Начало работы с экспертами по Microsoft Defender для XDR

Область применения:

• Microsoft Defender XDR

Когда команда экспертов Defender для XDR будет готова подключиться к вашей организации, вы получите приветственное электронное письмо, чтобы продолжить настройку и начать работу.

Щелкните ссылку в приветственном сообщении электронной почты, чтобы напрямую запустить настройку параметров экспертов Defender на портале Microsoft Defender. Вы также можете открыть эту настройку, перейдя в раздел Параметры Эксперты>Defender и выбрав Начало работы.

Предоставление разрешений нашим экспертам

По умолчанию экспертам Defender для XDR требуется доступ к поставщику услуг , который позволяет нашим экспертам входить в клиент и предоставлять службы на основе назначенных ролей безопасности. Дополнительные сведения о межтенантном доступе

Вам также необходимо предоставить нашим экспертам одно или оба из следующих разрешений:

• Исследовать инциденты и направлять мои ответы (по умолчанию) — этот параметр позволяет нашим специалистам активно отслеживать и исследовать инциденты, а также направлять вас по всем необходимым действиям по реагированию. (Уровень доступа: средство чтения безопасности)
• Непосредственное реагирование на активные угрозы (рекомендуется) — этот параметр позволяет нашим экспертам немедленно сдерживать и устранять активные угрозы во время исследования, тем самым уменьшая влияние угрозы и повышая общую эффективность реагирования. (Уровень доступа: оператор безопасности)

Важно!

Если вы пропустите предоставление дополнительных разрешений, наши эксперты не смогут предпринять определенные действия для защиты вашей организации.

Несмотря на то, что наши эксперты получают эти относительно мощные разрешения, они будут иметь индивидуальный доступ только в определенные области в течение ограниченного периода времени. Дополнительные сведения о работе экспертов Defender для разрешений XDR

Чтобы предоставить нашим экспертам разрешения, выполните следующие действия.

1. В той же настройке параметров экспертов Defender в разделе Разрешения выберите уровни доступа, которые вы хотите предоставить нашим экспертам.
2. Если вы хотите исключить устройства и группы пользователей в организации из действий по исправлению, выберите Управление исключениями.
3. Нажмите кнопку Далее , чтобы добавить контактных лиц или группы.

Чтобы изменить или обновить разрешения после начальной настройки, перейдите в раздел Параметры Разрешения>экспертов> Defender.

Исключить устройства из исправления

Эксперты Defender для XDR позволяют исключить устройства и пользователей из действий по исправлению, выполняемых нашими экспертами, а вместо этого получить рекомендации по исправлению для этих сущностей. Эти исключения основаны на определенных группах устройств в Microsoft Defender для конечной точки.

Чтобы исключить группы устройств, выполните следующие действия.

1. В той же настройке параметров Эксперты Defender в разделе Исключения перейдите на вкладку Группы устройств .

2. Выберите + Добавить группы устройств, а затем найдите и выберите группы устройств, которые нужно исключить.

   Примечание.

   На этой странице перечислены только существующие группы устройств. Если вы хотите создать новую группу устройств, сначала необходимо перейти к параметрам Defender для конечной точки на портале Microsoft Defender. Затем обновите эту страницу, чтобы найти и выбрать только что созданную группу. Дополнительные сведения о создании групп устройств

3. Выберите Добавить группы устройств.

4. Вернитесь на вкладку Группы устройств и просмотрите список исключенных групп устройств. Если вы хотите удалить группу устройств из списка исключений, выберите ее, а затем выберите Удалить группу устройств.

5. Нажмите кнопку Далее , чтобы подтвердить список исключений и перейти к добавлению контактных лиц или групп. В противном случае выберите Пропустить, и все добавленные исключения будут отменены.

Расскажите нам, с кем следует связаться по важным вопросам

Эксперты Defender для XDR позволяют определить пользователей или группы в организации, которые должны быть уведомлены о критических инцидентах, обновлениях служб, случайных запросах и других рекомендациях:

• Контакты с уведомлением об инцидентах . Это лица или команды, которые мы можем уведомить об управляемых действиях реагирования или любых сообщениях, требующих немедленного реагирования. Учитывая срочный характер сообщений, мы рекомендовали, чтобы эти контакты всегда были доступны.
• Контакты по проверке служб — это лица или команды, с которыми мы можем взаимодействовать для проведения текущих брифингов по безопасности, проводимых нашей группой по доставке услуг.

После идентификации лица или группы получат электронное письмо с уведомлением о том, что они были контактами для уведомления об инциденте или проверки службы.

Чтобы добавить контакты уведомлений, выполните следующие действия:

1. В той же настройке параметров Эксперты Defender в разделе Контакты найдите и добавьте контактного лица или команду в указанном текстовом поле.
2. Добавьте номер телефона (необязательно), который эксперты Defender могут вызывать для вопросов, требующих немедленного внимания.
3. В раскрывающемся списке Контакт для выберите Уведомление об инциденте или Проверка службы.
4. Нажмите Добавить.
5. Нажмите кнопку Далее , чтобы подтвердить список контактов и перейти к созданию канала Teams , где вы также можете получать уведомления об инцидентах.

Чтобы изменить или обновить контакты уведомлений после начальной настройки, перейдите в раздел Параметры Эксперты>Защитника>Уведомления контакты.

Получение уведомлений об управляемых ответах и обновлений в Microsoft Teams

Помимо электронной почты и чата на портале, вы также можете использовать Microsoft Teams для получения обновлений об управляемых ответах и общения с нашими экспертами в режиме реального времени. Если этот параметр включен, создается новая группа экспертов Defender , где уведомления об управляемом ответе, связанные с текущими инцидентами, отправляются в виде новых записей в канале управляемого ответа . Дополнительные сведения об использовании чата Teams

Важно!

Эксперты Defender получат доступ ко всем сообщениям, размещенным на любом канале в созданной команде экспертов Defender. Чтобы запретить экспертам Defender доступ к сообщениям в этой команде, перейдите в раздел Приложения в Teams, а затем перейдите в раздел Управление приложениями>Эксперты> DefenderУдалить. Это действие удаления не может быть отменено.

Чтобы включить уведомления Teams и чат, выполните приведенные ниже действия.

1. В той же настройке параметров экспертов Defender в разделе Teams установите флажок Общаться в Teams .
2. Нажмите кнопку Далее , чтобы просмотреть параметры.
3. Выберите Отправить. Затем пошаговые инструкции завершают начальную настройку.
4. Выберите Просмотреть оценку готовности , чтобы выполнить необходимые действия, необходимые для оптимизации состояния безопасности.

Примечание.

Чтобы настроить приложение Teams для экспертов Defender, необходимо назначить роль администратора глобальный администратор или безопасности, а также лицензию Microsoft Teams.

Чтобы включить уведомления Teams и чат после начальной настройки, перейдите в раздел Параметры Эксперты>>DefenderTeams.

• Вы можете добавить новых участников в канал, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Управление командой>Добавить участника.
• Вы можете ограничить пользователей, которые могут присоединиться к этой команде, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Параметры>Редактировать>Управление командой>Частный.

Подготовка среды для службы экспертов Defender

Помимо предоставления услуг по адаптации, наш опыт по набору продуктов Microsoft Defender XDR позволяет экспертам Defender для XDR выполнять оценку готовности и помогать вам максимально эффективно использовать ваши продукты безопасности Майкрософт.

Оценка готовности основана на количестве защищенных устройств и удостоверений в вашей среде, а также на рекомендациях по политике экспертов Defender. Чтобы просмотреть оценку, на портале Microsoft Defender перейдите в раздел Параметры Эксперты>Защитника, а затем выберите Состояние службы.

Оценка готовности состоит из двух частей:

• Необходимые действия . В этом разделе показано количество действий или параметров безопасности, которые необходимо выполнить, выполняются или были завершены. Эти действия перечислены в таблице в нижней части страницы.

  В списке перечислены необходимые действия, которые необходимо выполнить перед запуском службы. Приорите приоритет действиям, имеющим состояние "Завершить сейчас ", чтобы быстрее начать работу службы экспертов Defender для XDR.

  Примечание.

  Получение последнего состояния параметров безопасности может занять до 24 часов.

• Защищенные ресурсы . В этом разделе показано текущее количество защищенных устройств и удостоверений, а также тех, которые по-прежнему необходимо защитить для запуска службы экспертов Defender для XDR.

  Эти цифры основаны на лицензиях Defender для конечной точки и Defender для удостоверений. Чтобы достичь этого целевого количества защищенных ресурсов, подключайте больше устройств к Defender для конечной точки или установите дополнительные датчики Defender для удостоверений.

Важно!

Эксперты Defender для XDR периодически проверяют вашу оценку готовности, особенно если в вашей среде есть какие-либо изменения, например добавление новых устройств и удостоверений. Важно регулярно отслеживать и выполнять оценку готовности после первоначального подключения, чтобы убедиться, что ваша среда имеет надежную безопасность для снижения риска.

После выполнения всех необходимых задач и достижения целевых показателей адаптации в оценке готовности ваш менеджер по доставке услуг (SDM) инициирует этап мониторинга службы экспертов Defender для XDR, где в течение нескольких дней наши эксперты начинают внимательно следить за вашей средой для выявления скрытых угроз, источников риска и нормальной активности. По мере того как мы лучше поймем ваши критически важные ресурсы, мы можем оптимизировать обслуживание и точно настроить наши ответы.

После того как наши эксперты начнут выполнять комплексную работу по реагированию от вашего имени, вы начнете получать уведомления об инцидентах , требующих действий по исправлению, и целевые рекомендации по критическим инцидентам. Вы также можете пообщаться с нашими экспертами или вашими SDM по важным запросам и регулярным проверкам состояния бизнеса и безопасности. Кроме того, вы также можете просматривать отчеты в режиме реального времени о количестве инцидентов, которые мы изучили и устранили от вашего имени.

Следующее действие

• Управляемое обнаружение и реагирование
• Получение видимости в режиме реального времени с помощью экспертов Defender для отчетов XDR
• Общение с экспертами в службе Microsoft Defender экспертов по XDR

См. также

• Общие сведения об экспертах Defender для службы XDR
• Как работают Microsoft Defender эксперты по разрешениям XDR

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.