开始使用 Defender Experts for XDR 服务
适用于:
完成 Microsoft Defender Experts for XDR 的载入步骤和就绪情况检查 后,我们的专家将开始监视你的环境以简化服务,以便我们可以代表你执行全面的服务。 在此阶段,我们的专家会识别潜在威胁、风险来源和正常活动。
一旦我们的专家开始代表你执行全面的响应工作,你将开始收到有关需要修正步骤和针对关键事件的有针对性的建议的事件的通知。 还可以与我们的专家或服务交付经理 (SDM 聊天,) 重要查询以及定期的业务和安全状况评审,并查看我们代表你调查和解决的事件数量的实时报告。
托管检测和响应
通过自动化和人工专业知识的组合,Defender Experts for XDR 会审Microsoft Defender XDR 事件,代表你确定事件的优先级,筛选出干扰,执行详细调查,并向安全运营中心 (SOC) 团队提供可操作的托管响应。
事件更新
我们的专家开始调查事件后,事件的 “已分配到 ”和 “状态” 字段将分别更新为 Defender 专家 和 正在进行中。
当我们的专家结束对事件的调查时,事件的 分类 字段将更新为以下其中一项,具体取决于专家的发现:
- 真正
- 误报
- 信息性、预期活动
还更新了与每个分类对应的 “确定 ”字段,以提供有关导致我们的专家确定所述分类的发现结果的更多见解。
如果事件被分类为误报或信息性活动,则事件的“状态”字段将更新为“已解决”。 然后,我们的专家总结了他们针对此事件的工作,并将 “分配到 ”字段更新为 “未分配”。 我们的专家可能会在解决事件时分享调查的最新消息和结论。 这些更新发布在事件的 “批注和历史记录 ”浮出控件面板中。
注意
事件注释是单向帖子。 Defender 专家无法回复你在“ 注释和历史记录 ”面板中添加的任何评论或问题。 有关如何与我们的专家通信的详细信息,请参阅 与 Microsoft Defender Experts for XDR 服务中的专家沟通。
否则,如果事件被归类为 “真正”,则我们的专家会确定需要执行的所需响应操作。 执行操作的方法取决于你授予 Defender Experts for XDR 服务的权限和访问级别。 详细了解如何向专家授予权限。
如果你已向 Defender Experts for XDR 授予建议的安全操作员访问权限,我们的专家可以代表你对事件执行所需的响应操作。 这些操作以及 调查摘要显示在 Microsoft Defender 门户中事件的 托管响应 浮出控件面板中,供你或 SOC 团队查看。 Defender Experts for XDR 完成的所有操作都显示在 “已完成的操作” 部分下。 需要你或你的 SOC 团队完成的任何挂起操作都列在 “挂起的操作 ”部分下。 有关详细信息,请参阅 操作 部分。 一旦我们的专家对事件采取了所有必要的操作,其 “状态” 字段就会更新为 “已解决 ”,“ 分配到 ”字段将更新为 “未分配”。
如果已向 Defender Experts for XDR 授予默认安全读取者访问权限,则所需的响应操作以及 调查摘要将显示在事件的 托管响应 浮出面板中,位于 Microsoft Defender 门户的 “挂起操作 ”部分下,供你或 SOC 团队执行。 有关详细信息,请参阅 操作 部分。 为了识别此移交,事件的 “状态” 字段将更新为 “正在等待客户操作” ,并将“ 分配到 ”字段更新为 “客户”。
可以在 Microsoft Defender 主页顶部的 Defender 专家横幅中检查需要你执行操作的事件数。
若要查看我们的专家已调查或当前正在调查的事件,请使用 Defender Experts 标记在 Microsoft Defender 门户中筛选事件队列。
如何在 Microsoft Defender XDR 中使用托管响应
在 Microsoft Defender 门户中,需要你注意使用托管响应的事件将“ 分配给” 字段设置为 “客户 ”,并在“ 事件 ”窗格顶部设置了一个任务卡。 指定的事件联系人还会收到相应的电子邮件通知,其中包含指向 Defender 门户的链接以查看事件。 详细了解通知联系人。
选择任务卡上或门户页面顶部的“ 查看托管响应 ” (“托管响应 ”选项卡) ,打开浮出控件面板,你可以在其中阅读专家的调查摘要、完成专家确定的待定操作或通过聊天与他们互动。
调查摘要
调查 摘要 部分提供有关我们的专家分析的事件的更多上下文,以便您了解其严重性和潜在影响(如果未立即解决)。 它可能包括设备时间线、攻击指标和) 观察到的入侵指标 (IOC 和其他详细信息。
操作
“ 操作 ”选项卡显示包含专家建议的响应操作的任务卡。
适用于 XDR 的 Defender 专家目前支持以下一键式托管响应操作:
| 操作 | 说明 |
|---|---|
| 隔离设备 | 隔离设备,这有助于防止攻击者控制设备并执行其他活动,例如数据外泄和横向移动。 隔离的设备仍将连接到 Microsoft Defender for Endpoint。 |
| 隔离 | 停止运行进程,隔离文件,并删除注册表项等持久性数据。 |
| 限制应用执行 | 限制潜在恶意程序的执行,并锁定设备以防止进一步的尝试。 |
| 从隔离中释放 | 撤消设备的隔离。 |
| 删除应用限制 | 从隔离中撤消发布。 |
除了这些一键式操作外,还可以收到来自我们专家的托管回复,需要手动执行。
注意
在执行任何建议的托管响应操作之前,请确保自动调查和响应配置尚未解决这些问题。 详细了解 Microsoft Defender XDR 中的自动调查和响应功能。
若要查看并执行托管响应操作,请执行以下操作:
选择操作卡中的箭头按钮以将其展开,并阅读有关所需操作的详细信息。
对于具有一键式响应操作的卡片,请选择所需的操作。 卡片中的 “操作状态 ”更改为 “正在进行”,然后更改为 “失败 ”或“ 已完成”,具体取决于操作的结果。
对于具有需要手动执行的所需操作的卡片,请选择“ 我已完成此操作 后执行这些操作”,然后在显示的确认对话框中选择“ 是,我已完成 此操作”。
如果不想立即完成所需的操作,请选择“ 跳过”,然后在出现的确认对话框中 选择“是,跳过此操作 ”。
重要
如果你注意到操作卡上的任何按钮都灰显,则可能表明你没有执行操作所需的权限。 确保已使用适当的权限登录到 Microsoft Defender XDR 门户。 大多数托管响应操作要求你至少具有安全操作员访问权限。
如果即使具有相应权限,仍遇到此问题,请导航到 “查看设备详细信息 ”,然后从那里完成步骤。
在 SIEM 或 ITSM 应用程序中了解 Defender 专家调查
当 Defender Expert for XDR 调查事件并提出修正操作时,你可以了解他们在安全信息和事件管理 (SIEM) 和 IT 服务管理 (ITSM) 应用程序(包括现成可用的应用程序)中处理事件的工作。
Microsoft Sentinel
可以通过打开 Microsoft Sentinel 的现成Microsoft Defender XDR 数据连接器来获取事件可见性。 了解详细信息。
打开连接器后,Defender 专家对 Microsoft Defender XDR 中的 “状态”、“ 分配到”、“ 分类”和 “确定” 字段的更新将显示在 Sentinel 中相应的 “状态”、“ 所有者”和“ 关闭原因 ”字段中。
注意
Defender 专家在 Microsoft Defender XDR 中调查的事件的状态通常从“活动”转换为“正在进行”,到“正在等待客户操作”转换为“已解决”,而在 Sentinel 中,它遵循“新建”到“活动”到“已解决”路径。 Microsoft Defender XDR 状态 等待客户操作 在 Sentinel 中没有等效字段;相反,它在 Sentinel 中的事件中显示为标记。
以下部分介绍了如何在 Sentinel 中更新由专家处理的事件,使其在调查旅程中取得进展:
- 我们的专家正在调查的事件将 “状态 ”列为 “活动 ”,将 “所有者 ”列为 “Defender 专家”。
- 我们的专家已确认为 True Positive 的事件在 Microsoft Defender XDR 中发布了托管响应,并且 标记等待客户操作 和 所有者 被列为 “客户”。 你需要根据提供的托管响应对事件进行操作。
- 一旦我们的专家结束了调查并关闭了误 报 或 信息性事件, 预期活动,事件 的状态 将更新为 “已解决”, 所有者 将更新为 “未分配”,并提供 关闭原因 。
其他应用程序
可以使用 Sentinel 中的 Microsoft Defender XDR API 或连接器来查看 SIEM 或 ITSM 应用程序中的事件。
配置连接器后,Defender 专家对 Microsoft Defender XDR 中事件的 “状态”、“ 分配给”、“ 分类”和 “确定” 字段的更新可以与第三方 SIEM 或 ITSM 应用程序同步,具体取决于字段映射的实现方式。 为了说明,可以看看 从 Sentinel 到 ServiceNow 可用的连接器。
使用 Defender Experts 获取 XDR 报表的实时可见性
适用于 XDR 的 Defender 专家包括交互式按需报告,其中明确总结了我们的专家分析师代表你所做的工作,聚合有关事件环境的信息,以及有关特定事件的精细详细信息。 服务交付经理 (SDM) 还会使用报告在每月业务评审期间为你提供有关该服务的更多上下文。
报告的每个部分旨在提供有关专家在你的环境中实时调查和解决的事件的更多见解。 还可以选择 “日期范围 ”,根据严重性、类别获取有关事件的详细信息,并了解在特定时间段内调查和解决事件所花费的时间。
了解 Defender Experts for XDR 报告
Defender Experts for XDR 报表的最顶层部分提供了我们在你的环境中解决的事件的百分比,从而为你提供了运营的透明度。 此百分比派生自以下数字,这些数字也显示在报告中:
- 已调查 - 我们在范围内会审、调查或当前正在调查的事件队列中的活动威胁和其他事件的数量。
- 已解决 - 已关闭的调查事件总数。
- 直接解决 - 我们能够代表你直接关闭的调查事件数。
- 在帮助下解决 - 由于对一个或多个托管响应任务执行的操作而已解决的调查事件数。
“ 解决事件的平均时间 ”部分显示一个条形图,其中显示了我们的专家调查和关闭环境中事件所用的平均时间(以分钟为单位),以及执行所需托管响应操作所花费的平均时间。
按严重性划分的事件、按类别划分的事件和服务源的事件部分分别按严重性、攻击技术和Microsoft安全服务源细分已解决的事件。 通过这些部分,可以识别环境中检测到的潜在攻击入口点和威胁类型,评估其影响,并制定缓解和预防这些攻击的策略。 选择“ 查看事件 ”,根据在两个部分中所做的选择获取事件队列的筛选视图。
“ 受影响最大资产 ”部分显示所选日期范围内涉及最多事件数量的环境中的用户和设备。 可以看到每个资产涉及的事件量。 选择一个资产,根据包含所述资产的事件获取事件队列的筛选视图。
主动托管搜寻
适用于 XDR 的 Defender 专家还包括 Microsoft Defender Experts for Hunting 提供的主动威胁搜寻。 Defender Experts for Hunting 是为拥有强大的安全运营中心但希望Microsoft帮助他们使用 Microsoft Defender 数据主动搜寻威胁的客户创建的。 此主动威胁搜寻服务超越终结点,可跨终结点、Office 365、云应用程序和标识进行搜寻。 我们的专家会调查他们发现的任何内容,然后交出上下文警报信息以及修正说明,以便你可以快速做出响应。
按需请求高级威胁专业知识
直接在 Microsoft Defender XDR 门户中选择“ 询问 Defender 专家 ”,以快速准确地回答所有威胁问题。 专家可以提供见解来更好地了解组织可能面临的复杂威胁。 咨询专家以:
- 收集有关警报和事件的其他信息,包括根本原因和范围。
- 深入了解可疑设备、警报或事件,并在遇到高级攻击者时获取后续步骤。
- 确定与活动组、市场活动或新兴攻击者技术相关的风险和可用保护。
注意
询问 Defender 专家不是安全事件响应服务。 它旨在更好地了解影响组织的复杂威胁。 与你自己的安全事件响应团队联系,以解决紧急安全事件响应问题。 如果没有自己的安全事件响应团队,并希望Microsoft帮助,请在 Premier Services Hub 中创建支持请求。
事件和警报页面中提供了 “询问 Defender 专家 ”选项,用于询问有关特定事件或警报的上下文问题:
- “警报”页浮出控件菜单:
- “事件”页操作菜单:
另请参阅
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。