Hvis du vil onboarde instruktioner, kan du se denne korte video.
Når Defender Experts for XDR-teamet er klar til at onboarde din organisation, modtager du en velkomstmail for at fortsætte konfigurationen og komme i gang.
Vælg linket i velkomstmailen for at starte indstillingerne for Defender Experts direkte på Microsoft Defender-portalen. Du kan også åbne denne konfiguration ved at gå til Indstillinger>Defender Experts og vælge Kom i gang.
Giv tilladelser til vores eksperter
Vigtigt
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Defender Experts for XDR kræver som standard , at tjenesteudbyderen har adgang , så vores eksperter kan logge på din lejer og levere tjenester baseret på tildelte sikkerhedsroller.
Få mere at vide om adgang på tværs af lejere
Du skal også give vores eksperter en eller begge af følgende tilladelser:
Undersøg hændelser, og vejled mine svar (standard) – Denne indstilling giver vores eksperter mulighed for proaktivt at overvåge og undersøge hændelser og guide dig gennem alle nødvendige svarhandlinger. (Adgangsniveau: Sikkerhedslæser)
Reager direkte på aktive trusler (anbefales) – Med denne mulighed kan vores eksperter med det samme indeholde og afhjælpe aktive trusler, mens de undersøger, hvilket reducerer truslens indvirkning og forbedrer din samlede svareffektivitet. (Adgangsniveau: Sikkerhedsoperator)
Vigtigt
Hvis du springer angivelse af yderligere tilladelser over, kan vores eksperter ikke udføre visse svarhandlinger for at sikre din organisation.
Hvis du vil redigere eller opdatere tilladelser efter den første konfiguration, skal du gå til Indstillinger>Defender Experts>Permissions.
Udelad enheder og brugere fra afhjælpning
Med Defender Experts for XDR kan du udelade enheder og brugere fra afhjælpningshandlinger, der er truffet af vores eksperter, og i stedet få vejledning til afhjælpning for disse enheder. Disse undtagelser er baseret på identificerede enhedsgrupper i Microsoft Defender for Endpoint og identificerede brugergrupper i Microsoft Entra ID.
Sådan udelades enhedsgrupper:
I den samme konfiguration af Defender Experts-indstillinger under Udeladelser skal du gå til fanen Enhedsgrupper .
Vælg + Tilføj enhedsgrupper, søg derefter efter, og vælg den eller de enhedsgrupper, du vil udelade.
Bemærk
Denne side viser kun eksisterende enhedsgrupper. Hvis du vil oprette en ny enhedsgruppe, skal du først gå til indstillingerne for Defender for Endpoint på Microsoft Defender-portalen. Opdater derefter denne side for at søge efter og vælge den nyoprettede gruppe.
Få mere at vide om oprettelse af enhedsgrupper
Vælg Tilføj enhedsgrupper.
Tilbage på fanen Enhedsgrupper skal du gennemse listen over udeladte enhedsgrupper. Hvis du vil fjerne en enhedsgruppe fra listen over undtagelser, skal du vælge den og derefter vælge Fjern enhedsgruppe.
Vælg Næste for at bekræfte listen over undtagelser og fortsætte med at tilføje kontakter eller grupper. Ellers skal du vælge Spring over, så kasseres alle dine tilføjede udeladelser.
Sådan udelades brugergrupper:
I den samme konfiguration af Defender Experts-indstillinger under Udeladelser skal du gå til fanen Brugergrupper .
Vælg + Tilføj brugergrupper, søg derefter efter, og vælg den eller de brugergrupper, du vil udelade.
Bemærk
På denne side vises kun eksisterende brugergrupper. Hvis du vil oprette en ny brugergruppe, skal du først logge på Microsoft Entra ID Administration som global administrator. Opdater derefter denne side for at søge efter og vælge den nyoprettede gruppe.
Få mere at vide om oprettelse af brugergrupper
Vælg Tilføj brugergrupper.
Tilbage på fanen Brugergrupper skal du gennemse listen over udeladte brugergrupper. Hvis du vil fjerne en brugergruppe fra listen over undtagelser, skal du vælge den og derefter vælge Fjern brugergruppe.
Vælg Næste for at bekræfte listen over undtagelser og fortsætte med at tilføje kontakter eller grupper. Ellers skal du vælge Spring over, så kasseres alle dine tilføjede udeladelser.
Bemærk
Du kan kun ekskludere brugere ved at føje dem til en Microsoft Entra ID-sikkerhedsgruppe. Entra-id-brugere i det lokale miljø kan ikke udelukkes på nuværende tidspunkt.
Hvis du vil redigere eller opdatere udeladelser efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Exclusions og derefter gå til fanen Enhedsgrupper eller Brugergrupper .
Fortæl os, hvem vi skal kontakte i vigtige spørgsmål
Med Defender Experts for XDR kan du afgøre, hvilke enkeltpersoner eller grupper i din organisation der skal have besked, hvis der er kritiske hændelser, tjenesteopdateringer, lejlighedsvise forespørgsler og andre anbefalinger:
Kontakter til meddelelser om hændelser – disse kontakter er personer eller teams, som vi kan give besked om administrerede svarhandlinger eller enhver kommunikation, der kræver øjeblikkelig reaktion. På grund af kommunikationens hastende karakter anbefalede vi, at disse kontakter altid er tilgængelige.
Kontakter til servicegennemsyn – disse kontakter er personer eller teams, som vi kan interagere med i forbindelse med løbende sikkerheds briefinger, der udføres af vores serviceleveringsteam.
Når personerne eller grupperne er identificeret, modtager de en mail, der giver dem besked om, at de var kontakt med henblik på hændelsesmeddelelse eller servicegennemsyn.
Sådan tilføjer du kontakter med beskeder:
I de samme indstillinger for Defender Experts skal du under Kontakter søge efter og tilføje din kontakt eller dit team i det angivne tekstfelt.
Tilføj et telefonnummer (valgfrit), som Defender Experts kan kalde for sager, der kræver øjeblikkelig opmærksomhed.
Under rullelisten Kontakt til skal du vælge Hændelsesmeddelelse eller Tjenestegennemgang.
Vælg Tilføj.
Vælg Næste for at bekræfte listen over kontakter og fortsætte med at oprette en Teams-kanal , hvor du også kan modtage hændelsesmeddelelser.
Hvis du vil redigere eller opdatere dine meddelelseskontakter efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Notification-kontakter.
Modtag administrerede svarmeddelelser og opdateringer i Microsoft Teams
Ud over mail og chat i portalen skal du også have mulighed for at bruge Microsoft Teams til at modtage opdateringer om administrerede svar og kommunikere med vores eksperter i realtid. Når denne indstilling er slået til, oprettes der et nyt team med navnet Defender Experts-team , hvor administrerede svarmeddelelser relateret til igangværende hændelser sendes som nye indlæg i kanalen Administreret svar .
Få mere at vide om brug af Teams-chat
Vigtigt
Defender Experts har adgang til alle meddelelser, der er slået op på en hvilken som helst kanal i det oprettede Defender Experts-team. Hvis du vil forhindre Defender Experts i at få adgang til meddelelser i dette team, skal du gå til Apps i Teams og derefter navigere til Administrer dine apps>Defender Experts>Remove. Denne fjernelseshandling kan ikke fortrydes.
Sådan slår du Teams-meddelelser og -chat til:
I den samme konfiguration af Defender Experts-indstillinger under Teams skal du markere afkrydsningsfeltet Kommuniker i Teams .
Vælg Næste for at gennemse dine indstillinger.
Vælg Send. Den trinvise vejledning fuldfører derefter den indledende konfiguration.
Hvis du vil konfigurere Defender Experts Teams-programmet, skal du have tildelt rollen Global administrator eller Sikkerhedsadministrator og en Microsoft Teams-licens.
Hvis du vil slå Teams-meddelelser og chat til efter den indledende konfiguration, skal du gå til Indstillinger>Defender Experts>Teams.
Du kan føje nye medlemmer til kanalen ved at navigere til Defender Experts-teamet>Flere indstillinger (...)>Administrer team>Tilføj medlem.
Du kan begrænse, hvem der kan deltage i dette team, ved at navigere til Defender Experts-teamet>Flere indstillinger (...)>Indstillinger>Redigere>Administrer team>Privat.
Forbered dit miljø til Defender Experts-tjenesten
Ud over levering af onboardingtjenester gør vores ekspertise i Microsoft Defender XDR-produktpakken det muligt for Defender Experts for XDR at lade dig køre en parathedsvurdering og hjælpe dig med at få mest muligt ud af dine Microsoft-sikkerhedsprodukter.
Parathedsvurderingen er baseret på antallet af beskyttede enheder og identiteter i dit miljø og defender-eksperternes politikanbefalinger. Hvis du vil have vist vurderingen, skal du gå til Indstillinger>Defender Experts og derefter vælge Tjenestestatus.
Parathedsvurderingen består af to dele:
Nødvendige handlinger – i dette afsnit vises antallet af handlinger eller sikkerhedsindstillinger, som du skal udføre, er i gang eller er fuldført. Disse handlinger er angivet i en tabel nederst på siden.
Listen viser de påkrævede trin, du skal udføre, før du starter tjenesten. Prioriter de handlinger, der har statussen Fuldført nu , for at få Defender Experts for XDR-tjenesten startet hurtigere.
Bemærk
Det kan tage op til 24 timer at få den nyeste status for dine sikkerhedsindstillinger.
Beskyttede aktiver – i dette afsnit vises det aktuelle antal beskyttede enheder og identiteter i forhold til dem, du stadig skal beskytte for at få Defender Experts for XDR-tjenesten startet.
Defender Experts for XDR gennemgår jævnligt din parathedsvurdering, især hvis der er ændringer i dit miljø, f.eks. tilføjelse af nye enheder og identiteter. Det er vigtigt, at du jævnligt overvåger og kører parathedsvurderingen ud over den indledende onboarding for at sikre, at dit miljø har en stærk sikkerhedsniveau for at reducere risikoen.
Når du har fuldført alle de påkrævede opgaver og opfyldt onboardingmålene i din parathedsvurdering, starter din serviceleveringschef (SDM) overvågningsfasen af Defender Experts for XDR-tjenesten, hvor vores eksperter i nogle dage begynder at overvåge dit miljø nøje for at identificere latent trusler, risikokilder og normal aktivitet. Efterhånden som vi får en bedre forståelse af dine vigtige aktiver, kan vi strømline tjenesten og finjustere vores svar.
Når vores eksperter begynder at udføre omfattende svararbejde på dine vegne, begynder du at modtage meddelelser om hændelser , der kræver afhjælpningstrin og målrettede anbefalinger til kritiske hændelser. Du kan også chatte med vores eksperter eller dine SDM'er om vigtige forespørgsler og regelmæssige anmeldelser af forretnings- og sikkerhedsholdning. Du kan også få vist rapporter i realtid om antallet af hændelser, vi har undersøgt og løst på dine vegne.
To earn this Microsoft Applied Skills credential, learners demonstrate the ability to use Microsoft Defender XDR to detect and respond to cyberthreats. Candidates for this credential should be familiar with investigating and gathering evidence about attacks on endpoints. They should also have experience using Microsoft Defender for Endpoint and Kusto Query Language (KQL).