Sdílet prostřednictvím

Začínáme používat službu Defender Experts for XDR

  • Článek

Platí pro:

Po dokončení kroků připojování a kontrol připravenosti pro odborníky v programu Microsoft Defender pro XDR začnou naši odborníci monitorovat vaše prostředí, aby mohli službu zjednodušit, abychom za vás mohli provádět komplexní služby. Během této fáze naši odborníci identifikují latentní hrozby, zdroje rizika a normální aktivitu.

Jakmile naši odborníci začnou vaším jménem provádět komplexní reakci, začnete dostávat oznámení o incidentech, které vyžadují nápravné kroky, a cílená doporučení týkající se kritických incidentů. O důležitých dotazech a pravidelných kontrolách obchodních a bezpečnostních postojů můžete také chatovat s našimi odborníky nebo vašimi manažery poskytování služeb a prohlížet si sestavy o počtu incidentů, které jsme prošetřili a vyřešili vaším jménem.

Spravovaná detekce a odpověď

Prostřednictvím kombinace automatizace a lidských odborných znalostí odborníci na Defender for XDR provádějí třídění incidentů V programu Microsoft Defender XDR, upřednostňují je vaším jménem, filtrují šum, provádějí podrobná šetření a poskytují řízené reakce týmům soc (Security Operations Center).

Aktualizace incidentů

Jakmile naši odborníci začnou vyšetřovat incident, aktualizují se pole Přiřazeno do a Stav na Defender Experts a Probíhá.

Když naši odborníci uzavřou šetření incidentu, pole Klasifikace incidentu se v závislosti na zjištěních odborníků aktualizuje na jednu z následujících hodnot:

  • Pravdivě pozitivní
  • Falešně pozitivní
  • Informační, očekávaná aktivita

Pole Určení odpovídající každé klasifikaci je také aktualizováno, aby poskytovalo více přehledů o zjištěních, která vedla naše odborníky k určení uvedené klasifikace.

Snímek obrazovky se stránkou Incidenty zobrazující pole Značky, Stav, Přiřazeno, Klasifikace a Určení

Pokud je incident klasifikován jako falešně pozitivní nebo informativní, očekávaná aktivita, pole Stav incidentu se aktualizuje na Vyřešeno. Naši odborníci pak uzavřou práci na tomto incidentu a pole Přiřazeno se aktualizuje na Nepřiřazeno. Naši odborníci můžou sdílet aktualizace z jejich šetření a jejich závěry při řešení incidentu. Tyto aktualizace se publikují na informačním panelu Komentáře a historie incidentu.

Poznámka

Komentáře k incidentu jsou jednosměrné příspěvky. Odborníci na Defender nemůžou odpovídat na žádné komentáře nebo dotazy, které přidáte na panelu Komentáře a historie . Další informace o tom, jak komunikovat s našimi odborníky, najdete v tématu Komunikace s odborníky ve službě Microsoft Defender Experts for XDR.

V opačném případě, pokud je incident klasifikován jako pravdivě pozitivní, naši odborníci pak identifikují požadované akce reakce, které je potřeba provést. Metoda, ve které se akce provádějí, závisí na oprávněních a úrovních přístupu, které jste udělili službě Defender Experts for XDR. Přečtěte si další informace o udělování oprávnění našim odborníkům.

  • Pokud jste odborníkům na defender pro XDR udělili doporučená přístupová oprávnění operátora zabezpečení, naši odborníci by mohli provést požadované akce reakce na incident vaším jménem. Tyto akce se společně se souhrnem šetření zobrazí na informačním panelu Spravovaná odpověď na portálu Microsoft Defenderu, který si můžete prohlédnout vy nebo váš tým SOC. Všechny akce, které dokončili odborníci na Defender pro XDR, se zobrazí v části Dokončené akce . Všechny čekající akce, které vyžadují dokončení vy nebo tým SOC, jsou uvedené v části Čekající akce . Další informace najdete v části Akce . Jakmile naši odborníci u incidentu podniknou všechny potřebné akce, jeho pole Stav se pak aktualizuje na Vyřešeno a pole Přiřazeno se aktualizuje na Nepřiřazeno.

  • Pokud jste expertům programu Defender pro XDR udělili výchozí přístup čtenáře zabezpečení, zobrazí se požadované akce odpovědi spolu se souhrnem šetření na informačním panelu Spravované odpovědi na incidentu v části Čekající akce na portálu Microsoft Defender, které máte provést vy nebo váš tým SOC. Další informace najdete v části Akce . K identifikaci tohoto předání se pole Stav incidentu aktualizuje na Čekání na akci zákazníka a pole Přiřazeno se aktualizuje na zákazníka.

Počet incidentů, které vyžadují vaši akci, můžete zkontrolovat v banneru Defender Experts v horní části domovské stránky Programu Microsoft Defender.

Snímek obrazovky s kartou Defender Experts na portálu Microsoft Defender zobrazující počet incidentů čekajících na akci zákazníka

Pokud chcete zobrazit incidenty, které naši odborníci prošetřovali nebo právě prošetřují, vyfiltrujte frontu incidentů na portálu Microsoft Defender pomocí značky Defender Experts .

Snímek obrazovky s frontou Incidents (Incidents) na portálu Microsoft Defender filtrovaný tak, aby zobrazoval jenom ty, kteří mají značku Defender Experts

Jak používat spravovanou odpověď v Microsoft DefenderU XDR

Na portálu Microsoft Defender má incident, který vyžaduje vaši pozornost pomocí spravované odpovědi, pole Přiřazeno na hodnotu Zákazník a karta úkolu v horní části podokna Incidenty . Vaše určené kontakty incidentu také obdrží odpovídající e-mailové oznámení s odkazem na portál Defenderu, aby se incident zobrazil. Přečtěte si další informace o kontaktech oznámení.

Výběrem možnosti Zobrazit spravovanou odpověď na kartě úkolu nebo v horní části stránky portálu (karta Spravovaná odpověď ) otevřete informační panel, kde si můžete přečíst souhrn šetření našich odborníků, dokončit čekající akce určené našimi odborníky nebo se s nimi spojit prostřednictvím chatu.

Souhrn šetření

Část Souhrn šetření poskytuje další kontext o incidentu analyzovaném našimi odborníky, abyste měli přehled o jeho závažnosti a potenciálním dopadu, pokud není vyřešený okamžitě. Může zahrnovat časovou osu zařízení, indikátory útoku a indikátory ohrožení zabezpečení (IOC) a další podrobnosti.

Snímek obrazovky se souhrnem šetření spravovaných odpovědí

Akce

Na kartě Akce se zobrazují karty úkolů, které obsahují akce odpovědí doporučené našimi odborníky.

Defender Experts for XDR v současné době podporuje následující akce spravovaných odpovědí jedním kliknutím:

Akce Popis
Izolace zařízení Izoluje zařízení, což pomáhá zabránit útočníkovi v jeho kontrole a provádění dalších aktivit, jako je exfiltrace dat a laterální pohyb. Izolované zařízení bude stále připojené k Microsoft Defenderu for Endpoint.
Umístit soubor do karantény Zastaví spouštění procesů, umístí soubory do karantény a odstraní trvalá data, jako jsou klíče registru.
Omezení spuštění aplikace Omezuje spouštění potenciálně škodlivých programů a uzamkne zařízení, aby se zabránilo dalším pokusům.
Uvolnění z izolace Vrátí zpět izolaci zařízení.
Odebrání omezení aplikace Vrátí zpět uvolnění z izolace.

Kromě těchto akcí jedním kliknutím můžete také přijímat spravované odpovědi od našich odborníků, které musíte provést ručně.

Poznámka

Před provedením některé z doporučených akcí spravovaných odpovědí se ujistěte, že je vaše konfigurace automatizovaného vyšetřování a odpovědí ještě neřeší. Přečtěte si další informace o možnostech automatizovaného vyšetřování a reakce v microsoft defenderu XDR.

Zobrazení a provedení akcí spravovaných odpovědí:

  1. Výběrem tlačítek se šipkami na kartě akce ji rozbalte a přečtěte si další informace o požadované akci.

    Snímek obrazovky s akcí spravované odpovědi, která izoluje server prod zařízení

  2. U karet s akcemi odpovědi jedním kliknutím vyberte požadovanou akci. Stav akce na kartě se v závislosti na výsledku akce změní na Probíhá a pak na Neúspěšné nebo Dokončené.

    Snímek obrazovky s akcí spravované odpovědi zobrazující probíhající izolaci serveru prod zařízení

    Tip

    Stav akcí odpovědí na portálu můžete také monitorovat v Centru akcí. Pokud se akce odpovědi nezdaří, zkuste to udělat znovu na stránce Zobrazit podrobnosti o zařízení nebo zahájit chat s odborníky na Defender.

  3. U karet s požadovanými akcemi, které je potřeba provést ručně, vyberte Po provedení této akce jsem tuto akci dokončil (a) a pak v zobrazeném potvrzovacím dialogovém okně vyberte Ano, udělal(a) jsem to .

    Snímek obrazovky s akcí spravované odpovědi pro potvrzení dokončení akce

  4. Pokud nechcete dokončit požadovanou akci hned, vyberte Přeskočit a pak vyberte Ano, přeskočit tuto akci v potvrzovacím dialogovém okně, které se zobrazí.

Důležité

Pokud si všimnete, že některá z tlačítek na kartách akcí jsou neaktivní, může to znamenat, že nemáte potřebná oprávnění k provedení akce. Ujistěte se, že jste přihlášení k portálu Microsoft Defender XDR s příslušnými oprávněními. Většina spravovaných akcí odpovědí vyžaduje, abyste měli alespoň přístup operátora zabezpečení.

Pokud k tomuto problému stále dochází, i když máte příslušná oprávnění, přejděte na Zobrazit podrobnosti o zařízení a proveďte kroky odsud.

Získejte přehled o vyšetřováních expertů programu Defender ve vaší aplikaci SIEM nebo ITSM

Jako odborníci na Defender pro XDR prošetřují incidenty a přicházejí s nápravnými akcemi, můžete mít přehled o jejich práci na incidentech v aplikacích pro správu událostí a informací o zabezpečení (SIEM) a správě IT služeb (ITSM), včetně aplikací, které jsou k dispozici po dokončení balení.

Microsoft Sentinel

Viditelnost incidentů ve službě Microsoft Sentinel získáte zapnutím jeho předem definovaného datového konektoru XDR v programu Microsoft Defender. Další informace

Jakmile konektor zapnete, zobrazí se v odpovídajících polích Stav, Vlastník a Důvod ukončení ve službě Sentinel od odborníků z programu Defender na pole Stav, Přiřazeno k, Klasifikace a Určení.

Poznámka

Stav incidentů vyšetřovaných odborníky na Defender v XDR v programu Microsoft Defender se obvykle přepíná z aktivního na probíhající na Čekání na Vyřešení akce zákazníka, zatímco ve službě Sentinel se používá cesta Od nového na aktivní až po vyřešené. Stav V programu Microsoft Defender XDR čekající na akci zákazníka nemá ve službě Sentinel ekvivalentní pole. Místo toho se v incidentu ve službě Sentinel zobrazí jako značka.

Následující část popisuje, jak se incident zpracovávaný našimi odborníky aktualizuje ve službě Sentinel při jeho průběhu v průběhu šetření:

  1. Incident vyšetřovaný našimi odborníky má stavAktivní a vlastník jako Odborníci na Defender.
  2. Incident, který naši odborníci potvrdili jako pravdivě pozitivní , má spravovanou odpověď publikovaná v microsoft defenderu XDR a značkačekající na akci zákazníka a vlastník je uvedená jako zákazník. Na základě poskytnuté spravované odpovědi musíte na incident reagovat.
  3. Jakmile naši odborníci uzavřou šetření a uzavřou incident jako falešně pozitivní nebo informativní, očekávaná aktivita, stav incidentu se aktualizuje na Vyřešeno, vlastník se aktualizuje na Nepřiřazeno a zobrazí se důvod pro uzavření .

Snímek obrazovky s incidenty služby Microsoft Sentinel

Další aplikace

Přehled o incidentech v aplikaci SIEM nebo ITSM můžete získat pomocí rozhraní XDR API nebo konektorů Microsoft Defenderu ve službě Sentinel.

Po konfiguraci konektoru je možné aktualizace polí Stav incidentu, Přiřazeno, Klasifikace a Určení v Microsoft DefenderU XDR synchronizovat s aplikacemi SIEM nebo ITSM třetích stran v závislosti na tom, jak bylo mapování polí implementováno. Pro ilustraci se můžete podívat na konektor dostupný ze služby Sentinel pro ServiceNow.

Získání přehledu v reálném čase pomocí sestav defenderových expertů pro XDR

Defender Experts for XDR obsahuje interaktivní sestavu na vyžádání, která poskytuje jasný souhrn práce, kterou za vás odvádí naši expertní analytici, agregované informace o vašem incidentu a podrobné podrobnosti o konkrétních incidentech. Váš správce doručování služeb (SDM) také používá sestavu k tomu, aby vám během měsíčních obchodních kontrol poskytl další kontext týkající se služby.

Snímek obrazovky se sestavou Defender Experts for XDR

Každá část sestavy je navržená tak, aby poskytovala další přehledy o incidentech, které naši odborníci prozkoumali a vyřešili ve vašem prostředí v reálném čase. Můžete také vybrat Rozsah dat , abyste získali podrobné informace o incidentech na základě závažnosti a kategorie a porozuměli času potřebnému k prošetření a vyřešení incidentu v určitém období.

Vysvětlení sestavy Defender Experts for XDR

Nejvyšší část sestavy Defender Experts for XDR poskytuje procento incidentů, které jsme vyřešili ve vašem prostředí, a poskytuje vám transparentnost našich operací. Toto procento je odvozeno z následujících údajů, které jsou také uvedeny ve zprávě:

  • Prošetřeno – počet aktivních hrozeb a dalších incidentů z vaší fronty incidentů, které jsme v našem rozsahu hodnotili, prošetřovali nebo aktuálně prošetřovali.
  • Vyřešeno – celkový počet prošetřených incidentů, které byly uzavřeny.
  • Vyřešeno přímo – Počet prošetřených incidentů, které jsme mohli uzavřít přímo vaším jménem.
  • Vyřešeno s vaší pomocí – počet prošetřených incidentů, které byly vyřešeny kvůli vaší akci u jedné nebo více spravovaných úloh odpovědí.

V části Average time to resolve incidents (Průměrná doba řešení incidentů ) se zobrazuje pruhový graf průměrného času v minutách, kdy naši odborníci strávili vyšetřováním a zavíráním incidentů ve vašem prostředí, a průměrnou dobu, kterou jste strávili prováděním požadovaných akcí spravovaných odpovědí.

Části Incidenty podle závažnosti, Incidenty podle kategorie a Incidenty podle zdroje služby rozdělují vyřešené incidenty podle závažnosti, techniky útoku a zdroje služby zabezpečení Microsoftu. Tyto části umožňují identifikovat potenciální vstupní body útoku a typy hrozeb zjištěných ve vašem prostředí, posoudit jejich dopad a vyvinout strategie pro jejich zmírnění a prevenci. Výběrem možnosti Zobrazit incidenty získáte filtrované zobrazení fronty incidentů na základě výběrů, které jste provedli v jednotlivých částech.

V části Nejvíce ovlivněné prostředky se zobrazují uživatelé a zařízení ve vašem prostředí, kteří se během vybraného rozsahu dat účastnili největšího počtu incidentů. Můžete si zobrazit objem incidentů, kterých se každý prostředek účastnil. Výběrem prostředku získáte filtrované zobrazení fronty incidentů na základě incidentů, které obsahovaly daný prostředek.

Proaktivní spravované proaktivní vyhledávání

Defender Experts for XDR také zahrnuje proaktivní proaktivní proaktivní proaktivní vyhledávání hrozeb, které nabízí experti programu Microsoft Defender for Hunting. Defender Experts for Hunting byl vytvořen pro zákazníky, kteří mají robustní centrum operací zabezpečení, ale chtějí, aby jim Microsoft pomohl aktivně proaktivně proaktivní vyhledávání hrozeb pomocí dat Microsoft Defenderu. Tato proaktivní služba proaktivního vyhledávání hrozeb přesahuje koncový bod a proaktivní vyhledávání napříč koncovými body, Office 365, cloudovými aplikacemi a identitami. Naši odborníci prošetřují všechno, co najdou, a pak předají informace o kontextovém upozornění spolu s pokyny k nápravě, abyste mohli rychle reagovat.

Vyžádání pokročilých odborných znalostí o hrozbách na vyžádání

Výběrem možnosti Ptejte se expertů programu Defender přímo na portálu Microsoft Defender XDR získáte rychlé a přesné odpovědi na všechny vaše otázky týkající se hrozeb. Odborníci můžou poskytnout přehledy, které vám pomůžou lépe porozumět složitým hrozbám, kterým může vaše organizace čelit. Obraťte se na odborníka a:

  • Shromážděte další informace o výstrahách a incidentech, včetně původních příčin a rozsahu.
  • Získejte přehled o podezřelých zařízeních, výstrahách nebo incidentech a získejte další kroky, pokud se setkáte s pokročilým útočníkem.
  • Určete rizika a dostupnou ochranu související se skupinami aktivit, kampaněmi nebo nově vznikajícími technikami útočníků.

Poznámka

Ask Defender Experts není služba reakce na incidenty zabezpečení. Jejím cílem je lépe porozumět složitým hrozbám, které ovlivňují vaši organizaci. Při řešení naléhavých problémů s reakcemi na incidenty zabezpečení se obraťte na svůj vlastní tým reakce na incidenty zabezpečení. Pokud nemáte vlastní tým pro reakce na incidenty zabezpečení a chcete pomoc od Microsoftu, vytvořte žádost o podporu ve službě Premier Services Hub.

Možnost Zeptat se expertů programu Defender je k dispozici na stránkách incidentů a upozornění, kde můžete pokládat kontextové otázky týkající se konkrétního incidentu nebo upozornění:

  • Vysouvací nabídka stránky Upozornění:

Snímek obrazovky s možností nabídky Zeptat se expertů programu Defender v informační nabídce stránky Upozornění na portálu Microsoft Defender

  • Nabídka akcí na stránce Incidenty:

IScreenshot možnosti nabídky Ptejte se expertů programu Defender v nabídce Akce stránky Incidenty na portálu Microsoft Defender.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.