Aan de slag met Microsoft Defender Experts voor XDR

  • Artikel

Van toepassing op:

Zodra het Defender Experts for XDR-team klaar is om uw organisatie te onboarden, ontvangt u een welkomstbericht om door te gaan met de installatie en om aan de slag te gaan.

Selecteer de koppeling in de welkomst-e-mail om de instellingen van Defender Experts rechtstreeks te starten in de Microsoft Defender-portal. U kunt deze instelling ook openen door naar Instellingen>Defender-experts te gaan en Aan de slag te selecteren.

Schermopname van de pagina Aan de slag in de XDR-instellingen van Defender for Experts, stapsgewijze handleiding.

Machtigingen verlenen aan onze experts

Defender Experts voor XDR vereist standaard toegang van de serviceprovider waarmee onze experts zich kunnen aanmelden bij uw tenant en services kunnen leveren op basis van toegewezen beveiligingsrollen. Meer informatie over toegang tussen tenants

U moet onze experts ook een of beide van de volgende machtigingen verlenen:

  • Incidenten onderzoeken en mijn reacties begeleiden (standaard): met deze optie kunnen onze experts proactief incidenten bewaken en onderzoeken en u begeleiden bij eventuele benodigde reactieacties. (Toegangsniveau: Beveiligingslezer)
  • Rechtstreeks reageren op actieve bedreigingen (aanbevolen): met deze optie kunnen onze experts actieve bedreigingen onmiddellijk in de weg staan en herstellen tijdens het onderzoeken, waardoor de impact van de bedreiging wordt verminderd en uw algehele responsefficiëntie wordt verbeterd. (Toegangsniveau: Beveiligingsoperator)

Schermopname van de optie Uitsluitingen beheren tijdens het instellen van Defender Experts voor XDR.

Belangrijk

Als u het verstrekken van extra machtigingen overslaat, kunnen onze experts bepaalde reactieacties niet uitvoeren om uw organisatie te beveiligen.

Hoewel onze experts deze relatief krachtige machtigingen krijgen, hebben ze slechts gedurende een beperkte periode individuele toegang tot specifieke gebieden. Meer informatie over hoe Defender Experts voor XDR-machtigingen werken

Om onze experts machtigingen te verlenen:

  1. Kies in dezelfde instellingen voor Defender Experts onder Machtigingen het toegangsniveau of de toegangsniveaus die u wilt verlenen aan onze experts.
  2. Als u apparaat- en gebruikersgroepen in uw organisatie wilt uitsluiten van herstelacties, selecteert u Uitsluitingen beheren.
  3. Selecteer Volgende om contactpersonen of groepen toe te voegen.

Als u machtigingen wilt bewerken of bijwerken na de eerste installatie, gaat u naar Instellingen>Machtigingen voor Defender-experts>.

Apparaten uitsluiten van herstel

Met Defender Experts voor XDR kunt u apparaten en gebruikers uitsluiten van herstelacties die door onze experts worden uitgevoerd en in plaats daarvan herstelrichtlijnen voor deze entiteiten krijgen. Deze uitsluitingen zijn gebaseerd op geïdentificeerde apparaatgroepen in Microsoft Defender voor Eindpunt.

Apparaatgroepen uitsluiten:

  1. Ga in dezelfde instellingen van Defender Experts onder Uitsluitingen naar het tabblad Apparaatgroepen .

  2. Selecteer + Apparaatgroepen toevoegen, zoek en kies vervolgens de apparaatgroep(en) die u wilt uitsluiten.

    Opmerking

    Op deze pagina worden alleen bestaande apparaatgroepen vermeld. Als u een nieuwe apparaatgroep wilt maken, moet u eerst naar de defender voor eindpuntinstellingen in uw Microsoft Defender portal gaan. Vernieuw vervolgens deze pagina om de zojuist gemaakte groep te zoeken en te kiezen. Meer informatie over het maken van apparaatgroepen

  3. Selecteer Apparaatgroepen toevoegen.

  4. Ga terug naar het tabblad Apparaatgroepen en bekijk de lijst met uitgesloten apparaatgroepen. Als u een apparaatgroep uit de uitsluitingslijst wilt verwijderen, kiest u deze en selecteert u Apparaatgroep verwijderen.

  5. Selecteer Volgende om uw uitsluitingslijst te bevestigen en ga verder met het toevoegen van contactpersonen of groepen. Anders selecteert u Overslaan, waarna alle toegevoegde uitsluitingen worden verwijderd.

Schermopname van de optie om apparaatgroepen uit te sluiten.

Vertel ons met wie we contact moeten opnemen voor belangrijke zaken

Met Defender Experts voor XDR kunt u bepalen welke personen of groepen binnen uw organisatie op de hoogte moeten worden gesteld als er kritieke incidenten, service-updates, incidentele query's en andere aanbevelingen zijn:

  • Contactpersonen voor melding van incidenten: deze contactpersonen zijn personen of teams die kunnen worden gewaarschuwd voor beheerde responsacties of communicatie waarvoor onmiddellijke reactie is vereist. Gezien de urgente aard van de communicatie, raden we aan dat deze contactpersonen altijd beschikbaar zijn.
  • Contactpersonen voor servicebeoordeling : deze contactpersonen zijn personen of teams waarmee we contact kunnen opnemen voor doorlopende beveiligingsinstructies die worden uitgevoerd door ons serviceleveringsteam.

Zodra de personen of groepen zijn geïdentificeerd, ontvangen ze een e-mail met de melding dat ze een contactpersoon waren voor incidentmeldingen of servicebeoordelingsdoeleinden.

Schermopname van de pagina Contactpersonen voor incidenten in de XDR-instellingen van Defender for Experts, stapsgewijze handleiding.

Contactpersonen voor meldingen toevoegen:

  1. Zoek in dezelfde instellingen van Defender Experts onder Contactpersonen uw contactpersoon of team en voeg deze toe in het opgegeven tekstveld.
  2. Voeg een telefoonnummer toe (optioneel) dat Defender-experts kunnen bellen voor zaken die onmiddellijke aandacht vereisen.
  3. Kies in de vervolgkeuzelijst Contactpersoon voor de optie Incidentmelding of Servicebeoordeling.
  4. Kies Toevoegen.
  5. Selecteer Volgende om uw lijst met contactpersonen te bevestigen en ga verder met het maken van een Teams-kanaal waar u ook incidentmeldingen kunt ontvangen.

Als u uw contactpersonen voor meldingen wilt bewerken of bijwerken na de eerste installatie, gaat u naar Instellingen>Contactpersonen voor meldingen van Defender-experts>.

Schermopname van contactpersonen voor meldingen.

Meldingen en updates voor beheerde reacties ontvangen in Microsoft Teams

Naast e-mail en chat in de portal hebt u ook de mogelijkheid om Microsoft Teams te gebruiken om updates over beheerde antwoorden te ontvangen en in realtime te communiceren met onze experts. Wanneer deze instelling is ingeschakeld, wordt er een nieuw team met de naam Defender Experts-team gemaakt, waarbij beheerde responsmeldingen met betrekking tot lopende incidenten worden verzonden als nieuwe berichten in het kanaal Voor beheerde antwoorden . Meer informatie over het gebruik van Teams-chat

Belangrijk

Defender-experts hebben toegang tot alle berichten die zijn gepost op elk kanaal in het gemaakte Defender Experts-team. Als u wilt voorkomen dat Defender-experts toegang krijgen tot berichten in dit team, gaat u naar Apps in Teams en navigeert u naar Uw apps> beherenDefender-experts>verwijderen. Deze verwijderingsactie kan niet worden teruggedraaid.

Teams-meldingen en -chats inschakelen:

  1. Schakel in dezelfde instellingen voor Defender Experts onder Teams het selectievakje Communiceren in Teams in .
  2. Selecteer Volgende om uw instellingen te controleren.
  3. Selecteer Verzenden. De stapsgewijze handleiding voltooit vervolgens de eerste installatie.
  4. Selecteer Gereedheidsevaluatie weergeven om de benodigde acties te voltooien die nodig zijn om uw beveiligingspostuur te optimaliseren.

Opmerking

Als u de Toepassing Defender Experts Teams wilt instellen, moet de rol Globale beheerder of Beveiligingsbeheerder zijn toegewezen en moet u een Microsoft Teams-licentie hebben.

Als u Teams-meldingen en chatten wilt inschakelen na de eerste installatie, gaat u naar Instellingen>Defender Experts>Teams.

Schermopname van de optie om Teams te activeren voor het ontvangen van beheerde antwoorden.

  • U kunt nieuwe leden toevoegen aan het kanaal door te navigeren naar het Defender Experts-team>Meer opties (...)>Team beheren>Lid toevoegen.
  • U kunt beperken wie lid kan worden van dit team door te navigeren naar het Defender Experts-team>Meer opties (...)>Instellingen>Bewerken>Team beheren>Privé.

Uw omgeving voorbereiden voor de Defender Experts-service

Afgezien van het onboarden van servicelevering, kunnen Defender Experts voor XDR dankzij onze expertise op het gebied van de Microsoft Defender XDR productsuite een gereedheidsevaluatie uitvoeren en u helpen het meeste uit uw Microsoft-beveiligingsproducten te halen.

De gereedheidsevaluatie is gebaseerd op het aantal beveiligde apparaten en identiteiten in uw omgeving en de beleidsaanbeveling van Defender-experts. Als u de evaluatie wilt bekijken, gaat u in uw Microsoft Defender portal naar Instellingen>Defender-experts en selecteert u Vervolgens Servicestatus.

Schermopname van de omgeving voor gereedheidsevaluatie.

De gereedheidsevaluatie bestaat uit twee onderdelen:

  • Benodigde acties : in deze sectie ziet u het aantal acties of beveiligingsinstellingen dat u moet voltooien, wordt uitgevoerd of dat is voltooid. Deze acties worden weergegeven in een tabel onderaan de pagina.

    De lijst geeft een overzicht van de vereiste stappen die u moet uitvoeren voordat u de service start. Geef prioriteit aan de acties met de status Nu voltooid om de Defender Experts voor XDR-service eerder te starten.

    Opmerking

    Het kan tot 24 uur duren voordat de meest recente status van uw beveiligingsinstellingen wordt opgehaald.

  • Beveiligde assets : in deze sectie ziet u het huidige aantal beveiligde apparaten en identiteiten ten opzichte van de apparaten die u nog moet beveiligen om de Defender Experts voor XDR-service te starten.

    De cijfers zijn gebaseerd op uw Defender for Endpoint- en Defender for Identity-licenties; om dit doelaantal beveiligde assets te bereiken, moet u meer apparaten onboarden bij Defender voor Eindpunt of meer Defender for Identity-sensoren installeren.

Belangrijk

Defender Experts voor XDR beoordeelt uw gereedheidsevaluatie periodiek, met name als er wijzigingen in uw omgeving zijn, zoals het toevoegen van nieuwe apparaten en identiteiten. Het is belangrijk dat u de gereedheidsevaluatie na de eerste onboarding regelmatig bewaakt en uitvoert om ervoor te zorgen dat uw omgeving een sterke beveiligingspostuur heeft om risico's te verminderen.

Nadat u alle vereiste taken hebt voltooid en de onboardingdoelen in uw gereedheidsevaluatie hebt bereikt, start uw Service Delivery Manager (SDM) de bewakingsfase van de Defender Experts for XDR-service, waarbij onze experts gedurende een paar dagen uw omgeving nauwlettend in de gaten houden om latente bedreigingen, risicobronnen en normale activiteiten te identificeren. Naarmate we meer inzicht krijgen in uw kritieke assets, kunnen we de service stroomlijnen en onze reacties verfijnen.

Zodra onze experts uitgebreide reactiewerkzaamheden namens u uitvoeren, ontvangt u meldingen over incidenten waarvoor herstelstappen en gerichte aanbevelingen voor kritieke incidenten nodig zijn. U kunt ook chatten met onze experts of uw SDMs over belangrijke query's en regelmatige bedrijfs- en beveiligingspostuurbeoordelingen. Daarnaast kunt u ook realtime rapporten bekijken over het aantal incidenten dat we namens u hebben onderzocht en opgelost.

Volgende stap

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.