Microsoft Defender XDR 专家中的范围覆盖范围

适用于:

Microsoft Defender XDR 专家为希望 Defender 专家仅涵盖其组织 (部分的客户提供范围覆盖,例如,需要安全运营中心 (SOC) 支持的特定地理位置、子公司或职能) ,或者其安全支持有限。

可以定义 Defender 专家将提供支持的特定设备和/或用户集。 任何影响所定义设备和用户集的事件都将在范围内考虑,我们的专家将提供必要的响应操作来缓解威胁。

Defender 专家不支持范围外设备和用户。 如果事件是范围内至少一个设备或用户受到影响的事件的一部分,我们会随时通知你有关范围外资产的信息,但不会采取任何响应操作或提供指导。

使用 Defender Experts 范围的覆盖范围

可以在Microsoft Defender门户中创建预定义Microsoft Defender for Endpoint设备组或Microsoft Entra ID用户组,以便分别向其添加设备和用户。 分配给已创建设备或用户组的名称应如下所示:

  • Defender_Experts_Scoped_Coverage_Devices
  • Defender_Experts_Scoped_Coverage_Users

Defender Experts 作用域设备的屏幕截图。

Defender 专家作用域用户的屏幕截图。

然后,添加到这些组的设备和用户被视为此服务范围内的资产集。

注意

需要 安全管理员 权限才能创建设备和用户组。 详细了解如何向专家授予权限

提示

设备组应处于其下设备的最高优先级顺序,以考虑在范围内。 这是已知的产品限制。

目前,该服务不支持重命名这些预定义组,因此建议不要重命名创建的设备或用户组。 它还不支持嵌套组。 设备和用户必须单独添加到创建的组。

以下部分列出了你或你的 SOC 团队可能提出的有关范围覆盖范围的问题:

  1. XDR 服务的哪些方面与 Defender 专家范围的覆盖范围保持一致?

    • 此服务不会更改我们的定价结构。 你仍根据 E5 为 Defender 专家服务付费,Microsoft Defender for Endpoint为所需用户群的服务器付费。
    • 此服务的范围不取决于单个Microsoft Defender产品和服务 (,例如Microsoft Defender for Endpoint、Microsoft Defender for Office 365或Microsoft Defender云) 。 也就是说,范围覆盖的最低基线仍然是 E5 许可证。
    • Defender XDR 专家中分析师的权限没有变化。 Defender 专家分析师仍有权访问整个租户,而不仅仅是作用域内资产。
  2. 是否可以稍后更改作用域内资产?

    可以根据需要更改作用域内资产。 请记住,所做的更改可能需要一些时间才能在我们的服务中生效。 建议在更改之前和之后考虑组织的事件业务节奏。

  3. 此服务提供哪种类型的响应操作?

    对范围内的现有响应操作没有更改。 阅读与Microsoft Defender XDR 专家托管响应相关的常见问题解答,了解详细信息。

另请参阅