Freigeben über


Starten der Verwendung des Defender Experts for XDR-Diensts

Gilt für:

Nachdem Sie die Onboardingschritte und Bereitschaftsprüfungen für Microsoft Defender Experts for XDR abgeschlossen haben, beginnen unsere Experten mit der Überwachung Ihrer Umgebung, um den Dienst zu optimieren, damit wir in Ihrem Namen einen umfassenden Service durchführen können. In dieser Phase identifizieren unsere Experten latente Bedrohungen, Risikoquellen und normale Aktivitäten.

Sobald unsere Experten damit beginnen, umfassende Reaktionsaufgaben in Ihrem Namen durchzuführen, erhalten Sie Benachrichtigungen zu Vorfällen, die Korrekturschritte und gezielte Empfehlungen für kritische Vorfälle erfordern. Sie können auch mit unseren Experten oder Ihren Service Delivery Managern (SDMs) über wichtige Fragen und regelmäßige Überprüfungen des Geschäfts- und Sicherheitsstatus chatten und Echtzeitberichte zur Anzahl von Vorfällen anzeigen, die wir in Ihrem Auftrag untersucht und behoben haben.

Verwaltete Erkennung und Reaktion

Durch eine Kombination aus Automatisierung und menschlichem Fachwissen selektieren Defender Experts for XDR Microsoft Defender XDR-Vorfälle, priorisiert sie in Ihrem Namen, filtert die Geräusche heraus, führt detaillierte Untersuchungen durch und bietet Ihren SOC-Teams (Security Operations Center) eine umsetzbare verwaltete Reaktion.

Incidentupdates

Sobald unsere Experten mit der Untersuchung eines Incidents beginnen, werden die Felder Zugewiesen zu und Status des Incidents auf Defender Experts bzw . In Bearbeitung aktualisiert.

Wenn unsere Experten ihre Untersuchung zu einem Vorfall abschließen, wird das Klassifizierungsfeld des Incidents auf eine der folgenden Informationen aktualisiert, je nach den Ergebnissen der Experten:

  • Richtig positiv
  • Falsch positiv
  • Information, erwartete Aktivität

Das Feld "Bestimmung ", das jeder Klassifizierung entspricht, wird ebenfalls aktualisiert, um weitere Erkenntnisse zu den Ergebnissen zu erhalten, die unsere Experten dazu veranlasst haben, die genannte Klassifizierung zu bestimmen.

Screenshot der Seite

Wenn ein Incident als Falsch positiv oder Informativ, Erwartete Aktivität klassifiziert wird, wird das Feld Status des Incidents auf Gelöst aktualisiert. Unsere Experten schließen dann ihre Arbeit zu diesem Vorfall ab, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert. Unsere Experten können Updates aus ihrer Untersuchung und deren Schlussfolgerungen bei der Lösung eines Incidents teilen. Diese Updates werden im Flyoutbereich Kommentare und Verlauf des Vorfalls veröffentlicht.

Hinweis

Incidentkommentare sind unidirektionale Beiträge. Defender-Experten können nicht auf Kommentare oder Fragen antworten, die Sie im Bereich Kommentare und Verlauf hinzufügen. Weitere Informationen zum Korrespondieren mit unseren Experten finden Sie unter Kommunizieren mit Experten im Microsoft Defender Experts for XDR-Dienst.

Wenn ein Incident als True Positive klassifiziert wird, identifizieren unsere Experten die erforderlichen Reaktionsaktionen, die ausgeführt werden müssen. Die Methode, mit der die Aktionen ausgeführt werden, hängt von den Berechtigungen und Zugriffsebenen ab, die Sie dem Defender Experts for XDR-Dienst erteilt haben. Erfahren Sie mehr über das Erteilen von Berechtigungen an unsere Experten.

  • Wenn Sie Defender Experts for XDR die empfohlenen Zugriffsberechtigungen für Sicherheitsoperator erteilt haben, können unsere Experten die erforderlichen Reaktionsaktionen für den Incident in Ihrem Namen ausführen. Diese Aktionen werden zusammen mit einer Untersuchungszusammenfassung im Flyout-Bereich verwaltete Antworten des Incidents in Ihrem Microsoft Defender-Portal angezeigt, damit Sie oder Ihr SOC-Team sie überprüfen können. Alle Aktionen, die von Defender Experts for XDR abgeschlossen werden, werden im Abschnitt Abgeschlossene Aktionen angezeigt. Alle ausstehenden Aktionen, die Sie oder Ihr SOC-Team ausführen müssen, sind im Abschnitt Ausstehende Aktionen aufgeführt. Weitere Informationen finden Sie im Abschnitt Aktionen . Nachdem unsere Experten alle erforderlichen Aktionen für den Vorfall ergriffen haben, wird das Feld Status in Gelöst aktualisiert, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert.

  • Wenn Sie Defender Experts for XDR den Standardzugriff für Sicherheitsleseberechtigte gewährt haben, werden die erforderlichen Antwortaktionen zusammen mit einer Zusammenfassung der Untersuchung im Flyoutbereich verwaltete Antworten des Incidents im Abschnitt Ausstehende Aktionen in Ihrem Microsoft Defender-Portal angezeigt, damit Sie oder Ihr SOC-Team ausführen können. Weitere Informationen finden Sie im Abschnitt Aktionen . Um diese Übergabe zu identifizieren, wird das Feld Status des Incidents auf Warten auf Kundenaktion aktualisiert, und das Feld Zugewiesen an wird auf Kunde aktualisiert.

Sie können die Anzahl der Vorfälle, die Ihre Aktion erfordern, im Banner Defender Experts oben auf der Microsoft Defender-Homepage überprüfen.

Screenshot der Defender Experts-Karte im Microsoft Defender-Portal mit der Anzahl der Vorfälle, die auf kundenrelevante Aktionen warten.

Um die Vorfälle anzuzeigen, die unsere Experten untersucht haben oder derzeit untersuchen, filtern Sie die Incidentwarteschlange in Ihrem Microsoft Defender-Portal mithilfe des Defender Experts-Tags .

Screenshot: Warteschlange für Incidents im Microsoft Defender-Portal gefiltert, um nur diejenigen mit dem Tag

Verwenden einer verwalteten Antwort in Microsoft Defender XDR

Im Microsoft Defender-Portal ist für einen Incident, der Ihre Aufmerksamkeit mithilfe einer verwalteten Antwort erfordert, das Feld Zugewiesen an auf Kunde und eine Aufgabenkarte oben im Bereich Incidents festgelegt. Ihre angegebenen Incidentkontakte erhalten auch eine entsprechende E-Mail-Benachrichtigung mit einem Link zum Defender-Portal, um den Incident anzuzeigen. Erfahren Sie mehr über Benachrichtigungskontakte.

Wählen Sie auf der Aufgabenkarte oder oben auf der Portalseite (Registerkarte Verwaltete Antwort) die Option Verwaltete Antwort anzeigen aus, um ein Flyout-Panel zu öffnen, in dem Sie die Untersuchungszusammenfassung unserer Experten lesen, ausstehende Aktionen ausführen, die von unseren Experten identifiziert wurden, oder über einen Chat mit ihnen interagieren können.

Zusammenfassung der Untersuchung

Der Abschnitt "Zusammenfassung der Untersuchung " bietet Ihnen mehr Kontext zu dem von unseren Experten analysierten Incident, um Ihnen Einblicke in den Schweregrad und die potenziellen Auswirkungen zu geben, wenn sie nicht sofort behandelt werden. Sie kann die Gerätezeitachse, die Indikatoren für Angriffe und die beobachteten Gefährdungsindikatoren (IOCs) sowie weitere Details enthalten.

Screenshot: Zusammenfassung der Untersuchung der verwalteten Antwort

Aktionen

Auf der Registerkarte Aktionen werden Aufgabenkarten angezeigt, die von unseren Experten empfohlene Antwortaktionen enthalten.

Defender Experts for XDR unterstützt derzeit die folgenden verwalteten Antwortaktionen mit nur einem Klick:

Aktion Beschreibung
Gerät isolieren Isoliert ein Gerät, wodurch verhindert wird, dass ein Angreifer es kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement ausführt. Das isolierte Gerät ist weiterhin mit Microsoft Defender für Endpunkt verbunden.
Quarantänedatei Beendet die Ausführung von Prozessen, isoliert die Dateien und löscht persistente Daten wie Registrierungsschlüssel.
Einschränken der App-Ausführung Schränkt die Ausführung potenziell schädlicher Programme ein und sperrt das Gerät, um weitere Versuche zu verhindern.
Release from isolation (Aus isolation freigeben) Hebt die Isolation eines Geräts auf.
Entfernen von App-Einschränkungen Hebt die Freigabe aus der Isolation auf.

Neben diesen 1-Klick-Aktionen können Sie auch verwaltete Antworten von unseren Experten erhalten, die Sie manuell ausführen müssen.

Hinweis

Bevor Sie eine der empfohlenen aktionen für verwaltete Antworten ausführen, stellen Sie sicher, dass sie nicht bereits von Ihren automatisierten Untersuchungs- und Antwortkonfigurationen behandelt werden. Erfahren Sie mehr über automatisierte Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR.

So zeigen Sie die verwalteten Antwortaktionen an und führen sie aus:

  1. Wählen Sie die Pfeilschaltflächen in einer Aktionskarte aus, um sie zu erweitern und weitere Informationen zur erforderlichen Aktion zu lesen.

    Screenshot der verwalteten Antwortaktion zum Isolieren des Geräteproduktservers.

  2. Wählen Sie für Karten mit 1-Klick-Antwortaktionen die erforderliche Aktion aus. Der Aktionsstatus auf der Karte ändert sich abhängig vom Ergebnis der Aktion in In Bearbeitung und dann in Fehler oder Abgeschlossen.

    Screenshot der verwalteten Antwortaktion, die zeigt, dass der Produktserver des Geräts isoliert wird.

    Tipp

    Sie können auch den Status von Reaktionsaktionen im Portal im Info-Center überwachen. Wenn eine Antwortaktion fehlschlägt, versuchen Sie es erneut auf der Seite Gerätedetails anzeigen , oder initiieren Sie einen Chat mit Defender Experts.

  3. Wählen Sie für Karten mit erforderlichen Aktionen, die Sie manuell ausführen müssen, ich habe diese Aktion abgeschlossen aus, nachdem Sie sie ausgeführt haben, und wählen Sie dann Ja, ich habe es ausgeführt im angezeigten Bestätigungsdialogfeld aus.

    Screenshot der verwalteten Antwortaktion zum Bestätigen des Abschlusses der Aktion.

  4. Wenn Sie eine erforderliche Aktion nicht sofort abschließen möchten, wählen Sie Überspringen und dann Ja, diese Aktion überspringen im angezeigten Bestätigungsdialogfeld aus.

Wichtig

Wenn Sie feststellen, dass eine der Schaltflächen auf den Aktionskarten abgeblendet ist, kann dies darauf hindeuten, dass Sie nicht über die erforderlichen Berechtigungen zum Ausführen der Aktion verfügen. Stellen Sie sicher, dass Sie beim Microsoft Defender XDR-Portal mit den entsprechenden Berechtigungen angemeldet sind. Die meisten verwalteten Antwortaktionen erfordern, dass Sie mindestens über den Zugriff des Sicherheitsoperators verfügen.

Wenn dieses Problem auch mit den entsprechenden Berechtigungen weiterhin auftritt, navigieren Sie zu Gerätedetails anzeigen , und führen Sie die Schritte dort aus.

Einblick in Defender Experts-Untersuchungen in Ihrer SIEM- oder ITSM-Anwendung erhalten

Wenn Defender Experts for XDR Incidents untersuchen und Abhilfemaßnahmen einleitet, können Sie Einblick in ihre Arbeit an Incidents in Ihren SIEM-Anwendungen (Security Information and Event Management) und IT Service Management (ITSM) erhalten, einschließlich sofort verfügbarer Anwendungen.

Microsoft Sentinel

Sie können die Sichtbarkeit von Vorfällen in Microsoft Sentinel erhalten, indem Sie den sofort einsatzbereiten Microsoft Defender XDR-Datenconnector aktivieren. Weitere Informationen.

Nachdem Sie den Connector aktiviert haben, werden updates von Defender Experts für die Felder Status, Zugewiesen zu, Klassifizierung und Bestimmung in Microsoft Defender XDR in den entsprechenden Feldern Status, Besitzer und Grund für das Schließen in Sentinel angezeigt.

Hinweis

Der Status von Vorfällen, die von Defender-Experten in Microsoft Defender XDR untersucht werden, wechselt in der Regel von Aktiv in In Bearbeitung in Awaiting Customer Action to Resolved, während er in Sentinel dem Pfad Neu zu Aktiv bis Aufgelöst folgt. Der Microsoft Defender XDR-Status wartet auf Kundenaktion verfügt in Sentinel nicht über ein entsprechendes Feld. stattdessen wird es als Tag in einem Incident in Sentinel angezeigt.

Im folgenden Abschnitt wird beschrieben, wie ein von unseren Experten behandelter Incident in Sentinel aktualisiert wird, während er die Untersuchungsreise durchläuft:

  1. Ein Vorfall, der von unseren Experten untersucht wird, weist den Status als Aktiv und den Besitzer als Defender-Experten auf.
  2. Ein Incident, den unsere Experten als wahr positiv bestätigt haben, verfügt über eine verwaltete Antwort, die in Microsoft Defender XDR veröffentlicht wurde, und ein Tagawaiting Customer Action und der Besitzer wird als Kunde aufgeführt. Sie müssen basierend auf der bereitgestellten verwalteten Antwort auf den Incident reagieren.
  3. Sobald unsere Experten ihre Untersuchung abgeschlossen und einen Vorfall als Falsch positiv oder Information, erwartete Aktivität geschlossen haben, wird der Status des Vorfalls in Gelöst aktualisiert, der Besitzer wird auf Nicht zugewiesen aktualisiert und ein Grund für die Schließung angegeben.

Screenshot: Microsoft Sentinel-Incidents.

Andere Anwendungen

Sie können einblick in Incidents in Ihrer SIEM- oder ITSM-Anwendung erhalten, indem Sie die Microsoft Defender XDR-API oder Connectors in Sentinel verwenden.

Nach dem Konfigurieren eines Connectors können die Updates von Defender Experts zu den Feldern Status, Zugewiesen zu, Klassifizierung und Bestimmung eines Incidents in Microsoft Defender XDR mit den SIEM- oder ITSM-Anwendungen von Drittanbietern synchronisiert werden, je nachdem, wie die Feldzuordnung implementiert wurde. Zur Veranschaulichung können Sie einen Blick auf den Connector werfen, der von Sentinel zu ServiceNow verfügbar ist.

Erhalten von Echtzeitsichtbarkeit mit Defender Experts for XDR-Berichten

Defender Experts for XDR enthält einen interaktiven On-Demand-Bericht, der eine klare Zusammenfassung der Arbeit bietet, die unsere erfahrenen Analysten in Ihrem Namen ausführen, aggregierte Informationen zu Ihrer Incidentlandschaft und präzise Details zu bestimmten Vorfällen. Ihr Service Delivery Manager (SDM) verwendet den Bericht auch, um Ihnen während einer monatlichen Geschäftsüberprüfung mehr Kontext in Bezug auf den Dienst bereitzustellen.

Screenshot des Berichts von Defender Experts für XDR.

Jeder Abschnitt des Berichts ist so konzipiert, dass er in Echtzeit mehr Erkenntnisse zu den Vorfällen liefert, die unsere Experten in Ihrer Umgebung untersucht und gelöst haben. Sie können auch den Datumsbereich auswählen, um detaillierte Informationen zu Vorfällen basierend auf Schweregrad und Kategorie zu erhalten und die Zeit zu verstehen, die für die Untersuchung und Behebung eines Incidents während eines bestimmten Zeitraums benötigt wird.

Grundlegendes zum Bericht von Defender Experts für XDR

Der oberste Abschnitt des Berichts von Defender Experts for XDR enthält den Prozentsatz der Vorfälle, die wir in Ihrer Umgebung gelöst haben, und bietet Ihnen Transparenz bei unseren Vorgängen. Dieser Prozentsatz ergibt sich aus den folgenden Zahlen, die ebenfalls im Bericht dargestellt werden:

  • Untersucht : Die Anzahl der aktiven Bedrohungen und anderen Vorfälle aus Ihrer Incidentwarteschlange, die wir selektieren, untersuchen oder derzeit im Rahmen unseres Bereichs untersuchen.
  • Gelöst : Die Gesamtzahl der untersuchten Vorfälle, die geschlossen wurden.
  • Direkt gelöst : Die Anzahl der untersuchten Vorfälle, die wir direkt in Ihrem Namen schließen konnten.
  • Mit Ihrer Hilfe behoben : Die Anzahl der untersuchten Vorfälle, die aufgrund Ihrer Aktion für eine oder mehrere verwaltete Antwortaufgaben behoben wurden.

Im Abschnitt Durchschnittliche Zeit zum Beheben von Vorfällen wird ein Balkendiagramm der durchschnittlichen Zeit in Minuten angezeigt, die unsere Experten für die Untersuchung und Das Schließen von Vorfällen in Ihrer Umgebung aufgewendet haben, sowie der durchschnittlichen Zeit, die Sie mit der Durchführung der erforderlichen verwalteten Reaktionsaktionen verbracht haben.

In den Abschnitten Incidents nach Schweregrad, Incidents nach Kategorie und Incidents nach Dienstquelle werden aufgelöste Vorfälle nach Schweregrad, Angriffstechnik und Quelle des Microsoft-Sicherheitsdiensts aufgeschlüsselt. In diesen Abschnitten können Sie potenzielle Angriffspunkte und Arten von Bedrohungen identifizieren, die in Ihrer Umgebung erkannt werden, deren Auswirkungen bewerten und Strategien entwickeln, um sie zu mindern und zu verhindern. Wählen Sie Incidents anzeigen aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Auswahlen zu erhalten, die Sie in den beiden Abschnitten getroffen haben.

Im Abschnitt Am stärksten betroffene Ressourcen werden die Benutzer und Geräte in Ihrer Umgebung angezeigt, die während des ausgewählten Datumsbereichs an der meisten Anzahl von Vorfällen beteiligt waren. Sie können die Anzahl der Vorfälle sehen, an denen jede Ressource beteiligt war. Wählen Sie ein Medienobjekt aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Vorfällen zu erhalten, die das genannte Medienobjekt enthalten.

Proaktive verwaltete Suche

Defender Experts for XDR umfasst auch die proaktive Bedrohungssuche, die von Microsoft Defender Experts for Hunting angeboten wird. Defender Experts for Hunting wurde für Kunden entwickelt, die über ein stabiles Security Operations Center verfügen, aber microsoft dabei helfen soll, Bedrohungen mithilfe von Microsoft Defender-Daten proaktiv zu suchen. Dieser dienst für die proaktive Bedrohungssuche geht über den Endpunkt hinaus und sucht über Endpunkte, Office 365, Cloudanwendungen und Identität hinweg. Unsere Experten untersuchen alles, was sie finden, und übergeben dann die kontextbezogenen Warnungsinformationen zusammen mit Korrekturanweisungen, damit Sie schnell reagieren können.

Anfordern erweiterter Bedrohungskompetenz bei Bedarf

Wählen Sie Defender-Experten direkt im Microsoft Defender XDR-Portal stellen aus, um schnelle und genaue Antworten auf alle Ihre Bedrohungsfragen zu erhalten. Experten können Erkenntnisse liefern, um die komplexen Bedrohungen, denen Ihre Organisation ausgesetzt sein könnte, besser zu verstehen. Wenden Sie sich an einen Experten, um:

  • Sammeln Sie zusätzliche Informationen zu Warnungen und Vorfällen, einschließlich der Grundursachen und des Umfangs.
  • Verschaffen Sie sich Klarheit über verdächtige Geräte, Warnungen oder Vorfälle, und erhalten Sie die nächsten Schritte, wenn Sie mit einem fortgeschrittenen Angreifer konfrontiert sind.
  • Ermitteln Sie Risiken und verfügbare Schutzmaßnahmen im Zusammenhang mit Aktivitätsgruppen, Kampagnen oder neuen Angreifertechniken.

Hinweis

Ask Defender Experts ist kein Reaktionsdienst für Sicherheitsvorfälle. Es soll ein besseres Verständnis der komplexen Bedrohungen bieten, die Sich auf Ihre Organisation auswirken. Wenden Sie sich an Ihr eigenes Team zur Reaktion auf Sicherheitsvorfälle, um dringende Probleme bei der Reaktion auf Sicherheitsvorfälle zu beheben. Wenn Sie kein eigenes Team für die Reaktion auf Sicherheitsvorfälle haben und Hilfe von Microsoft wünschen, erstellen Sie eine Supportanfrage im Premier Services Hub.

Die Option Zum Fragen von Defender-Experten ist auf den Incidents- und Warnungsseiten verfügbar, auf denen Sie kontextbezogene Fragen zu einem bestimmten Incident oder einer warnung stellen können:

  • Flyoutmenü der Seite "Warnungen":

Screenshot der Menüoption

  • Menü "Incidents page actions" (Aktionen der Seite "Incidents"):

IScreenshot der Menüoption Ask Defender Experts im Menü

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.