Kom i gang med Microsoft Defender Experts for XDR

Gælder for:

Hvis du vil onboarde instruktioner, kan du se denne korte video.

Når Defender Experts for XDR-teamet er klar til at onboarde din organisation, modtager du en velkomstmail for at fortsætte konfigurationen og komme i gang.

Vælg linket i velkomstmailen for at starte indstillingerne for Defender Experts direkte på Microsoft Defender-portalen. Du kan også åbne denne konfiguration ved at gå til Indstillinger>Defender Experts og vælge Kom i gang.

Skærmbillede af siden Introduktion i Defender for Experts XDR-indstillinger trinvis vejledning.

Giv tilladelser til vores eksperter

Vigtigt

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Defender Experts for XDR kræver som standard , at tjenesteudbyderen har adgang , så vores eksperter kan logge på din lejer og levere tjenester baseret på tildelte sikkerhedsroller. Få mere at vide om adgang på tværs af lejere

Du skal også give vores eksperter en eller begge af følgende tilladelser:

  • Undersøg hændelser, og vejled mine svar (standard) – Denne indstilling giver vores eksperter mulighed for proaktivt at overvåge og undersøge hændelser og guide dig gennem alle nødvendige svarhandlinger. (Adgangsniveau: Sikkerhedslæser)
  • Reager direkte på aktive trusler (anbefales) – Med denne mulighed kan vores eksperter med det samme indeholde og afhjælpe aktive trusler, mens de undersøger, hvilket reducerer truslens indvirkning og forbedrer din samlede svareffektivitet. (Adgangsniveau: Sikkerhedsoperator)

Skærmbillede af indstillingen Administrer udeladelser under konfiguration af Defender Experts for XDR.

Vigtigt

Hvis du springer angivelse af yderligere tilladelser over, kan vores eksperter ikke udføre visse svarhandlinger for at sikre din organisation.

Selvom vores eksperter får disse relativt effektive tilladelser, har de kun individuel adgang til bestemte områder i en begrænset periode. Få mere at vide om, hvordan Defender Experts for XDR-tilladelser fungerer

Sådan giver du vores eksperter tilladelser:

  1. I den samme konfiguration af Defender Experts-indstillinger skal du under Tilladelser vælge det eller de adgangsniveauer, du vil give vores eksperter.

  2. Hvis du vil udelade enheds- og brugergrupper i din organisation fra afhjælpningshandlinger, skal du vælge Administrer udeladelser.

  3. Vælg Næste for at tilføje kontakter eller grupper.

Hvis du vil redigere eller opdatere tilladelser efter den første konfiguration, skal du gå til Indstillinger>Defender Experts>Permissions.

Udelad enheder og brugere fra afhjælpning

Med Defender Experts for XDR kan du udelade enheder og brugere fra afhjælpningshandlinger, der er truffet af vores eksperter, og i stedet få vejledning til afhjælpning for disse enheder. Disse undtagelser er baseret på identificerede enhedsgrupper i Microsoft Defender for Endpoint og identificerede brugergrupper i Microsoft Entra ID.

Sådan udelades enhedsgrupper:

  1. I den samme konfiguration af Defender Experts-indstillinger under Udeladelser skal du gå til fanen Enhedsgrupper .

  2. Vælg + Tilføj enhedsgrupper, søg derefter efter, og vælg den eller de enhedsgrupper, du vil udelade.

    Bemærk

    Denne side viser kun eksisterende enhedsgrupper. Hvis du vil oprette en ny enhedsgruppe, skal du først gå til indstillingerne for Defender for Endpoint på Microsoft Defender-portalen. Opdater derefter denne side for at søge efter og vælge den nyoprettede gruppe. Få mere at vide om oprettelse af enhedsgrupper

  3. Vælg Tilføj enhedsgrupper.

  4. Tilbage på fanen Enhedsgrupper skal du gennemse listen over udeladte enhedsgrupper. Hvis du vil fjerne en enhedsgruppe fra listen over undtagelser, skal du vælge den og derefter vælge Fjern enhedsgruppe.

  5. Vælg Næste for at bekræfte listen over undtagelser og fortsætte med at tilføje kontakter eller grupper. Ellers skal du vælge Spring over, så kasseres alle dine tilføjede udeladelser.

Skærmbillede af muligheden for at udelade enhedsgrupper.

Sådan udelades brugergrupper:

  1. I den samme konfiguration af Defender Experts-indstillinger under Udeladelser skal du gå til fanen Brugergrupper .

  2. Vælg + Tilføj brugergrupper, søg derefter efter, og vælg den eller de brugergrupper, du vil udelade.

    Bemærk

    På denne side vises kun eksisterende brugergrupper. Hvis du vil oprette en ny brugergruppe, skal du først logge på Microsoft Entra ID Administration som global administrator. Opdater derefter denne side for at søge efter og vælge den nyoprettede gruppe. Få mere at vide om oprettelse af brugergrupper

  3. Vælg Tilføj brugergrupper.

  4. Tilbage på fanen Brugergrupper skal du gennemse listen over udeladte brugergrupper. Hvis du vil fjerne en brugergruppe fra listen over undtagelser, skal du vælge den og derefter vælge Fjern brugergruppe.

  5. Vælg Næste for at bekræfte listen over undtagelser og fortsætte med at tilføje kontakter eller grupper. Ellers skal du vælge Spring over, så kasseres alle dine tilføjede udeladelser.

Skærmbillede, der udelukker brugergrupper i Defender Experts for XDR.

Bemærk

Du kan kun ekskludere brugere ved at føje dem til en Microsoft Entra ID-sikkerhedsgruppe. Entra-id-brugere i det lokale miljø kan ikke udelukkes på nuværende tidspunkt.

Hvis du vil redigere eller opdatere udeladelser efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Exclusions og derefter gå til fanen Enhedsgrupper eller Brugergrupper .

Fortæl os, hvem vi skal kontakte i vigtige spørgsmål

Med Defender Experts for XDR kan du afgøre, hvilke enkeltpersoner eller grupper i din organisation der skal have besked, hvis der er kritiske hændelser, tjenesteopdateringer, lejlighedsvise forespørgsler og andre anbefalinger:

  • Kontakter til meddelelser om hændelser – disse kontakter er personer eller teams, som vi kan give besked om administrerede svarhandlinger eller enhver kommunikation, der kræver øjeblikkelig reaktion. På grund af kommunikationens hastende karakter anbefalede vi, at disse kontakter altid er tilgængelige.
  • Kontakter til servicegennemsyn – disse kontakter er personer eller teams, som vi kan interagere med i forbindelse med løbende sikkerheds briefinger, der udføres af vores serviceleveringsteam.

Når personerne eller grupperne er identificeret, modtager de en mail, der giver dem besked om, at de var kontakt med henblik på hændelsesmeddelelse eller servicegennemsyn.

Skærmbillede af siden Hændelseskontakter i Defender for Experts XDR-indstillinger trinvis vejledning.

Sådan tilføjer du kontakter med beskeder:

  1. I de samme indstillinger for Defender Experts skal du under Kontakter søge efter og tilføje din kontakt eller dit team i det angivne tekstfelt.

  2. Tilføj et telefonnummer (valgfrit), som Defender Experts kan kalde for sager, der kræver øjeblikkelig opmærksomhed.

  3. Under rullelisten Kontakt til skal du vælge Hændelsesmeddelelse eller Tjenestegennemgang.

  4. Vælg Tilføj.

  5. Vælg Næste for at bekræfte listen over kontakter og fortsætte med at oprette en Teams-kanal , hvor du også kan modtage hændelsesmeddelelser.

Hvis du vil redigere eller opdatere dine meddelelseskontakter efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Notification-kontakter.

Skærmbillede af kontakter med beskeder.

Modtag administrerede svarmeddelelser og opdateringer i Microsoft Teams

Ud over mail og chat i portalen skal du også have mulighed for at bruge Microsoft Teams til at modtage opdateringer om administrerede svar og kommunikere med vores eksperter i realtid. Når denne indstilling er slået til, oprettes der et nyt team med navnet Defender Experts-team , hvor administrerede svarmeddelelser relateret til igangværende hændelser sendes som nye indlæg i kanalen Administreret svar . Få mere at vide om brug af Teams-chat

Vigtigt

Defender Experts har adgang til alle meddelelser, der er slået op på en hvilken som helst kanal i det oprettede Defender Experts-team. Hvis du vil forhindre Defender Experts i at få adgang til meddelelser i dette team, skal du gå til Apps i Teams og derefter navigere til Administrer dine apps>Defender Experts>Remove. Denne fjernelseshandling kan ikke fortrydes.

Sådan slår du Teams-meddelelser og -chat til:

  1. I den samme konfiguration af Defender Experts-indstillinger under Teams skal du markere afkrydsningsfeltet Kommuniker i Teams .

  2. Vælg Næste for at gennemse dine indstillinger.

  3. Vælg Send. Den trinvise vejledning fuldfører derefter den indledende konfiguration.

  4. Vælg Vis parathedsvurdering for at fuldføre de nødvendige handlinger, der kræves for at optimere din sikkerhedsholdning.

Bemærk

Hvis du vil konfigurere Defender Experts Teams-programmet, skal du have tildelt rollen Global administrator eller Sikkerhedsadministrator og en Microsoft Teams-licens.

Hvis du vil slå Teams-meddelelser og chat til efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Teams.

Skærmbillede af muligheden for at aktivere Teams for modtagelse af administreret svar.

  • Du kan føje nye medlemmer til kanalen ved at navigere til Defender Experts-teamet>Flere indstillinger (...)>Administrer team>Tilføj medlem.
  • Du kan begrænse, hvem der kan deltage i dette team, ved at navigere til Defender Experts-teamet>Flere indstillinger (...)>Indstillinger>Redigere>Administrer team>Privat.

Forbered dit miljø til Defender Experts-tjenesten

Ud over levering af onboardingtjenester gør vores ekspertise i Microsoft Defender XDR-produktpakken det muligt for Defender Experts for XDR at lade dig køre en parathedsvurdering og hjælpe dig med at få mest muligt ud af dine Microsoft-sikkerhedsprodukter.

Parathedsvurderingen er baseret på antallet af beskyttede enheder og identiteter i dit miljø og defender-eksperternes politikanbefalinger. Hvis du vil have vist vurderingen, skal du gå til Indstillinger>Defender Experts og derefter vælge Tjenestestatus.

Skærmbillede af parathedsvurderingsmiljø.

Parathedsvurderingen består af to dele:

  • Nødvendige handlinger – i dette afsnit vises antallet af handlinger eller sikkerhedsindstillinger, som du skal udføre, er i gang eller er fuldført. Disse handlinger er angivet i en tabel nederst på siden.

    Listen viser de påkrævede trin, du skal udføre, før du starter tjenesten. Prioriter de handlinger, der har statussen Fuldført nu , for at få Defender Experts for XDR-tjenesten startet hurtigere.

    Bemærk

    Det kan tage op til 24 timer at få den nyeste status for dine sikkerhedsindstillinger.

  • Beskyttede aktiver – i dette afsnit vises det aktuelle antal beskyttede enheder og identiteter i forhold til dem, du stadig skal beskytte for at få Defender Experts for XDR-tjenesten startet.

    Tallene er baseret på dine licenser til Defender for Endpoint og Defender for Identity. For at opnå dette målantal beskyttede aktiver skal du onboarde flere enheder til Defender for Endpoint eller installere flere Defender for Identity-sensorer.

Vigtigt

Defender Experts for XDR gennemgår jævnligt din parathedsvurdering, især hvis der er ændringer i dit miljø, f.eks. tilføjelse af nye enheder og identiteter. Det er vigtigt, at du jævnligt overvåger og kører parathedsvurderingen ud over den indledende onboarding for at sikre, at dit miljø har en stærk sikkerhedsniveau for at reducere risikoen.

Når du har fuldført alle de påkrævede opgaver og opfyldt onboardingmålene i din parathedsvurdering, starter din serviceleveringschef (SDM) overvågningsfasen af Defender Experts for XDR-tjenesten, hvor vores eksperter i nogle dage begynder at overvåge dit miljø nøje for at identificere latent trusler, risikokilder og normal aktivitet. Efterhånden som vi får en bedre forståelse af dine vigtige aktiver, kan vi strømline tjenesten og finjustere vores svar.

Når vores eksperter begynder at udføre omfattende svararbejde på dine vegne, begynder du at modtage meddelelser om hændelser , der kræver afhjælpningstrin og målrettede anbefalinger til kritiske hændelser. Du kan også chatte med vores eksperter eller dine SDM'er om vigtige forespørgsler og regelmæssige anmeldelser af forretnings- og sikkerhedsholdning. Du kan også få vist rapporter i realtid om antallet af hændelser, vi har undersøgt og løst på dine vegne.

Næste trin

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.