie Teams-Benachrichtigungen und chatten:

  1. Aktivieren Sie im selben Setup der Defender Experts-Einstellungen unter Teams das Kontrollkästchen In Teams kommunizieren .

  2. Wählen Sie Weiter aus, um Ihre Einstellungen zu überprüfen.

  3. Wählen Sie Senden aus. Die schritt-für-Schritt-Anleitung schließt dann die erste Einrichtung ab.

  4. Wählen Sie Bereitschaftsbewertung anzeigen aus, um die erforderlichen Aktionen zum Optimieren Ihres Sicherheitsstatus auszuführen.

Hinweis

Zum Einrichten der Defender Experts Teams-Anwendung müssen Ihnen entweder die Rolle "Globaler Administrator " oder " Sicherheitsadministrator " und eine Microsoft Teams-Lizenz zugewiesen sein.

Um Teams-Benachrichtigungen zu aktivieren und nach der ersten Einrichtung zu chatten, wechseln Sie zu Einstellungen>Defender Experts>Teams.

Screenshot der Option zum Aktivieren von Teams für den Empfang einer verwalteten Antwort.

  • Sie können dem Kanal neue Mitglieder hinzufügen, indem Sie zu Defender Experts-Team>Navigieren Weitere Optionen (...)>Team> verwaltenMitglied hinzufügen.
  • Sie können einschränken, wer diesem Team beitreten kann, indem Sie zu Defender Experts Team>Weitere Optionen (...)>Einstellungen>Redigieren>Team> verwaltenPrivat.

Vorbereiten Ihrer Umgebung für den Defender Experts-Dienst

Neben der Bereitstellung des Onboarding-Diensts können Defender Experts for XDR mit unserem Fachwissen über die Microsoft Defender XDR-Produktsuite eine Bereitschaftsbewertung durchführen und Ihnen dabei helfen, Ihre Microsoft-Sicherheitsprodukte optimal zu nutzen.

Die Bereitschaftsbewertung basiert auf der Anzahl der geschützten Geräte und Identitäten in Ihrer Umgebung und den Richtlinienempfehlungen von Defender Experts. Um die Bewertung anzuzeigen, wechseln Sie in Ihrem Microsoft Defender-Portal zu Einstellungen>Defender-Experten , und wählen Sie dann Dienststatus aus.

Screenshot der Bereitschaftsbewertungsumgebung.

Die Bereitschaftsbewertung umfasst zwei Teile:

  • Erforderliche Aktionen : In diesem Abschnitt wird die Anzahl der Aktionen oder Sicherheitseinstellungen angezeigt, die Sie ausführen müssen, ausgeführt werden oder abgeschlossen wurden. Diese Aktionen sind in einer Tabelle im unteren Teil der Seite aufgeführt.

    Die Liste enthält die erforderlichen Schritte, die Sie vor dem Initiieren des Diensts ausführen müssen. Priorisieren Sie die Aktionen, die den Status Jetzt abschließen haben, damit der Defender Experts for XDR-Dienst früher gestartet wird.

    Hinweis

    Es kann bis zu 24 Stunden dauern, bis der aktuelle Status Ihrer Sicherheitseinstellungen abgerufen wird.

  • Geschützte Ressourcen : In diesem Abschnitt wird die aktuelle Anzahl geschützter Geräte und Identitäten im Vergleich zu den Geräten angezeigt, die Sie noch schützen müssen, um den Defender Experts for XDR-Dienst zu starten.

    Die Zahlen basieren auf Ihren Defender für Endpunkt- und Defender for Identity-Lizenzen. Um diese Zielanzahl geschützter Ressourcen zu erreichen, integrieren Sie mehr Geräte in Defender für Endpunkt, oder installieren Sie weitere Defender for Identity-Sensoren.

Wichtig

Defender Experts for XDR überprüft Ihre Bereitschaftsbewertung in regelmäßigen Abständen, insbesondere wenn Änderungen an Ihrer Umgebung vorgenommen werden, z. B. das Hinzufügen neuer Geräte und Identitäten. Es ist wichtig, dass Sie die Bereitschaftsbewertung über das anfängliche Onboarding hinaus regelmäßig überwachen und ausführen, um sicherzustellen, dass Ihre Umgebung über einen starken Sicherheitsstatus verfügt, um risiken zu reduzieren.

Nachdem Sie alle erforderlichen Aufgaben abgeschlossen und die Onboardingziele in Ihrer Bereitschaftsbewertung erreicht haben, initiiert Ihr Service Delivery Manager (SDM) die Überwachungsphase des Defender Experts for XDR-Diensts, in der unsere Experten für einige Tage damit beginnen, Ihre Umgebung genau zu überwachen, um latente Bedrohungen, Risikoquellen und normale Aktivitäten zu identifizieren. Wenn wir ihre kritischen Ressourcen besser verstehen, können wir den Dienst optimieren und unsere Antworten optimieren.

Sobald unsere Experten damit beginnen, umfassende Reaktionsaufgaben in Ihrem Namen durchzuführen, erhalten Sie Benachrichtigungen zu Vorfällen , die Korrekturschritte und gezielte Empfehlungen für kritische Vorfälle erfordern. Sie können auch mit unseren Experten oder Ihren SDMs über wichtige Fragen und regelmäßige Überprüfungen des Geschäfts- und Sicherheitsstatus chatten. Darüber hinaus können Sie auch Echtzeitberichte über die Anzahl der Vorfälle anzeigen, die wir in Ihrem Namen untersucht und gelöst haben.

Nächster Schritt

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.