Udostępnij za pośrednictwem

Wprowadzenie do usługi Microsoft Defender Experts for XDR

  • Artykuł

Dotyczy:

Aby uzyskać instrukcje dotyczące dołączania, zapoznaj się z tym krótkim filmem wideo.

Gdy zespół Defender Experts for XDR będzie gotowy do dołączenia organizacji, otrzymasz powitalną wiadomość e-mail, aby kontynuować konfigurację i rozpocząć pracę.

Wybierz link w powitalnej wiadomości e-mail, aby bezpośrednio uruchomić konfigurację ustawień ekspertów usługi Defender w portalu usługi Microsoft Defender. Możesz również otworzyć tę konfigurację, przechodząc do pozycji Ustawienia>Eksperci usługi Defender i wybierając pozycję Rozpocznij.

Zrzut ekranu przedstawiający stronę Wprowadzenie w ustawieniach XDR usługi Defender for Experts krok po kroku.

Udzielanie uprawnień naszym ekspertom

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Domyślnie usługa Defender Experts for XDR wymaga dostępu dostawcy usług , który umożliwia naszym ekspertom logowanie się do dzierżawy i dostarczanie usług na podstawie przypisanych ról zabezpieczeń. Dowiedz się więcej o dostępie między dzierżawami

Należy również udzielić naszym ekspertom jednego lub obu następujących uprawnień:

  • Badanie zdarzeń i prowadzenie moich odpowiedzi (ustawienie domyślne ) — ta opcja umożliwia naszym ekspertom proaktywne monitorowanie i badanie zdarzeń oraz prowadzenie wszelkich niezbędnych działań reagowania. (Poziom dostępu: Czytelnik zabezpieczeń)
  • Reagowanie bezpośrednio na aktywne zagrożenia (zalecane) — ta opcja umożliwia naszym ekspertom natychmiastowe powstrzymanie i korygowanie aktywnych zagrożeń podczas badania, co zmniejsza wpływ zagrożenia i poprawia ogólną wydajność reagowania. (Poziom dostępu: Operator zabezpieczeń)

Zrzut ekranu przedstawiający opcję zarządzania wykluczeniami podczas konfigurowania usługi Defender Experts dla usługi XDR.

Ważna

Jeśli pominiesz udzielanie dodatkowych uprawnień, nasi eksperci nie będą mogli podejmować pewnych akcji reagowania w celu zabezpieczenia organizacji.

Mimo że nasi eksperci otrzymują te stosunkowo zaawansowane uprawnienia, będą mieli indywidualny dostęp tylko do określonych obszarów przez ograniczony okres. Dowiedz się więcej o tym, jak działają uprawnienia ekspertów usługi Defender dla XDR

Aby udzielić naszym ekspertom uprawnień:

  1. W tej samej konfiguracji ustawień ekspertów usługi Defender w obszarze Uprawnienia wybierz poziomy dostępu, które chcesz udzielić naszym ekspertom.

  2. Jeśli chcesz wykluczyć grupy urządzeń i użytkowników w organizacji z akcji korygowania, wybierz pozycję Zarządzaj wykluczeniami.

  3. Wybierz pozycję Dalej , aby dodać osoby lub grupy kontaktów.

Aby edytować lub aktualizować uprawnienia po początkowej konfiguracji, przejdź do pozycji Ustawienia>Uprawnienia ekspertów>w usłudze Defender.

Wykluczanie urządzeń i użytkowników z korygowania

Usługa Defender Experts for XDR umożliwia wykluczenie urządzeń i użytkowników z akcji korygowania podjętych przez naszych ekspertów, a zamiast tego uzyskanie wskazówek dotyczących korygowania dla tych jednostek. Te wykluczenia są oparte na zidentyfikowanych grupach urządzeń w usłudze Microsoft Defender for Endpoint i zidentyfikowanych grupach użytkowników w identyfikatorze Microsoft Entra.

Aby wykluczyć grupy urządzeń:

  1. W tej samej konfiguracji ustawień ekspertów usługi Defender w obszarze Wykluczenia przejdź do karty Grupy urządzeń .

  2. Wybierz pozycję + Dodaj grupy urządzeń, a następnie wyszukaj i wybierz grupy urządzeń, które chcesz wykluczyć.

    Uwaga

    Na tej stronie wymieniono tylko istniejące grupy urządzeń. Jeśli chcesz utworzyć nową grupę urządzeń, najpierw musisz przejść do ustawień usługi Defender for Endpoint w portalu usługi Microsoft Defender. Następnie odśwież tę stronę, aby wyszukać i wybrać nowo utworzoną grupę. Dowiedz się więcej o tworzeniu grup urządzeń

  3. Wybierz pozycję Dodaj grupy urządzeń.

  4. Po powrocie na kartę Grupy urządzeń przejrzyj listę wykluczonych grup urządzeń. Jeśli chcesz usunąć grupę urządzeń z listy wykluczeń, wybierz ją, a następnie wybierz pozycję Usuń grupę urządzeń.

  5. Wybierz pozycję Dalej , aby potwierdzić listę wykluczeń i przejdź do dodawania osób kontaktowych lub grup. W przeciwnym razie wybierz pozycję Pomiń i wszystkie dodane wykluczenia zostaną odrzucone.

Zrzut ekranu przedstawiający opcję wykluczania grup urządzeń.

Aby wykluczyć grupy użytkowników:

  1. W tej samej konfiguracji ustawień ekspertów usługi Defender w obszarze Wykluczenia przejdź do karty Grupy użytkowników .

  2. Wybierz pozycję + Dodaj grupy użytkowników, a następnie wyszukaj i wybierz grupy użytkowników, które chcesz wykluczyć.

    Uwaga

    Na tej stronie wymieniono tylko istniejące grupy użytkowników. Jeśli chcesz utworzyć nową grupę użytkowników, najpierw musisz zalogować się do centrum administracyjnego microsoft Entra ID jako administrator globalny. Następnie odśwież tę stronę, aby wyszukać i wybrać nowo utworzoną grupę. Dowiedz się więcej o tworzeniu grup użytkowników

  3. Wybierz pozycję Dodaj grupy użytkowników.

  4. Na karcie Grupy użytkowników przejrzyj listę wykluczonych grup użytkowników. Jeśli chcesz usunąć grupę użytkowników z listy wykluczeń, wybierz ją, a następnie wybierz pozycję Usuń grupę użytkowników.

  5. Wybierz pozycję Dalej , aby potwierdzić listę wykluczeń i przejdź do dodawania osób kontaktowych lub grup. W przeciwnym razie wybierz pozycję Pomiń i wszystkie dodane wykluczenia zostaną odrzucone.

Zrzut ekranu przedstawiający wykluczanie grup użytkowników w usłudze Defender Experts for XDR.

Uwaga

Można wykluczyć użytkowników tylko przez dodanie ich do grupy zabezpieczeń identyfikatora Microsoft Entra. Obecnie nie można wykluczyć użytkowników lokalnych identyfikatorów entra.

Aby edytować lub aktualizować wykluczenia po początkowej konfiguracji, przejdź do pozycji Ustawienia>Wykluczenia ekspertów>w usłudze Defender, a następnie przejdź do karty Grupy urządzeń lub Grupy użytkowników.

Poinformuj nas, z kim się skontaktować w ważnych sprawach

Usługa Defender Experts for XDR umożliwia określenie osób lub grup w organizacji, które muszą być powiadamiane o krytycznych zdarzeniach, aktualizacjach usługi, okazjonalnych zapytaniach i innych zaleceniach:

  • Kontakty z powiadomieniem o zdarzeniu — te kontakty to osoby lub zespoły, które możemy powiadomić o zarządzanych akcjach reagowania lub o każdej komunikacji wymagającej natychmiastowej reakcji. Biorąc pod uwagę pilny charakter komunikacji, zalecamy, aby te kontakty były zawsze dostępne.
  • Kontakty dotyczące przeglądu usługi — są to osoby lub zespoły, z których możemy się skontaktować w celu wykonywania bieżących briefingów dotyczących zabezpieczeń wykonywanych przez nasz zespół ds. dostarczania usług.

Po zidentyfikowaniu osoby lub grupy otrzymają wiadomość e-mail z powiadomieniem o tym, że są one kontaktowe w celu powiadomienia o zdarzeniu lub przeglądu usługi.

Zrzut ekranu przedstawiający stronę Kontakty z incydentami w ustawieniach XDR usługi Defender for Experts krok po kroku.

Aby dodać kontakty powiadomień:

  1. W tej samej konfiguracji ustawień ekspertów usługi Defender w obszarze Kontakty wyszukaj i dodaj swoją osobę kontaktową lub zespół w podanym polu tekstowym.

  2. Dodaj numer telefonu (opcjonalnie), który eksperci usługi Defender mogą wywoływać w sprawach wymagających natychmiastowej uwagi.

  3. W polu listy rozwijanej Kontakt dla wybierz pozycję Powiadomienie o zdarzeniu lub Przegląd usługi.

  4. Wybierz opcję Dodaj.

  5. Wybierz pozycję Dalej , aby potwierdzić listę kontaktów i przejdź do tworzenia kanału usługi Teams , w którym możesz również otrzymywać powiadomienia o zdarzeniach.

Aby edytować lub aktualizować kontakty powiadomień po początkowej konfiguracji, przejdź do pozycji Ustawienia> Kontaktypowiadomień ekspertów>w usłudze Defender.

Zrzut ekranu przedstawiający kontakty powiadomień.

Otrzymywanie powiadomień i aktualizacji odpowiedzi zarządzanych w usłudze Microsoft Teams

Oprócz poczty e-mail i czatu w portalu musisz również skorzystać z usługi Microsoft Teams, aby otrzymywać aktualizacje dotyczące zarządzanych odpowiedzi i komunikować się z naszymi ekspertami w czasie rzeczywistym. Po włączeniu tego ustawienia tworzony jest nowy zespół o nazwie Defender Experts , w którym powiadomienia o zarządzanych odpowiedziach związane z trwającymi zdarzeniami są wysyłane jako nowe wpisy w zarządzanym kanale odpowiedzi . Dowiedz się więcej na temat korzystania z czatu w usłudze Teams

Ważna

Eksperci usługi Defender będą mieli dostęp do wszystkich komunikatów publikowanych w dowolnym kanale w utworzonym zespole defender experts. Aby uniemożliwić ekspertom usługi Defender uzyskiwanie dostępu do komunikatów w tym zespole, przejdź do pozycji Aplikacje w usłudze Teams, a następnie przejdź do obszaru Zarządzanie aplikacjami>Usuń ekspertów> usługi Defender. Tej akcji usuwania nie można cofnąć.

Aby włączyć powiadomienia i czat w usłudze Teams:

  1. W tej samej konfiguracji ustawień ekspertów usługi Defender w obszarze Teams zaznacz pole wyboru Komunikuj się w usłudze Teams .

  2. Wybierz pozycję Dalej , aby przejrzeć ustawienia.

  3. Wybierz pozycję Prześlij. Przewodnik krok po kroku kończy konfigurację początkową.

  4. Wybierz pozycję Wyświetl ocenę gotowości , aby wykonać niezbędne akcje wymagane do zoptymalizowania stanu zabezpieczeń.

Uwaga

Aby skonfigurować aplikację Defender Experts Teams, musisz mieć przypisaną rolę administratora globalnego lub administratora zabezpieczeń oraz licencję usługi Microsoft Teams.

Aby włączyć powiadomienia usługi Teams i porozmawiać po początkowej konfiguracji, przejdź do pozycji Ustawienia>Usługi Defender Experts>Teams.

Zrzut ekranu przedstawiający opcję aktywowania aplikacji Teams w celu otrzymania zarządzanej odpowiedzi.

  • Możesz dodać nowych członków do kanału, przechodząc do zespołu >Ekspertów usługi DefenderWięcej opcji (...)>Zarządzanie zespołem>Dodaj element członkowski.
  • Możesz ograniczyć liczbę osób, które mogą dołączyć do tego zespołu, przechodząc do zespołu >Ekspertów usługi DefenderWięcej opcji (...)>Ustawienia>Redagować>Zarządzanie zespołem>Prywatny.

Przygotowywanie środowiska do obsługi usługi Defender Experts

Oprócz dostarczania usługi dołączania, nasza wiedza na temat pakietu produktów Microsoft Defender XDR umożliwia ekspertom usługi Defender dla XDR przeprowadzanie oceny gotowości i pomaga w jak największym wykorzystać swoje produkty zabezpieczające firmy Microsoft.

Ocena gotowości jest oparta na liczbie chronionych urządzeń i tożsamości w środowisku oraz zaleceniach dotyczących zasad ekspertów usługi Defender. Aby wyświetlić ocenę, w portalu usługi Microsoft Defender przejdź do pozycji Ustawienia>Eksperci usługi Defender , a następnie wybierz pozycję Stan usługi.

Zrzut ekranu przedstawiający środowisko oceny gotowości.

Ocena gotowości składa się z dwóch części:

  • Wymagane akcje — w tej sekcji przedstawiono liczbę akcji lub ustawień zabezpieczeń, które należy wykonać, są w toku lub zostały ukończone. Te akcje są wyświetlane w tabeli w dolnej części strony.

    Lista zawiera opis wymaganych kroków, które należy wykonać przed zainicjowaniem usługi. Określ priorytety akcji, które mają stan Ukończ teraz , aby szybciej uruchomić usługę Defender Experts for XDR.

    Uwaga

    Uzyskanie najnowszego stanu ustawień zabezpieczeń może potrwać do 24 godzin.

  • Chronione zasoby — w tej sekcji przedstawiono bieżącą liczbę chronionych urządzeń i tożsamości w porównaniu z tymi, które nadal trzeba chronić, aby uruchomić usługę Defender Experts for XDR.

    Dane są oparte na licencjach usługi Defender for Endpoint i Defender for Identity; aby osiągnąć docelową liczbę chronionych zasobów, dołącz więcej urządzeń do usługi Defender for Endpoint lub zainstaluj więcej czujników usługi Defender for Identity.

Ważna

Eksperci usługi Defender dla XDR okresowo przeprowadzają przeglądy oceny gotowości, zwłaszcza w przypadku jakichkolwiek zmian w środowisku, takich jak dodawanie nowych urządzeń i tożsamości. Ważne jest, aby regularnie monitorować i uruchamiać ocenę gotowości poza początkowym dołączaniem, aby upewnić się, że środowisko ma silną postawę bezpieczeństwa w celu zmniejszenia ryzyka.

Po wykonaniu wszystkich wymaganych zadań i spełnieniu celów dołączania w ocenie gotowości twój menedżer dostarczania usług (SDM) inicjuje fazę monitorowania usługi Defender Experts for XDR, w której przez kilka dni nasi eksperci rozpoczynają ścisłe monitorowanie środowiska w celu zidentyfikowania ukrytych zagrożeń, źródeł ryzyka i normalnej aktywności. Gdy lepiej zrozumiamy twoje krytyczne zasoby, możemy usprawnić usługę i dostosować nasze odpowiedzi.

Gdy nasi eksperci zaczną wykonywać kompleksową pracę reagowania w Twoim imieniu, zaczniesz otrzymywać powiadomienia o zdarzeniach wymagających kroków korygowania i ukierunkowanych zaleceniach dotyczących krytycznych zdarzeń. Możesz również porozmawiać z naszymi ekspertami lub swoimi maszynami SDM dotyczącymi ważnych zapytań oraz regularnych przeglądów kondycji biznesowej i bezpieczeństwa. Ponadto możesz również wyświetlać raporty w czasie rzeczywistym dotyczące liczby zdarzeń, które zbadaliśmy i rozwiązaliśmy w Twoim imieniu.

Następny krok

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.