Область охвата в Эксперты по Microsoft Defender для XDR
Область применения:
Эксперты по Microsoft Defender для XDR предлагает ограниченный охват для клиентов, которые хотят, чтобы эксперты Defender охватывали только часть своей организации (например, определенный географический регион, филиал или функцию), которая требует поддержки центра управления безопасностью (SOC) или где их поддержка безопасности ограничена.
Вы можете определить определенный набор устройств и (или) пользователей, для которых эксперты Defender будут предлагать поддержку. Любой инцидент, затрагивающий любой из определенных наборов устройств и пользователей, будет рассмотрен в область, и наши специалисты предоставят необходимые меры реагирования для устранения угрозы.
Устройства и пользователи, которые находятся вне область, не будут поддерживаться экспертами Defender. Если они являются частью инцидента, в котором затрагивается по крайней мере одно устройство или пользователь в область, мы будем держать вас в курсе не область ресурсов, но не будем предпринимать никаких действий по реагированию или рекомендаций.
Использование расширенного охвата экспертов Defender
На портале Microsoft Defender можно создать предопределенную группу устройств Microsoft Defender для конечной точки или группу пользователей Microsoft Entra ID, в которую можно добавлять устройства и пользователей соответственно. Имя, присвоенное созданному устройству или группе пользователей, должно быть следующим:
- Defender_Experts_Scoped_Coverage_Devices
- Defender_Experts_Scoped_Coverage_Users
Устройства и пользователи, добавленные в эти группы, рассматриваются как набор ресурсов, которые находятся в область для этой службы.
Примечание.
Для создания групп устройств и пользователей требуются разрешения администратора безопасности . Узнайте больше о предоставлении разрешений нашим экспертам.
Совет
Группа устройств должна иметь наивысший приоритет для устройств в ней, которые должны учитываться в область. Это известное ограничение продукта.
В настоящее время служба не поддерживает переименование этих предопределенных групп, поэтому рекомендуется не переименовывать созданные устройства или группы пользователей. Он также не поддерживает вложенные группы. Устройства и пользователи должны быть добавлены в созданные группы по отдельности.
В следующем разделе перечислены вопросы, которые могут возникнуть у вас или вашей команды SOC относительно охвата.
Какие аспекты службы XDR соответствуют охвату экспертов Defender?
- Эта служба не изменяет нашу структуру ценообразования. Вы по-прежнему платите за службу экспертов Defender на основе E5 и Microsoft Defender для конечной точки для серверов для требуемой базы пользователей.
- Эта служба не область в соответствии с отдельными продуктами и службами Microsoft Defender (например, Microsoft Defender для конечной точки, Microsoft Defender для Office 365 или Microsoft Defender для облака). То есть минимальной базовой базой для охвата области по-прежнему является лицензия E5.
- Разрешения аналитиков в Эксперты по Defender для XDR не изменяются. Аналитики Defender Experts по-прежнему будут иметь доступ ко всему клиенту, а не только к ресурсам с заданной областью.
Можно ли изменить ресурсы с заданной областью позже?
Вы можете изменять ресурсы с заданной областью в соответствии с вашими потребностями. Помните, что внесенные вами изменения могут занять некоторое время, чтобы ввести в силу в нашей службе. Рекомендуется учитывать бизнес-ритм вашей организации для инцидентов до и после внесения изменений.
Какой тип действий реагирования предоставляет эта служба?
В существующих действиях реагирования, которые находятся в область, изменения отсутствуют. Ознакомьтесь с нашими часто задаваемыми вопросами, связанными с управляемым ответом Эксперты по Microsoft Defender для XDR, чтобы узнать больше.