Del via

Begynn å bruke Defender Experts for XDR-tjenesten

  • Artikkel

Gjelder for:

Når du har fullført pålastingstrinnene og klargjøringskontrollene for Microsoft Defender Experts for XDR, vil ekspertene våre begynne å overvåke miljøet ditt for å strømlinjeforme tjenesten slik at vi kan utføre omfattende tjenester på dine vegne. I løpet av dette stadiet identifiserer ekspertene våre latenttrusler, risikokilder og normal aktivitet.

Når ekspertene våre begynner å utføre omfattende responsarbeid på dine vegne, vil du begynne å motta varsler om hendelser som krever utbedringstrinn og målrettede anbefalinger om kritiske hendelser. Du kan også chatte med våre eksperter eller tjenesteleveringsledere (SDM-er) angående viktige spørringer og vanlige gjennomganger av forretnings- og sikkerhetsstillinger og vise sanntidsrapporter om antall hendelser vi har undersøkt og løst på dine vegne.

Administrert gjenkjenning og svar

Gjennom en kombinasjon av automatisering og menneskelig ekspertise triagerer Defender Experts for XDR Microsoft Defender XDR-hendelser, prioriterer dem på dine vegne, filtrerer ut støyen, utfører detaljerte undersøkelser og gir handlingsrettet administrert respons til sikkerhetsoperasjonssenteret (SOC)-teamene dine.

Hendelsesoppdateringer

Når ekspertene våre begynner å undersøke en hendelse, oppdateres feltene Tilordnet til og Status til henholdsvis Defender-eksperter og pågår.

Når våre eksperter avslutter sin undersøkelse av en hendelse, oppdateres hendelsens klassifiseringsfelt til et av følgende, avhengig av ekspertenes funn:

  • Sann positiv
  • Usann positiv
  • Informasjon, forventet aktivitet

Bestemmelsesfeltet som tilsvarer hver klassifisering, oppdateres også for å gi mer innsikt i funnene som fikk ekspertene våre til å bestemme den nevnte klassifiseringen.

Skjermbilde av Hendelser-siden som viser feltene Koder, Status, Tilordnet til, Klassifisering og Bestemmelse.

Hvis en hendelse klassifiseres som falsk positiv eller informasjonsmessig, forventet aktivitet, oppdateres statusfeltet for hendelsen til Løst. Våre eksperter avslutter deretter sitt arbeid med denne hendelsen, og Tildelt til-feltet blir oppdatert til Ikke-tilordnet. Våre eksperter kan dele oppdateringer fra sin undersøkelse og sin konklusjon når de løser en hendelse. Disse oppdateringene er lagt ut i hendelsens undermenypanel for kommentarer og logg .

Obs!

Hendelseskommentarer er enveisinnlegg. Defender-eksperter kan ikke svare på kommentarer eller spørsmål du legger til i kommentar- og loggpanelet . Hvis du vil ha mer informasjon om hvordan du korresponderer med ekspertene våre, kan du se Kommunisere med eksperter i Microsoft Defender Experts for XDR-tjenesten.

Ellers, hvis en hendelse klassifiseres som Sann positiv, identifiserer våre eksperter de nødvendige responshandlingene som må utføres. Metoden som handlingene utføres i, avhenger av tillatelsene og tilgangsnivåene du har gitt Defender Experts for XDR-tjenesten. Finn ut mer om å gi tillatelser til ekspertene våre.

  • Hvis du har gitt Defender-eksperter for XDR de anbefalte tilgangstillatelsene til sikkerhetsoperatøren, kan ekspertene våre utføre de nødvendige svarhandlingene på hendelsen på dine vegne. Disse handlingene, sammen med et undersøkelsessammendrag, vises i undermenyen for administrert respons for hendelsen i Microsoft Defender-portalen, slik at du eller SOC-teamet kan se gjennom. Alle handlinger som fullføres av Defender Experts for XDR, vises under delen Fullførte handlinger . Alle ventende handlinger som krever at du eller soc-teamet må fullføres, er oppført under delen Ventende handlinger . Hvis du vil ha mer informasjon, kan du se Handlinger-delen . Når ekspertene våre har utført alle nødvendige handlinger på hendelsen, oppdateres Status-feltet til Løst og Tilordnet til-feltet oppdateres til Ikke tilordnet.

  • Hvis du har gitt Defender-eksperter for XDR standard tilgang til sikkerhetsleser, vises de nødvendige svarhandlingene, sammen med et undersøkelsessammendrag, i undermenyen for administrert svar for hendelsen under delen Ventende handlinger i Microsoft Defender-portalen, slik at du eller SOC-teamet kan utføre. Hvis du vil ha mer informasjon, kan du se Handlinger-delen . Hvis du vil identifisere denne overleveringen, oppdateres hendelsens Status-felt til Venter på kundehandling , og Tilordnet til-feltet oppdateres til Kunde.

Du kan kontrollere antall hendelser som krever at du gjør noe i Defender Experts-banneret øverst på Microsoft Defender-hjemmesiden.

Skjermbilde av Defender Experts-kortet i Microsoft Defender-portalen som viser antall hendelser som venter på kundehandling.

Hvis du vil se hendelsene ekspertene våre har undersøkt eller undersøker, kan du filtrere hendelseskøen i Microsoft Defender-portalen ved hjelp av Defender Experts-koden .

Skjermbilde av Hendelser-køen i Microsoft Defender-portalen filtrert slik at bare de med Defender Experts-koden vises.

Slik bruker du administrert svar i Microsoft Defender XDR

I Microsoft Defender-portalen har en hendelse som krever din oppmerksomhet ved hjelp av administrert svar, tilordnet til-feltet satt til Kunde og et oppgavekort øverst i Hendelser-ruten . Dine angitte hendelseskontakter mottar også et tilsvarende e-postvarsel med en kobling til Defender-portalen for å vise hendelsen. Finn ut mer om varslingskontakter.

Velg Vis administrert svar på oppgavekortet eller øverst på portalsiden (fanen Administrert svar ) for å åpne et undermenypanel der du kan lese undersøkelsessammendraget til ekspertene våre, fullføre ventende handlinger som identifiseres av ekspertene våre, eller kommunisere med dem via chat.

Undersøkelsessammendrag

Delen undersøkelsessammendrag gir deg mer kontekst om hendelsen som analyseres av ekspertene våre, for å gi deg synlighet om alvorlighetsgraden og den potensielle virkningen hvis den ikke håndteres umiddelbart. Det kan omfatte enhetens tidslinje, indikatorer for angrep og indikatorer for kompromiss (IOCer) som er observert, og andre detaljer.

Skjermbilde av sammendrag av administrert responsundersøkelse.

Handlinger

Handlinger-fanen viser oppgavekort som inneholder svarhandlinger anbefalt av ekspertene våre.

Defender Experts for XDR støtter for øyeblikket følgende handlinger for administrert svar med ett klikk:

Handling Beskrivelse
Isolere enhet Isolerer en enhet, som bidrar til å hindre at en angriper kontrollerer den og utfører ytterligere aktiviteter som dataeksfiltrering og sidebevegelse. Den isolerte enheten vil fortsatt være koblet til Microsoft Defender for endepunkt.
Karantenefil Stopper kjøring av prosesser, setter filene i karantene og sletter faste data, for eksempel registernøkler.
Begrens appkjøring Begrenser kjøringen av potensielt skadelige programmer og låser enheten for å forhindre ytterligere forsøk.
Frigi fra isolasjon Angrer isolering av en enhet.
Fjern appbegrensning Angrer frigivelse fra isolasjon.

Bortsett fra disse handlingene med ett klikk, kan du også motta administrerte svar fra ekspertene våre som du må utføre manuelt.

Obs!

Før du utfører noen av de anbefalte handlingene for administrert svar, må du kontrollere at de ikke allerede er behandlet av dine automatiserte undersøkelses- og svarkonfigurasjoner. Finn ut mer om automatiserte undersøkelses- og svarfunksjoner i Microsoft Defender XDR.

Slik viser og utfører du handlinger for administrert svar:

  1. Velg pilknappene i et handlingskort for å utvide det og lese mer informasjon om den nødvendige handlingen.

    Skjermbilde av handlingen administrert svar for å isolere enhetens prod-server.

  2. Velg den nødvendige handlingen for kort med svarhandlinger med ett klikk. Handlingsstatusen på kortet endres til Pågår, deretter til Mislykket eller Fullført, avhengig av handlingens resultat.

    Skjermbilde av handlingen for administrert respons som viser pågående for å isolere enhetens prod-server.

    Tips

    Du kan også overvåke statusen for svarhandlinger i portalen i handlingssenteret. Hvis en svarhandling mislykkes, kan du prøve å gjøre det på nytt fra siden Vis enhetsdetaljer eller starte en chat med Defender-eksperter.

  3. For kort med nødvendige handlinger som du må utføre manuelt, velger du At jeg har fullført denne handlingen når du har utført dem, og deretter velger jeg Ja, jeg har gjort det i bekreftelsesdialogboksen som vises.

    Skjermbilde av handlingen for administrert svar for å bekrefte fullføring av handlingen.

  4. Hvis du ikke vil fullføre en nødvendig handling umiddelbart, velger du Hopp over, og deretter velger du Ja, hopper over denne handlingen i bekreftelsesdialogboksen som vises.

Viktig

Hvis du legger merke til at noen av knappene på handlingskortene er nedtonet, kan det indikere at du ikke har de nødvendige tillatelsene til å utføre handlingen. Kontroller at du er logget på Microsoft Defender XDR-portalen med de nødvendige tillatelsene. De fleste handlinger for administrert svar krever at du i det minste har tilgang til sikkerhetsoperatøren.

Hvis du fortsatt støter på dette problemet selv med de nødvendige tillatelsene, går du til Vis enhetsdetaljer og fullfører trinnene derfra.

Få innsyn i Defender Experts-undersøkelser i SIEM- eller ITSM-programmet

Når Defender Experts for XDR undersøker hendelser og kommer opp med utbedringshandlinger, kan du ha innsyn i deres arbeid med hendelser i siem-programmene (security information and event management) og IT-tjenesteadministrasjon (ITSM), inkludert programmer som er tilgjengelige utenfor boksen.

Microsoft Sentinel

Du kan få synlighet for hendelser i Microsoft Sentinel ved å slå på den forhåndsdefinerte Microsoft Defender XDR-datakoblingen. Finn ut mer.

Når du har aktivert koblingen, vises oppdateringer av Defender-eksperter til feltene Status, Tilordnet til, Klassifisering og Besluttsomhet i Microsoft Defender XDR i de tilsvarende feltene Status, Eier og Årsak til lukking i Sentinel.

Obs!

Statusen for hendelser som undersøkes av Defender-eksperter i Microsoft Defender XDR, går vanligvis over fra Aktiv til Pågår til Venter på kundehandling som skal løses, mens i Sentinel følger den den nye til aktive til løste banen. Microsoft Defender XDR-status som venter på kundehandling , har ikke et tilsvarende felt i Sentinel. I stedet vises den som et merke i en hendelse i Sentinel.

Følgende avsnitt beskriver hvordan en hendelse som håndteres av våre eksperter, oppdateres i Sentinel etter hvert som den utvikler seg gjennom undersøkelsesreisen:

  1. En hendelse som undersøkes av ekspertene våre, har statusen oppført som aktiv og eieren oppført som Defender-eksperter.
  2. En hendelse som våre eksperter har bekreftet som en Sann positiv har et administrert svar lagt ut i Microsoft Defender XDR, og en kodesom venter på kundehandling og eieren er oppført som kunde. Du må handle på hendelsen basert på bruk av det angitte administrerte svaret.
  3. Når ekspertene våre har avsluttet etterforskningen og avsluttet en hendelse som falsk positiv eller informasjonsmessig, forventet aktivitet, oppdateres hendelsens status til Løst, eieren oppdateres til Ikke-tilordnet, og en årsak til lukking er angitt.

Skjermbilde av Microsoft Sentinel-hendelser.

Andre programmer

Du kan få innsyn i hendelser i SIEM- eller ITSM-programmet ved hjelp av Microsoft Defender XDR-API eller koblinger i Sentinel.

Når du har konfigurert en kobling, kan oppdateringene fra Defender Experts til feltene Status, Tilordnet til, Klassifisering og Besluttsomhet i Microsoft Defender XDR synkroniseres med tredjeparts SIEM- eller ITSM-programmer, avhengig av hvordan felttilordningen er implementert. For å illustrere kan du ta en titt på koblingen som er tilgjengelig fra Sentinel til ServiceNow.

Få synlighet i sanntid med Defender-eksperter for XDR-rapporter

Defender Experts for XDR inkluderer en interaktiv, behovsbetinget rapport som gir et klart sammendrag av arbeidet våre ekspertanalytikere gjør på dine vegne, aggreger informasjon om hendelseslandskapet ditt og detaljerte detaljer om spesifikke hendelser. Tjenesteleveringssjefen (SDM) bruker også rapporten til å gi deg mer kontekst om tjenesten under en månedlig forretningsgjennomgang.

Skjermbilde av Defender-eksperter for XDR-rapport.

Hver del av rapporten er utformet for å gi mer innsikt om hendelsene våre eksperter undersøkte og løste i ditt miljø i sanntid. Du kan også velge datoområdet for å få detaljert informasjon om hendelser basert på alvorlighetsgrad, kategori og forstå tiden det tar å undersøke og løse en hendelse i løpet av en bestemt periode.

Forstå Defender-eksperter for XDR-rapporten

Den øverste delen av Defender Experts for XDR-rapporten gir prosentandelen av hendelser vi løste i miljøet ditt, noe som gir deg gjennomsiktighet i vår virksomhet. Denne prosentandelen er avledet fra følgende tall, som også presenteres i rapporten:

  • Etterforsket – Antall aktive trusler og andre hendelser fra hendelseskøen som vi triaged, undersøkte eller undersøker innenfor vårt omfang.
  • Løst – Totalt antall etterforskede hendelser som ble avsluttet.
  • Løst direkte – Antall undersøkte hendelser som vi kunne lukke direkte på dine vegne.
  • Løst med din hjelp – Antall undersøkte hendelser som ble løst på grunn av handlingen på én eller flere administrerte responsoppgaver.

Delen Gjennomsnittstid for å løse hendelser viser et stolpediagram over gjennomsnittstiden, i minutter brukte ekspertene våre på å undersøke og lukke hendelser i miljøet ditt og gjennomsnittstiden du brukte på å utføre de nødvendige handlingene for administrert respons.

Hendelser etter alvorlighetsgrad, hendelser etter kategori og hendelser etter tjenestekildeinndelinger bryter ned løste hendelser etter alvorlighetsgrad, angrepsteknikk og Microsofts sikkerhetstjenestekilde. Disse delene lar deg identifisere potensielle angrepsinngangspunkter og typer trusler som oppdages i miljøet ditt, vurdere deres innvirkning og utvikle strategier for å redusere og forhindre dem. Velg Vis hendelser for å få en filtrert visning av hendelseskøen basert på valgene du gjorde i hver av de to inndelingene.

Delen mest berørte aktiva viser brukerne og enhetene i miljøet ditt som var involvert i flest tilfeller i løpet av det valgte datointervallet. Du kan se volumet av hendelser hver ressurs var involvert i. Velg en ressurs for å få en filtrert visning av hendelseskøen basert på hendelsene som inkluderte den nevnte eiendelen.

Proaktiv administrert jakt

Defender Experts for XDR inkluderer også proaktiv trusseljakt som tilbys av Microsoft Defender Experts for Hunting. Defender Experts for Hunting ble opprettet for kunder som har et robust sikkerhetsoperasjonssenter, men vil at Microsoft skal hjelpe dem med proaktivt å jakte trusler ved hjelp av Microsoft Defender-data. Denne proaktive trusseljakttjenesten går utover endepunktet for å jakte på tvers av endepunkter, Office 365, skyprogrammer og identitet. Ekspertene våre undersøker alt de finner, og leverer deretter den kontekstavhengige varslingsinformasjonen sammen med utbedringsinstruksjoner, slik at du raskt kan svare.

Be om avansert trusselekspertise på forespørsel

Velg Spør Defender-eksperter direkte i Microsoft Defender XDR-portalen for å få raske og nøyaktige svar på alle trusselspørsmålene dine. Eksperter kan gi innsikt for å bedre forstå de komplekse truslene organisasjonen kan møte. Kontakt en ekspert for å:

  • Samle inn tilleggsinformasjon om varsler og hendelser, inkludert grunnårsaker og omfang.
  • Få klarhet i mistenkelige enheter, varsler eller hendelser, og få de neste trinnene hvis du står overfor en avansert angriper.
  • Bestem risikoer og tilgjengelige beskyttelser relatert til aktivitetsgrupper, kampanjer eller nye angriperteknikker.

Obs!

Spør Defender Experts er ikke en sikkerhetshendelsesresponstjeneste. Det er ment å gi en bedre forståelse av komplekse trusler som påvirker organisasjonen. Ta kontakt med ditt eget responsteam for sikkerhetshendelser for å løse problemer med sikkerhetshendelsesrespons. Hvis du ikke har ditt eget team for sikkerhetshendelser og vil ha Microsofts hjelp, kan du opprette en støtteforespørsel i Premier Services Hub.

Alternativet for å spørre Defender-eksperter er tilgjengelig i hendelser og varsler sider for deg å stille kontekstuelle spørsmål om en bestemt hendelse eller varsel:

  • Undermeny for varslingsside:

Skjermbilde av menyalternativet Spør Defender-eksperter på undermenyen Varsler-siden i Microsoft Defender-portalen.

  • Handlingsmeny for hendelser-siden:

IScreenshot av menyalternativet Spør Defender-eksperter i handlingsmenyen for Hendelser-siden i Microsoft Defender-portalen.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.