Dela via

Börja använda Defender-experter för XDR-tjänsten

  • Artikel

Gäller för:

När du har slutfört registreringsstegen och beredskapskontrollerna för Microsoft Defender-experter för XDR börjar våra experter övervaka din miljö för att effektivisera tjänsten så att vi kan utföra omfattande tjänster åt dig. Under det här steget identifierar våra experter latenta hot, riskkällor och normal aktivitet.

När våra experter börjar utföra omfattande svarsarbete åt dig börjar du få meddelanden om incidenter som kräver reparationssteg och riktade rekommendationer om kritiska incidenter. Du kan också chatta med våra experter eller dina serviceleveransansvariga (SDM: er) om viktiga frågor och regelbundna granskningar av affärs- och säkerhetsstatus och visa realtidsrapporter om antalet incidenter som vi har undersökt och löst för din räkning.

Hanterad identifiering och svar

Genom en kombination av automatisering och mänsklig expertis sorterar Defender-experter för XDR Microsoft Defender XDR-incidenter, prioriterar dem för din räkning, filtrerar bort bruset, utför detaljerade undersökningar och ger ett användbart hanterat svar till dina SOC-team (Security Operations Center).

Incidentuppdateringar

När våra experter börjar undersöka en incident uppdateras incidentens fält tilldelade till och Status till Defender-experter respektive Pågående.

När våra experter avslutar sin undersökning av en incident uppdateras incidentens klassificeringsfält till något av följande, beroende på experternas resultat:

  • Sant positivt
  • Falsk positiv identifiering
  • Information, förväntad aktivitet

Fältet Bestämning som motsvarar varje klassificering uppdateras också för att ge fler insikter om de resultat som fick våra experter att fastställa klassificeringen.

Skärmbild av sidan Incidenter som visar fälten Taggar, Status, Tilldelad till, Klassificering och Bestämning.

Om en incident klassificeras som falsk positiv eller informationsbaserad, förväntad aktivitet, uppdateras incidentens statusfält till Löst. Våra experter avslutar sedan sitt arbete med den här incidenten och fältet Tilldelad uppdateras till Ej tilldelad. Våra experter kan dela uppdateringar från sin undersökning och sin slutsats när de löser en incident. De här uppdateringarna publiceras i incidentens utfällbara panel Kommentarer och historik .

Obs!

Incidentkommentare är enkelriktade inlägg. Defender-experter kan inte svara på kommentarer eller frågor som du lägger till i panelen Kommentarer och historik . Mer information om hur du motsvarar våra experter finns i Kommunicera med experter i Tjänsten Microsoft Defender-experter för XDR.

Om en incident annars klassificeras som Sann positiv identifierar våra experter de svarsåtgärder som krävs för att utföras. Vilken metod som åtgärderna utförs i beror på vilka behörigheter och åtkomstnivåer du har gett Defender-experterna för XDR-tjänsten. Läs mer om att bevilja behörigheter till våra experter.

  • Om du har beviljat Defender-experter för XDR de rekommenderade åtkomstbehörigheterna för säkerhetsoperatören kan våra experter utföra de svarsåtgärder som krävs för incidenten åt dig. Dessa åtgärder, tillsammans med en undersökningssammanfattning, visas i den utfällbara panelen Hanterat svar i Microsoft Defender-portalen där du eller SOC-teamet kan granska dem. Alla åtgärder som slutförs av Defender-experter för XDR visas under avsnittet Slutförda åtgärder . Alla väntande åtgärder som kräver att du eller soc-teamet slutförs visas i avsnittet Väntande åtgärder . Mer information finns i avsnittet Åtgärder . När våra experter har vidtagit alla nödvändiga åtgärder för incidenten uppdateras dess statusfält till Löst och fältet Tilldelad uppdateras till Ej tilldelad.

  • Om du har beviljat Defender-experter för XDR standardåtkomst för säkerhetsläsare visas de nödvändiga svarsåtgärderna, tillsammans med en undersökningssammanfattning, i incidentens utfällbara panel för hanterat svar under avsnittet Väntande åtgärder i Microsoft Defender-portalen där du eller SOC-teamet kan utföra. Mer information finns i avsnittet Åtgärder . För att identifiera den här överlämningen uppdateras incidentens statusfält till Väntar på kundåtgärd och fältet Tilldelad till uppdateras till Kund.

Du kan kontrollera antalet incidenter som kräver din åtgärd i defender-experternas banderoll överst på Microsoft Defender-startsidan.

Skärmbild av kortet Defender-experter i Microsoft Defender-portalen som visar antalet incidenter som väntar på kundåtgärder.

Om du vill visa de incidenter som våra experter har undersökt eller undersöker för närvarande filtrerar du incidentkön i Microsoft Defender-portalen med hjälp av taggen Defender-experter .

Skärmbild av incidentkön i Microsoft Defender-portalen filtrerad för att endast visa dem med taggen Defender-experter.

Använda hanterat svar i Microsoft Defender XDR

I Microsoft Defender-portalen har en incident som kräver din uppmärksamhet med hanterat svar fältet Tilldelad tillKund och ett aktivitetskort ovanpå fönstret Incidenter . Dina angivna incidentkontakter får också ett motsvarande e-postmeddelande med en länk till Defender-portalen för att visa incidenten. Läs mer om meddelandekontakter.

Välj Visa hanterat svar på aktivitetskortet eller överst på portalsidan (fliken Hanterat svar ) för att öppna en utfälld panel där du kan läsa våra experters undersökningssammanfattning, slutföra väntande åtgärder som identifierats av våra experter eller interagera med dem via chatt.

Undersökningssammanfattning

Avsnittet Undersökningssammanfattning ger dig mer kontext om incidenten som analyseras av våra experter för att ge dig insyn i dess allvarlighetsgrad och potentiella inverkan om den inte åtgärdas omedelbart. Det kan innehålla enhetens tidslinje, indikatorer för angrepp och indikatorer för kompromettering (IOP) som observerats och annan information.

Skärmbild av sammanfattning av undersökning av hanterat svar.

Åtgärder

På fliken Åtgärder visas uppgiftskort som innehåller svarsåtgärder som rekommenderas av våra experter.

Defender-experter för XDR stöder för närvarande följande hanterade svarsåtgärder med ett klick:

Åtgärd Beskrivning
Isolera enhet Isolerar en enhet, vilket hjälper till att förhindra att en angripare styr den och utför ytterligare aktiviteter som dataexfiltrering och lateral förflyttning. Den isolerade enheten är fortfarande ansluten till Microsoft Defender för Endpoint.
Karantänfil Stoppar körningen av processer, placerar filerna i karantän och tar bort beständiga data, till exempel registernycklar.
Begränsa körning av program Begränsar körningen av potentiellt skadliga program och låser enheten för att förhindra ytterligare försök.
Frisläpp från isolering Ångrar isolering av en enhet.
Ta bort programbegränsning Ångrar frisläppning från isolering.

Förutom dessa åtgärder med ett klick kan du även få hanterade svar från våra experter som du behöver utföra manuellt.

Obs!

Innan du utför någon av de rekommenderade hanterade svarsåtgärderna kontrollerar du att de inte redan åtgärdas av dina automatiska undersöknings- och svarskonfigurationer. Läs mer om automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR.

Så här visar och utför du de hanterade svarsåtgärderna:

  1. Välj pilknapparna i ett åtgärdskort för att expandera det och läs mer om den nödvändiga åtgärden.

    Skärmbild av åtgärden för hanterat svar för att isolera enhetens prod-server.

  2. För kort med svarsåtgärder med ett klick väljer du den åtgärd som krävs. Åtgärdsstatusen i kortet ändras till Pågår och sedan till Misslyckad eller Slutförd, beroende på åtgärdens resultat.

    Skärmbild av åtgärden för hanterat svar som visar pågående isolering av enhetens prod-server.

    Tips

    Du kan också övervaka statusen för svarsåtgärder i portalen i Åtgärdscenter. Om en svarsåtgärd misslyckas kan du försöka göra det igen från sidan Visa enhetsinformation eller starta en chatt med Defender-experter.

  3. För kort med nödvändiga åtgärder som du behöver utföra manuellt väljer du Jag har slutfört den här åtgärden när du har utfört dem och väljer sedan Ja, jag har gjort det i bekräftelsedialogrutan som visas.

    Skärmbild av åtgärden för hanterat svar för att bekräfta att åtgärden har slutförts.

  4. Om du inte vill slutföra en obligatorisk åtgärd direkt väljer du Hoppa över och sedan Ja, hoppa över den här åtgärden i bekräftelsedialogrutan som visas.

Viktigt

Om du märker att någon av knapparna på åtgärdskorten är nedtonade kan det tyda på att du inte har de behörigheter som krävs för att utföra åtgärden. Kontrollera att du är inloggad på Microsoft Defender XDR-portalen med rätt behörigheter. De flesta hanterade svarsåtgärder kräver att du har minst åtkomst till säkerhetsoperatören.

Om du fortfarande stöter på det här problemet även med rätt behörigheter går du till Visa enhetsinformation och slutför stegen därifrån.

Få insyn i Defender-experters undersökningar i ditt SIEM- eller ITSM-program

När Defender-experter för XDR undersöker incidenter och kommer med reparationsåtgärder kan du få insyn i deras arbete med incidenter i dina SIEM-program (säkerhetsinformation och händelsehantering) och ITSM-program (IT-tjänsthantering), inklusive program som är tillgängliga direkt.

Microsoft Sentinel

Du kan få synlighet för incidenter i Microsoft Sentinel genom att aktivera den färdiga Microsoft Defender XDR-dataanslutningen. Mer information.

När du har aktiverat anslutningsappen visas uppdateringar av Defender-experter till fälten Status, Tilldelad till, Klassificering och Bestämning i Microsoft Defender XDR i motsvarande fält för Status, Ägare och Orsak för att stänga fält i Sentinel.

Obs!

Statusen för incidenter som undersöks av Defender-experter i Microsoft Defender XDR övergår vanligtvis från Aktiv till Pågår till Väntar på kundåtgärd till Löst, medan den i Sentinel följer sökvägen Ny till aktiv till Löst . Microsoft Defender XDR-statusen väntar på kundåtgärd har inte ett motsvarande fält i Sentinel. I stället visas den som en tagg i en incident i Sentinel.

I följande avsnitt beskrivs hur en incident som hanteras av våra experter uppdateras i Sentinel under undersökningsresan:

  1. En incident som undersöks av våra experter har statusenaktiv och ägaren listad som Defender-experter.
  2. En incident som våra experter har bekräftat som sann positiv har ett hanterat svar publicerat i Microsoft Defender XDR och en taggsom väntar på kundåtgärd och ägaren visas som kund. Du måste agera på incidenten baserat på hur du använder det hanterade svaret.
  3. När våra experter har avslutat sin undersökning och stängt en incident som falsk positiv eller informationsbaserad, förväntad aktivitet, har incidentens status uppdaterats till Löst, ägaren uppdateras till Ej tilldelad och en orsak till stängning tillhandahålls.

Skärmbild av Microsoft Sentinel-incidenter.

Andra program

Du kan få insyn i incidenter i ditt SIEM- eller ITSM-program med hjälp av Microsoft Defender XDR API eller anslutningsappar i Sentinel.

När du har konfigurerat en anslutningsapp kan defender-experternas uppdateringar av fälten Status, Tilldelad till, Klassificering och Bestämning i Microsoft Defender XDR synkroniseras med SIEM- eller ITSM-program från tredje part, beroende på hur fältmappningen har implementerats. För att illustrera kan du ta en titt på anslutningsappen som är tillgänglig från Sentinel till ServiceNow.

Få synlighet i realtid med Defender-experter för XDR-rapporter

Defender-experter för XDR innehåller en interaktiv rapport på begäran som ger en tydlig sammanfattning av det arbete som våra expertanalytiker utför för din räkning, sammanställd information om ditt incidentlandskap och detaljerad information om specifika incidenter. Din service delivery manager (SDM) använder också rapporten för att ge dig mer kontext gällande tjänsten under en månatlig affärsgranskning.

Skärmbild av Defender-experter för XDR-rapport.

Varje avsnitt i rapporten är utformat för att ge fler insikter om de incidenter som våra experter undersökte och löste i din miljö i realtid. Du kan också välja datumintervallet för att få detaljerad information om incidenter baserat på allvarlighetsgrad, kategori och förstå hur lång tid det tar att undersöka och lösa en incident under en viss period.

Förstå Defender-experterna för XDR-rapporten

Det översta avsnittet i rapporten Defender Experts for XDR innehåller procentandelen incidenter som vi löste i din miljö, vilket ger dig insyn i vår verksamhet. Denna procentandel härleds från följande siffror, som också presenteras i rapporten:

  • Undersökt – Antalet aktiva hot och andra incidenter från din incidentkö som vi har prioriterat, undersökt eller för närvarande undersöker inom vårt omfång.
  • Löst – det totala antalet undersökta incidenter som har stängts.
  • Åtgärdas direkt – Antalet undersökta incidenter som vi kunde stänga direkt för din räkning.
  • Löst med din hjälp – Antalet undersökta incidenter som löstes på grund av din åtgärd för en eller flera hanterade svarsuppgifter.

Avsnittet Genomsnittlig tid för att lösa incidenter visar ett stapeldiagram över den genomsnittliga tiden, i minuter, våra experter har ägnat åt att undersöka och stänga incidenter i din miljö och den genomsnittliga tid som du har spenderat på att utföra nödvändiga hanterade svarsåtgärder.

Avsnitten Incidenter efter allvarlighetsgrad, Incidenter efter kategori och Incidenter efter tjänstkälla delar upp lösta incidenter efter allvarlighetsgrad, attackteknik respektive Microsofts säkerhetstjänstkälla. I de här avsnitten kan du identifiera potentiella startpunkter för attacker och typer av hot som har identifierats i din miljö, utvärdera deras inverkan och utveckla strategier för att minimera och förhindra dem. Välj Visa incidenter för att få en filtrerad vy över incidentkön baserat på de val du gjorde i vart och ett av de två avsnitten.

Avsnittet Mest påverkade tillgångar visar de användare och enheter i din miljö som var inblandade i flest antal incidenter under det valda datumintervallet. Du kan se volymen av incidenter som varje tillgång var inblandad i. Välj en tillgång för att få en filtrerad vy över incidentkön baserat på de incidenter som inkluderade den aktuella tillgången.

Proaktiv hanterad jakt

Defender-experter för XDR inkluderar även proaktiv hotjakt som erbjuds av Microsoft Defender-experter för jakt. Defender-experter för jakt har skapats för kunder som har ett robust säkerhetsåtgärdscenter men vill att Microsoft ska hjälpa dem att proaktivt jaga hot med hjälp av Microsoft Defender-data. Den här proaktiva hotjakttjänsten sträcker sig bortom slutpunkten för att jaga över slutpunkter, Office 365, molnprogram och identiteter. Våra experter undersöker allt de hittar och lämnar sedan bort den sammanhangsbaserade aviseringsinformationen tillsammans med reparationsinstruktioner så att du snabbt kan svara.

Begära avancerad hotexpertis på begäran

Välj Fråga Defender-experter direkt i Microsoft Defender XDR-portalen för att få snabba och korrekta svar på alla dina hotfrågor. Experter kan ge insikter för att bättre förstå de komplexa hot som din organisation kan stöta på. Kontakta en expert för att:

  • Samla in ytterligare information om aviseringar och incidenter, inklusive rotorsaker och omfång.
  • Få klarhet i misstänkta enheter, aviseringar eller incidenter och få nästa steg om du möter en avancerad angripare.
  • Fastställa risker och tillgängligt skydd som rör aktivitetsgrupper, kampanjer eller nya metoder för angripare.

Obs!

Fråga Defender-experter är inte en tjänst för säkerhetsincidenter. Den är avsedd att ge en bättre förståelse för komplexa hot som påverkar din organisation. Kontakta ditt eget team för svar på säkerhetsincidenter för att åtgärda brådskande problem med säkerhetsproblem. Om du inte har ett eget team för säkerhetsincidenter och vill ha Microsofts hjälp skapar du en supportbegäran i Premier Services Hub.

Alternativet att fråga Defender-experter är tillgängligt på incident- och aviseringssidorna så att du kan ställa sammanhangsbaserade frågor om en specifik incident eller avisering:

  • Aviseringssidans utfällbara meny:

Skärmbild av menyalternativet Fråga Defender-experter på den utfällbara menyn Aviseringar i Microsoft Defender-portalen.

  • Åtgärdsmeny för incidenter:

IScreenshot av menyalternativet Fråga Defender-experter på menyn Åtgärder på sidan Incidenter i Microsoft Defender-portalen.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.