Pokyny k onboardingu najdete v tomto krátkém videu.
Jakmile bude tým Defender Experts for XDR připravený na nasazení vaší organizace, obdržíte uvítací e-mail, abyste mohli pokračovat v nastavení a začít.
Výběrem odkazu v uvítacím e-mailu přímo spusťte nastavení nastavení Defender Experts na portálu Microsoft Defender. Toto nastavení můžete otevřít také tak, že přejdete na Nastavení>Odborníci v programu Defender a vyberete Začít.
Udělení oprávnění našim odborníkům
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Defender Experts for XDR ve výchozím nastavení vyžaduje přístup poskytovatele služeb , který umožňuje našim odborníkům přihlásit se k vašemu tenantovi a poskytovat služby na základě přiřazených rolí zabezpečení.
Další informace o přístupu mezi tenanty
Potřebujete také udělit našim odborníkům jedno nebo obě z následujících oprávnění:
Prošetřování incidentů a vedení mých odpovědí (výchozí) – Tato možnost umožňuje našim odborníkům proaktivně monitorovat a prošetřovat incidenty a provádět vás všemi potřebnými reakcemi. (Úroveň přístupu: Čtenář zabezpečení)
Reagujte přímo na aktivní hrozby (doporučeno) – Tato možnost umožňuje našim odborníkům okamžitě omezit a napravit aktivní hrozby při vyšetřování, čímž se sníží dopad hrozby a zlepší se celková efektivita reakce. (Úroveň přístupu: Operátor zabezpečení)
Důležité
Pokud přeskočíte poskytování dalších oprávnění, naši odborníci nebudou moct provádět určité reakce, aby vaši organizaci zabezpečili.
Pokud chcete upravit nebo aktualizovat oprávnění po počátečním nastavení, přejděte na Nastavení>Oprávněníexpertů Defenderu>.
Vyloučení zařízení a uživatelů z nápravy
Defender Experts for XDR umožňuje vyloučit zařízení a uživatele z nápravných akcí provedených našimi odborníky a místo toho získat pokyny k nápravě pro tyto entity. Tato vyloučení jsou založená na identifikovaných skupinách zařízení v Microsoft Defenderu for Endpoint a identifikovaných skupinách uživatelů v Microsoft Entra ID.
Vyloučení skupin zařízení:
Ve stejném nastavení nastavení Defender Experts přejděte v části Vyloučení na kartu Skupiny zařízení .
Vyberte + Přidat skupiny zařízení a pak vyhledejte a zvolte skupiny zařízení, které chcete vyloučit.
Poznámka
Na této stránce jsou uvedené jenom existující skupiny zařízení. Pokud chcete vytvořit novou skupinu zařízení, musíte nejprve přejít na nastavení Defenderu for Endpoint na portálu Microsoft Defender. Potom aktualizujte tuto stránku a vyhledejte a zvolte nově vytvořenou skupinu.
Další informace o vytváření skupin zařízení
Vyberte Přidat skupiny zařízení.
Zpět na kartě Skupiny zařízení zkontrolujte seznam vyloučených skupin zařízení. Pokud chcete odebrat skupinu zařízení ze seznamu vyloučení, zvolte ji a pak vyberte Odebrat skupinu zařízení.
Výběrem možnosti Další potvrďte seznam vyloučení a pokračujte přidáním kontaktních osob nebo skupin. V opačném případě vyberte Přeskočit a všechna přidaná vyloučení se zahodí.
Vyloučení skupin uživatelů:
Ve stejném nastavení nastavení Defender Experts přejděte v části Vyloučení na kartu Skupiny uživatelů .
Vyberte + Přidat skupiny uživatelů a pak vyhledejte a zvolte skupiny uživatelů, které chcete vyloučit.
Poznámka
Na této stránce jsou uvedeny pouze existující skupiny uživatelů. Pokud chcete vytvořit novou skupinu uživatelů, musíte se nejprve přihlásit do Centra pro správu Id Microsoft Entra jako globální správce. Potom aktualizujte tuto stránku a vyhledejte a zvolte nově vytvořenou skupinu.
Další informace o vytváření skupin uživatelů
Vyberte Přidat skupiny uživatelů.
Zpět na kartě Skupiny uživatelů zkontrolujte seznam vyloučených skupin uživatelů. Pokud chcete odebrat skupinu uživatelů ze seznamu vyloučení, zvolte ji a pak vyberte Odebrat skupinu uživatelů.
Výběrem možnosti Další potvrďte seznam vyloučení a pokračujte přidáním kontaktních osob nebo skupin. V opačném případě vyberte Přeskočit a všechna přidaná vyloučení se zahodí.
Poznámka
Uživatele můžete vyloučit jenom tak, že je přidáte do skupiny zabezpečení Microsoft Entra ID. Místní uživatele Entra ID nelze v tuto chvíli vyloučit.
Pokud chcete upravit nebo aktualizovat vyloučení po počátečním nastavení, přejděte na Nastavení>Vyloučení expertů>Defenderua pak přejděte na kartu Skupiny zařízení nebo Skupiny uživatelů.
Řekněte nám, na koho se obrátit kvůli důležitým záležitostem
Odborníci na Defender pro XDR umožňují určit jednotlivce nebo skupiny ve vaší organizaci, kterým je potřeba oznámit kritické incidenty, aktualizace služeb, občasné dotazy a další doporučení:
Kontakty pro oznámení incidentů – tyto kontakty jsou osoby nebo týmy, které můžeme informovat o akcích spravovaných odpovědí nebo jakékoli komunikaci, která vyžaduje okamžitou reakci. Vzhledem k naléhavé povaze komunikace doporučujeme, aby tyto kontakty byly vždy dostupné.
Kontakty pro kontrolu služeb – Jedná se o osoby nebo týmy, se kterými se můžeme spojit při průběžných bezpečnostních instruktážích, které provádí náš tým pro doručování služeb.
Po identifikaci dostanou jednotlivci nebo skupiny e-mail s oznámením, že byli kontaktem pro účely oznámení incidentu nebo kontroly služeb.
Přidání kontaktů pro oznámení:
Ve stejném nastavení nastavení Defender Experts v části Kontakty vyhledejte a přidejte kontaktní osobu nebo tým do zadaného textového pole.
Přidejte telefonní číslo (volitelné), na které můžou odborníci z programu Defender volat pro záležitosti, které vyžadují okamžitou pozornost.
V rozevíracím seznamu Kontakt pro zvolte Oznámení o incidentu nebo Kontrola služby.
Vyberte možnost Přidat.
Výběrem možnosti Další potvrďte seznam kontaktů a pokračujte vytvořením kanálu Teams , kde můžete také dostávat oznámení o incidentech.
Pokud chcete upravit nebo aktualizovat kontakty pro oznámení po počátečním nastavení, přejděte na Nastavení>Kontakty pro oznámeníexpertů> Defenderu.
Příjem oznámení a aktualizací spravovaných odpovědí v Microsoft Teams
Kromě e-mailu a chatu na portálu máte také možnost používat Microsoft Teams, abyste dostávali aktualizace o spravovaných odpovědích a komunikovali s našimi odborníky v reálném čase. Když je toto nastavení zapnuté, vytvoří se nový tým s názvem Tým odborníků na Defender , kde se oznámení o spravovaných odpovědích týkajících se probíhajících incidentů odesílají jako nové příspěvky v kanálu spravovaných odpovědí .
Další informace o používání chatu v Teams
Důležité
Experti programu Defender budou mít přístup ke všem zprávům publikovaným v libovolném kanálu vytvořeného týmu Defender Experts. Pokud chcete odborníkům na Defender zabránit v přístupu ke zprávám v tomto týmu, přejděte na Aplikace v Teams a pak přejděte na Správa aplikací>Defender Experts>Odebrat. Tuto akci odebrání nelze vrátit zpět.
Zapnutí oznámení a chatu v Teams:
Ve stejném nastavení nastavení Defender Experts zaškrtněte v části Teams políčko Komunikovat v Teams .
Vyberte Další a zkontrolujte nastavení.
Vyberte Odeslat. Podrobný průvodce pak dokončí počáteční nastavení.
Pokud chcete nastavit aplikaci Defender Experts Teams, musíte mít přiřazenou roli Globální správce nebo Správce zabezpečení a licenci Microsoft Teams.
Pokud chcete po počátečním nastavení zapnout oznámení a chat v Teams, přejděte na Nastavení>Týmy defender experts>.
Nové členy do kanálu můžete přidat tak, že přejdete do týmu >Defender ExpertsDalší možnosti (...)>Správa týmu>Přidat člena.
Pokud chcete omezit, kdo se může k tomuto týmu připojit, přejděte na tým >Defender ExpertsDalší možnosti (...)>Nastavení>Upravit>Správa týmu>Soukromé.
Příprava prostředí pro službu Defender Experts
Kromě poskytování služeb onboardingu vám naše znalosti o sadě produktů XDR v programu Microsoft Defender umožňují odborníkům na defender pro XDR spustit posouzení připravenosti a pomoci vám na maximum z vašich bezpečnostních produktů Microsoftu.
Posouzení připravenosti vychází z počtu chráněných zařízení a identit ve vašem prostředí a doporučeních pro zásady expertů programu Defender. Pokud chcete hodnocení zobrazit, přejděte na portálu Microsoft Defenderu do části Nastavení>Odborníci v programu Defender a vyberte Stav služby.
Posouzení připravenosti má dvě části:
Potřebné akce – v této části se zobrazuje počet akcí nebo nastavení zabezpečení, které potřebujete dokončit, které právě probíhají nebo byly dokončeny. Tyto akce jsou uvedené v tabulce v dolní části stránky.
Seznam obsahuje seznam požadovaných kroků, které je potřeba provést před zahájením služby. Určete prioritu akcí, které mají stav Dokončeno, aby se služba Defender Experts for XDR spustila dříve.
Poznámka
Získání nejnovějšího stavu nastavení zabezpečení může trvat až 24 hodin.
Chráněné prostředky – tato část ukazuje aktuální počet chráněných zařízení a identit oproti těm, které stále potřebujete chránit, abyste mohli spustit službu Defender Experts for XDR.
Údaje vycházejí z licencí Defender for Endpoint a Defender for Identity. pokud chcete dosáhnout tohoto cílového počtu chráněných prostředků, připojte do Defenderu for Endpoint více zařízení nebo nainstalujte více senzorů Defenderu for Identity.
Důležité
Defender Experts for XDR pravidelně kontroluje vaše posouzení připravenosti, zejména pokud dojde k nějakým změnám vašeho prostředí, jako je přidání nových zařízení a identit. Je důležité pravidelně monitorovat a spouštět posouzení připravenosti nad rámec počátečního zprovoznění, abyste měli jistotu, že vaše prostředí bude mít silný stav zabezpečení, aby se snížilo riziko.
Po dokončení všech požadovaných úloh a splnění cílů onboardingu v posouzení připravenosti zahájí váš manažer doručování služeb (SDM) fázi monitorování služby Defender Experts for XDR, kde po několik dní naši odborníci začnou pečlivě monitorovat vaše prostředí, aby identifikovali latentní hrozby, zdroje rizik a normální aktivitu. Jakmile lépe porozumíme vašim důležitým prostředkům, můžeme službu zjednodušit a vyladit odpovědi.
Jakmile naši odborníci začnou vaším jménem provádět komplexní reakci, začnete dostávat oznámení o incidentech , které vyžadují nápravné kroky, a cílená doporučení týkající se kritických incidentů. Můžete také chatovat s našimi odborníky nebo vašimi SDM ohledně důležitých dotazů a pravidelných kontrol obchodních a bezpečnostních postojů. Kromě toho si můžete také prohlédnout sestavy v reálném čase o počtu incidentů, které jsme prošetřili a vyřešili vaším jménem.
Pro získání těchto přihlašovacích údajů Microsoft Applied Skills předvádějí studenti schopnost používat XDR v programu Microsoft Defender k detekci kybernetických útoků a reagování na ně. Kandidáti na tyto přihlašovací údaje by měli být obeznámeni s vyšetřováním a shromažďováním důkazů o útocích na koncové body. Měli by mít také zkušenosti s používáním programu Microsoft Defender for Endpoint a dotazovací jazyk Kusto (KQL).