Omówienie odpowiedzi zarządzanej

Dotyczy:

• Microsoft Defender XDR

Poniższa sekcja zawiera listę pytań dotyczących odpowiedzi zarządzanych przez Ciebie lub Twój zespół SOC.

Pytania	Odpowiedzi
Co to jest odpowiedź zarządzana?	Eksperci usługi Microsoft Defender dla XDR oferują zarządzane odpowiedzi , w których nasi eksperci zarządzają całym procesem korygowania zdarzeń, które ich wymagają. Ten proces obejmuje badanie zdarzenia w celu zidentyfikowania głównej przyczyny, określenie wymaganych akcji reagowania i wykonanie tych akcji w Twoim imieniu.
Jakie akcje znajdują się w zakresie odpowiedzi zarządzanej?	Wszystkie poniższe akcje znajdują się w zakresie odpowiedzi zarządzanej dla dowolnego urządzenia i użytkownika, które nie są wykluczone. Dla urządzeń(dostępne teraz) Izoluj komputer Zwolnij komputer z izolacji Zatrzymaj plik i poddaj go kwarantannie Ogranicz wykonanie aplikacji Usuń restrykcję aplikacji Wyłączanie użytkownika Przyznawać Dla użytkowników (wkrótce) Odwoływanie tokenu odświeżania Wiadomości e-mail z usuwaniem nietrwał
Czy mogę dostosować zakres odpowiedzi zarządzanej?	Możesz skonfigurować zakres, w jakim nasi eksperci wykonują zarządzane akcje reagowania w Twoim imieniu, wykluczając niektóre urządzenia i użytkowników (indywidualnie lub według grup) podczas dołączania lub później, modyfikując ustawienia usługi. Przeczytaj więcej na temat wykluczania grup urządzeń
Jaką pomoc techniczną oferują eksperci usługi Defender dla wykluczonych zasobów?	Jeśli nasi eksperci ustalą, że musisz wykonać akcje reagowania na wykluczonych urządzeniach lub użytkownikach, powiadomimy Cię za pomocą różnych możliwych do dostosowania metod i przekierujemy Cię do portalu XDR usługi Microsoft Defender. W portalu możesz wyświetlić szczegółowe podsumowanie naszego procesu badania i wymaganych akcji odpowiedzi w portalu i wykonać te wymagane akcje bezpośrednio. Podobne możliwości są również dostępne za pośrednictwem interfejsów API usługi Defender, jeśli wolisz używać funkcji zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), zarządzania usługami IT (ITSM) lub dowolnego innego narzędzia innej firmy.
W jaki sposób będę informowany o akcjach reagowania?	Akcje reagowania wykonane przez naszych ekspertów w Twoim imieniu oraz wszelkie oczekujące akcje, które należy wykonać na wykluczonych zasobach, są wyświetlane w panelu Odpowiedzi zarządzanej na stronie Zdarzenia w portalu usługi Defender. Ponadto otrzymasz również wiadomość e-mail zawierającą link do zdarzenia i instrukcje dotyczące wyświetlania odpowiedzi zarządzanej w portalu. Ponadto jeśli masz integrację z usługą Microsoft Sentinel lub interfejsami API, otrzymasz również powiadomienie w ramach tych narzędzi, szukając statusów ekspertów usługi Defender. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące powiadomień o zdarzeniach XDR w usłudze Microsoft Defender Experts.
Czy mogę dostosować odpowiedź zarządzaną na podstawie akcji?	L.p. Jeśli masz urządzenia lub użytkowników, które są uważane za wysoce wartościowe lub wrażliwe, możesz dodać je do listy wykluczeń. Nasi eksperci NIE podejmą żadnych działań w ich sprawie i będą udzielać wskazówek tylko wtedy, gdy wystąpi do nich zdarzenie.

Zobacz też

• Wykrywanie zarządzane i reagowanie
• Często zadawane pytania dotyczące powiadomień o zdarzeniach XDR w usłudze Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.