Общие сведения об управляемом ответе

Область применения:

• Microsoft Defender XDR

В следующем разделе перечислены вопросы, которые могут возникнуть у вас или вашей команды SOC относительно управляемого ответа.

Вопросы	Ответы
Что такое управляемый ответ?	Эксперты по Microsoft Defender для XDR предлагает управляемое реагирование, где наши эксперты управляют всем процессом исправления инцидентов, для которых они требуются. Этот процесс включает в себя исследование инцидента для выявления первопричины, определения необходимых действий реагирования и выполнения этих действий от вашего имени.
Какие действия область для управляемого ответа?	Все действия, приведенные ниже, находятся в область для управляемого ответа для любого устройства и пользователя, которые не исключены. Для устройств(доступно сейчас) Изолировать компьютер Освобождение компьютера от изоляции Остановка и помещение на карантин файла Ограничить выполнение приложения Удалить ограничение приложения Для пользователей (доступно сейчас) Отключить пользователя Включение пользователя Для пользователей (скоро) Отзыв маркера обновления Обратимое удаление сообщений электронной почты
Можно ли настроить масштаб управляемого ответа?	Вы можете настроить степень, в которой наши эксперты выполняют действия управляемого ответа от вашего имени, исключив определенные устройства и пользователей (по отдельности или по группам) во время подключения или позже, изменив параметры вашей службы. Дополнительные сведения об исключении групп устройств
Какую поддержку эксперты Defender предлагают для исключенных ресурсов?	Если наши эксперты определяют, что вам нужно выполнить действия реагирования на исключенных устройствах или пользователях, мы уведомим вас с помощью различных настраиваемых методов и направим вас на портал Microsoft Defender XDR. Затем на портале можно просмотреть подробную сводку процесса исследования и необходимых действий реагирования на портале и выполнить эти необходимые действия напрямую. Аналогичные возможности также доступны через API Defender, если вы предпочитаете использовать управление информационной безопасностью и событиями безопасности (SIEM), управление ИТ-службами (ITSM) или любое другое стороннее средство.
Как я буду проинформирован о действиях реагирования?	Действия реагирования, которые наши эксперты выполнили от вашего имени, и все ожидающие действия, которые необходимо выполнить для исключенных ресурсов, отображаются на панели Управляемого ответа на странице Инциденты на портале Defender. Кроме того, вы также получите электронное письмо со ссылкой на инцидент и инструкции для просмотра управляемого ответа на портале. Кроме того, если у вас есть интеграция с Microsoft Sentinel или API, вы также будете уведомлены в этих средствах, найдите состояния экспертов Defender. Дополнительные сведения см. в разделе Часто задаваемые вопросы, связанные с уведомлениями об инцидентах Эксперты по Microsoft Defender для XDR.
Можно ли настроить управляемый ответ на основе действий?	Нет. Если у вас есть устройства или пользователи, которые считаются высокоценными или конфиденциальными, их можно добавить в список исключений. Наши эксперты не будут предпринимать никаких действий по ним и будут предоставлять рекомендации только в том случае, если на них влияет инцидент.

См. также

• Управляемое обнаружение и реагирование
• Вопросы и ответы, связанные с уведомлениями об инцидентах Эксперты по Microsoft Defender для XDR

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.