Поделиться через

Начало работы с Эксперты по Microsoft Defender для XDR

  • Статья

Область применения:

Инструкции по подключению проверка это короткое видео.

Когда команда Эксперты по Defender для XDR будет готова подключиться к вашей организации, вы получите приветственное сообщение электронной почты, чтобы продолжить настройку и начать работу.

Щелкните ссылку в приветственном сообщении электронной почты, чтобы напрямую запустить настройку параметров экспертов Defender на портале Microsoft Defender. Вы также можете открыть эту настройку, перейдя в раздел Параметры Эксперты>Defender и выбрав Начало работы.

Снимок экрана: страница

Предоставление разрешений нашим экспертам

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

По умолчанию Эксперты по Defender для XDR требуется доступ к поставщику услуг, который позволяет нашим специалистам входить в клиент и предоставлять службы на основе назначенных ролей безопасности. Дополнительные сведения о межтенантном доступе

Вам также необходимо предоставить нашим экспертам одно или оба из следующих разрешений:

  • Исследовать инциденты и направлять мои ответы (по умолчанию) — этот параметр позволяет нашим специалистам активно отслеживать и исследовать инциденты, а также направлять вас по всем необходимым действиям по реагированию. (Уровень доступа: средство чтения безопасности)
  • Непосредственное реагирование на активные угрозы (рекомендуется) — этот параметр позволяет нашим экспертам немедленно сдерживать и устранять активные угрозы во время исследования, тем самым уменьшая влияние угрозы и повышая общую эффективность реагирования. (Уровень доступа: оператор безопасности)

Снимок экрана: параметр управления исключениями при настройке Эксперты по Defender для XDR.

Важно!

Если вы пропустите предоставление дополнительных разрешений, наши эксперты не смогут предпринять определенные действия для защиты вашей организации.

Несмотря на то, что наши эксперты получают эти относительно мощные разрешения, они будут иметь индивидуальный доступ только в определенные области в течение ограниченного периода времени. Дополнительные сведения о работе разрешений Эксперты по Defender для XDR

Чтобы предоставить нашим экспертам разрешения, выполните следующие действия.

  1. В той же настройке параметров экспертов Defender в разделе Разрешения выберите уровни доступа, которые вы хотите предоставить нашим экспертам.

  2. Если вы хотите исключить устройства и группы пользователей в организации из действий по исправлению, выберите Управление исключениями.

  3. Нажмите кнопку Далее , чтобы добавить контактных лиц или группы.

Чтобы изменить или обновить разрешения после начальной настройки, перейдите в раздел Параметры Разрешения>экспертов> Defender.

Исключение устройств и пользователей из исправлений

Эксперты по Defender для XDR позволяет исключить устройства и пользователей из действий по исправлению, выполняемых нашими экспертами, а вместо этого получить рекомендации по исправлению для этих сущностей. Эти исключения основаны на определенных группах устройств в Microsoft Defender для конечной точки и определенных группах пользователей в Microsoft Entra ID.

Чтобы исключить группы устройств, выполните следующие действия.

  1. В той же настройке параметров Эксперты Defender в разделе Исключения перейдите на вкладку Группы устройств .

  2. Выберите + Добавить группы устройств, а затем найдите и выберите группы устройств, которые нужно исключить.

    Примечание.

    На этой странице перечислены только существующие группы устройств. Если вы хотите создать новую группу устройств, сначала необходимо перейти к параметрам Defender для конечной точки на портале Microsoft Defender. Затем обновите эту страницу, чтобы найти и выбрать только что созданную группу. Дополнительные сведения о создании групп устройств

  3. Выберите Добавить группы устройств.

  4. Вернитесь на вкладку Группы устройств и просмотрите список исключенных групп устройств. Если вы хотите удалить группу устройств из списка исключений, выберите ее, а затем выберите Удалить группу устройств.

  5. Нажмите кнопку Далее , чтобы подтвердить список исключений и перейти к добавлению контактных лиц или групп. В противном случае выберите Пропустить, и все добавленные исключения будут отменены.

Снимок экрана: параметр исключения групп устройств.

Чтобы исключить группы пользователей, выполните следующие действия:

  1. В той же настройке параметров экспертов Defender в разделе Исключения перейдите на вкладку Группы пользователей .

  2. Выберите + Добавить группы пользователей, а затем найдите и выберите группы пользователей, которые нужно исключить.

    Примечание.

    На этой странице перечислены только существующие группы пользователей. Если вы хотите создать новую группу пользователей, сначала необходимо войти в центр администрирования Microsoft Entra ID в качестве глобального администратора. Затем обновите эту страницу, чтобы найти и выбрать только что созданную группу. Дополнительные сведения о создании групп пользователей

  3. Выберите Добавить группы пользователей.

  4. Вернитесь на вкладку Группы пользователей и просмотрите список исключенных групп пользователей. Если вы хотите удалить группу пользователей из списка исключений, выберите ее, а затем выберите Удалить группу пользователей.

  5. Нажмите кнопку Далее , чтобы подтвердить список исключений и перейти к добавлению контактных лиц или групп. В противном случае выберите Пропустить, и все добавленные исключения будут отменены.

Снимок экрана: исключение групп пользователей в Эксперты по Defender для XDR.

Примечание.

Вы можете исключить пользователей, только добавив их в группу безопасности Microsoft Entra ID. Пользователи с локальными идентификаторами Entra в настоящее время не могут быть исключены.

Чтобы изменить или обновить исключения после начальной настройки, перейдите в раздел Параметры Эксперты>>DefenderИсключения, а затем перейдите на вкладку Группы устройств или Группы пользователей.

Расскажите нам, с кем следует связаться по важным вопросам

Эксперты по Defender для XDR позволяет определить пользователей или группы в организации, которые должны быть уведомлены о критических инцидентах, обновлениях служб, случайных запросах и других рекомендациях:

  • Контакты с уведомлением об инцидентах . Это лица или команды, которые мы можем уведомить об управляемых действиях реагирования или любых сообщениях, требующих немедленного реагирования. Учитывая срочный характер сообщений, мы рекомендовали, чтобы эти контакты всегда были доступны.
  • Контакты по проверке служб . Это лица или команды, которые будут взаимодействовать для обновления служб и, если ваша служба включает в себя менеджера по доставке услуг, брифинги по службам.

После идентификации лица или группы получат электронное письмо с уведомлением о том, что они были контактами для уведомления об инциденте или проверки службы.

Снимок экрана: страница контактов по инцидентам в пошаговом руководстве по параметрам XDR Defender для экспертов.

Чтобы добавить контакты уведомлений, выполните следующие действия:

  1. В той же настройке параметров Эксперты Defender в разделе Контакты найдите и добавьте контактного лица или команду в указанном текстовом поле.

  2. Добавьте номер телефона (необязательно), который эксперты Defender могут вызывать для вопросов, требующих немедленного внимания.

  3. В раскрывающемся списке Контакт для выберите Уведомление об инциденте или Проверка службы.

  4. Нажмите Добавить.

  5. Нажмите кнопку Далее , чтобы подтвердить список контактов и перейти к созданию канала Teams , где вы также можете получать уведомления об инцидентах.

Чтобы изменить или обновить контакты уведомлений после начальной настройки, перейдите в раздел Параметры Эксперты>Защитника>Уведомления контакты.

Снимок экрана: контакты с уведомлениями.

Получение уведомлений об управляемых ответах и обновлений в Microsoft Teams

Помимо электронной почты и чата на портале, вы также можете использовать Microsoft Teams для получения обновлений об управляемых ответах и общения с нашими экспертами в режиме реального времени. Если этот параметр включен, создается новая группа экспертов Defender , где уведомления об управляемом ответе, связанные с текущими инцидентами, отправляются в виде новых записей в канале управляемого ответа . Дополнительные сведения об использовании чата Teams

Важно!

Эксперты Defender получат доступ ко всем сообщениям, размещенным на любом канале в созданной команде экспертов Defender. Чтобы запретить экспертам Defender доступ к сообщениям в этой команде, перейдите в раздел Приложения в Teams, а затем перейдите в раздел Управление приложениями>Эксперты> DefenderУдалить. Это действие удаления не может быть отменено.

Чтобы включить уведомления Teams и чат, выполните приведенные ниже действия.

  1. В той же настройке параметров экспертов Defender в разделе Teams установите флажок Общаться в Teams .

  2. Нажмите кнопку Далее , чтобы просмотреть параметры.

  3. Выберите Отправить. Затем пошаговые инструкции завершают начальную настройку.

  4. Выберите Просмотреть оценку готовности , чтобы выполнить необходимые действия, необходимые для оптимизации состояния безопасности.

Примечание.

Чтобы настроить приложение Teams для экспертов Defender, необходимо назначить роль администратора глобальный администратор или безопасности, а также лицензию Microsoft Teams.

Чтобы включить уведомления Teams и чат после начальной настройки, перейдите в раздел Параметры Эксперты>>DefenderTeams.

Снимок экрана: параметр активации Teams для получения управляемого ответа.

  • Вы можете добавить новых участников в канал, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Управление командой>Добавить участника.
  • Вы можете ограничить пользователей, которые могут присоединиться к этой команде, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Параметры>Редактировать>Управление командой>Частный.

Подготовка среды для службы экспертов Defender

Помимо адаптации к доставке служб, наш опыт в области набора продуктов Microsoft Defender XDR позволяет Эксперты по Defender для XDR проводить оценку готовности и помогать вам максимально эффективно использовать ваши продукты майкрософт для обеспечения безопасности.

Оценка готовности основана на количестве защищенных устройств и удостоверений в вашей среде, а также на рекомендациях по политике экспертов Defender. Чтобы просмотреть оценку, на портале Microsoft Defender перейдите в раздел Параметры Эксперты>Защитника, а затем выберите Состояние службы.

Снимок экрана: среда оценки готовности.

Оценка готовности состоит из двух частей:

  • Необходимые действия . В этом разделе показано количество действий или параметров безопасности, которые необходимо выполнить, выполняются или были завершены. Эти действия перечислены в таблице в нижней части страницы.

    В списке перечислены необходимые действия, которые необходимо выполнить перед запуском службы. Приорите приоритет действиям, имеющим состояние "Завершить сейчас", чтобы быстрее запустить службу Эксперты по Defender для XDR.

    Примечание.

    Получение последнего состояния параметров безопасности может занять до 24 часов.

  • Защищенные ресурсы. В этом разделе показано текущее количество защищенных устройств и удостоверений, а не тех, которые по-прежнему необходимо защитить для запуска службы Эксперты по Defender для XDR.

    Эти цифры основаны на лицензиях Defender для конечной точки и Defender для удостоверений. Чтобы достичь этого целевого количества защищенных ресурсов, подключайте больше устройств к Defender для конечной точки или установите дополнительные датчики Defender для удостоверений.

Важно!

Эксперты по Defender для XDR периодически проверяет оценку готовности, особенно если в вашей среде есть какие-либо изменения, например добавление новых устройств и удостоверений. Важно регулярно отслеживать и выполнять оценку готовности после первоначального подключения, чтобы убедиться, что ваша среда имеет надежную безопасность для снижения риска.

После выполнения всех необходимых задач и выполнения целевых показателей адаптации в оценке готовности начнется этап мониторинга службы Эксперты по Defender для XDR, где в течение нескольких дней наши эксперты начнут внимательно следить за вашей средой для выявления скрытых угроз, источников риска и нормальной активности. По мере того как мы лучше поймем ваши критически важные ресурсы, мы можем оптимизировать обслуживание и точно настроить наши ответы.

После того как наши эксперты начнут выполнять комплексную работу по реагированию от вашего имени, вы начнете получать уведомления об инцидентах , требующих действий по исправлению, и целевые рекомендации по критическим инцидентам. Вы также можете пообщаться с нашими экспертами или вашими SDM по важным запросам и регулярным проверкам состояния бизнеса и безопасности. Кроме того, вы также можете просматривать отчеты в режиме реального времени о количестве инцидентов, которые мы изучили и устранили от вашего имени.

Следующее действие

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.