Freigeben über

Verwenden des Defender Experts for XDR-Diensts

Gilt für:

Nachdem Sie die Onboardingschritte und Bereitschaftsprüfungen für Microsoft Defender Experts for XDR abgeschlossen haben, beginnen unsere Experten mit der Überwachung Ihrer Umgebung, um den Dienst zu optimieren, damit wir in Ihrem Namen einen umfassenden Service durchführen können. In dieser Phase identifizieren unsere Experten latente Bedrohungen, Risikoquellen und normale Aktivitäten.

Sobald unsere Experten damit beginnen, umfassende Reaktionsaufgaben in Ihrem Namen durchzuführen, erhalten Sie Benachrichtigungen zu Vorfällen, die Korrekturschritte und gezielte Empfehlungen für kritische Vorfälle erfordern. Sie können auch mit unseren Experten oder Ihren Service Delivery Managern (SDMs) über wichtige Fragen und regelmäßige Überprüfungen des Geschäfts- und Sicherheitsstatus chatten und Echtzeitberichte zur Anzahl von Vorfällen anzeigen, die wir in Ihrem Auftrag untersucht und behoben haben.

Verwaltete Erkennung und Reaktion

Durch eine Kombination aus Automatisierung und menschlichem Fachwissen Defender Experts for XDR Selektierungen Microsoft Defender XDR Incidents, priorisiert sie in Ihrem Namen, filtert die Geräusche heraus, führt detaillierte Untersuchungen durch und bietet Ihren SOC-Teams (Security Operations Center) eine umsetzbare verwaltete Reaktion.

Incidentupdates

Sobald unsere Experten mit der Untersuchung eines Incidents beginnen, werden die Felder Zugewiesen zu und Status des Incidents auf Defender Experts bzw . In Bearbeitung aktualisiert.

Wenn unsere Experten ihre Untersuchung zu einem Vorfall abschließen, wird das Klassifizierungsfeld des Incidents auf eine der folgenden Informationen aktualisiert, je nach den Ergebnissen der Experten:

  • Richtig positiv
  • Falsch positiv
  • Information, erwartete Aktivität

Das Feld "Bestimmung ", das jeder Klassifizierung entspricht, wird ebenfalls aktualisiert, um weitere Erkenntnisse zu den Ergebnissen zu erhalten, die unsere Experten dazu veranlasst haben, die genannte Klassifizierung zu bestimmen.

Screenshot der Seite

Wenn ein Incident als Falsch positiv oder Informativ, Erwartete Aktivität klassifiziert wird, wird das Feld Status des Incidents auf Gelöst aktualisiert. Unsere Experten schließen dann ihre Arbeit zu diesem Vorfall ab, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert. Unsere Experten können Updates aus ihrer Untersuchung und deren Schlussfolgerungen bei der Lösung eines Incidents teilen. Diese Updates werden im Flyoutbereich Kommentare und Verlauf des Vorfalls veröffentlicht.

Hinweis

Incidentkommentare sind unidirektionale Beiträge. Defender-Experten können nicht auf Kommentare oder Fragen antworten, die Sie im Bereich Kommentare und Verlauf hinzufügen. Weitere Informationen zur Korrespondenz mit unseren Experten finden Sie unter Kommunikation mit Experten im Microsoft Defender Experts for XDR Service.

Wenn ein Incident als True Positive klassifiziert wird, identifizieren unsere Experten die erforderlichen Reaktionsaktionen, die ausgeführt werden müssen. Die Methode, mit der die Aktionen ausgeführt werden, hängt von den Berechtigungen und Zugriffsebenen ab, die Sie dem Defender Experts for XDR-Dienst erteilt haben. Erfahren Sie mehr über das Erteilen von Berechtigungen an unsere Experten.

  • Wenn Sie Defender Experts for XDR die empfohlenen Zugriffsberechtigungen für Sicherheitsoperator erteilt haben, können unsere Experten die erforderlichen Reaktionsaktionen für den Incident in Ihrem Namen ausführen. Diese Aktionen werden zusammen mit einer Untersuchungszusammenfassung im Flyout-Bereich verwaltete Antworten des Incidents in Ihrem Microsoft Defender-Portal angezeigt, das Sie oder Ihr SOC-Team überprüfen können. Alle Aktionen, die von Defender Experts for XDR abgeschlossen werden, werden im Abschnitt Abgeschlossene Aktionen angezeigt. Alle ausstehenden Aktionen, die Sie oder Ihr SOC-Team ausführen müssen, sind im Abschnitt Ausstehende Aktionen aufgeführt. Weitere Informationen finden Sie im Abschnitt Aktionen . Nachdem unsere Experten alle erforderlichen Aktionen für den Vorfall ergriffen haben, wird das Feld Status in Gelöst aktualisiert, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert.

  • Wenn Sie Defender Experts for XDR den Standardzugriff sicherheitsleser gewährt haben, werden die erforderlichen Antwortaktionen zusammen mit einer Zusammenfassung der Untersuchung im Flyoutbereich verwaltete Antworten des Incidents im Abschnitt Ausstehende Aktionen in Ihrem Microsoft Defender-Portal für Sie oder Ihr SOC-Team angezeigt. Weitere Informationen finden Sie im Abschnitt Aktionen . Um diese Übergabe zu identifizieren, wird das Feld Status des Incidents auf Warten auf Kundenaktion aktualisiert, und das Feld Zugewiesen an wird auf Kunde aktualisiert.

Sie können die Anzahl der Vorfälle, die Ihre Aktion erfordern, im Banner defender experts am oberen Rand der Microsoft Defender Homepage überprüfen.

Screenshot der Defender Experts-Karte in Microsoft Defender Portal mit der Anzahl der Vorfälle, die auf kundenrelevante Aktionen warten.

Um die Vorfälle anzuzeigen, die unsere Experten untersucht haben oder derzeit untersuchen, filtern Sie die Incidentwarteschlange in Ihrem Microsoft Defender-Portal mithilfe des Defender Experts-Tags.

Screenshot: Warteschlange für Vorfälle in Microsoft Defender Portal gefiltert, um nur diejenigen mit dem Tag

Verwenden einer verwalteten Antwort in Microsoft Defender XDR

Im Microsoft Defender-Portal ist für einen Incident, der Ihre Aufmerksamkeit mithilfe einer verwalteten Antwort erfordert, das Feld Zugewiesen an auf Kunde und eine Aufgabe Karte oben im Bereich Incidents festgelegt. Ihre angegebenen Incidentkontakte erhalten auch eine entsprechende E-Mail-Benachrichtigung mit einem Link zum Defender-Portal, um den Incident anzuzeigen. Erfahren Sie mehr über Benachrichtigungskontakte.

Wählen Sie verwaltete Antwort anzeigen auf der Aufgabe Karte oder oben auf der Portalseite (Registerkarte Verwaltete Antwort) aus, um ein Flyout-Panel zu öffnen, in dem Sie die Untersuchungszusammenfassung unserer Experten lesen, ausstehende Aktionen ausführen können, die von unseren Experten identifiziert wurden, oder über einen Chat mit ihnen interagieren können.

Zusammenfassung der Untersuchung

Der Abschnitt "Zusammenfassung der Untersuchung " bietet Ihnen mehr Kontext zu dem von unseren Experten analysierten Incident, um Ihnen Einblicke in den Schweregrad und die potenziellen Auswirkungen zu geben, wenn sie nicht sofort behandelt werden. Sie kann die Zeitleiste des Geräts, Indikatoren für Angriffe und beobachtete Gefährdungsindikatoren (IOCs) sowie weitere Details enthalten.

Screenshot: Zusammenfassung der Untersuchung der verwalteten Antwort

Actions

Auf der Registerkarte Aktionen werden Aufgabenkarten angezeigt, die von unseren Experten empfohlene Antwortaktionen enthalten.

Defender Experts for XDR unterstützt derzeit die folgenden verwalteten Antwortaktionen mit nur einem Klick:

Aktion Beschreibung
Gerät isolieren Isoliert ein Gerät, wodurch verhindert wird, dass ein Angreifer es kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement ausführt. Das isolierte Gerät ist weiterhin mit Microsoft Defender for Endpoint verbunden.
Quarantänedatei Beendet die Ausführung von Prozessen, isoliert die Dateien und löscht persistente Daten wie Registrierungsschlüssel.
Einschränken der App-Ausführung Schränkt die Ausführung potenziell schädlicher Programme ein und sperrt das Gerät, um weitere Versuche zu verhindern.
Release from isolation (Aus isolation freigeben) Hebt die Isolation eines Geräts auf.
Entfernen von App-Einschränkungen Hebt die Freigabe aus der Isolation auf.

Neben diesen 1-Klick-Aktionen können Sie auch verwaltete Antworten von unseren Experten erhalten, die Sie manuell ausführen müssen.

Hinweis

Bevor Sie eine der empfohlenen aktionen für verwaltete Antworten ausführen, stellen Sie sicher, dass sie nicht bereits von Ihren automatisierten Untersuchungs- und Antwortkonfigurationen behandelt werden. Erfahren Sie mehr über automatisierte Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR.

So zeigen Sie die verwalteten Antwortaktionen an und führen sie aus:

  1. Wählen Sie die Pfeilschaltflächen in einer Aktion Karte aus, um sie zu erweitern und weitere Informationen zur erforderlichen Aktion zu lesen.

    Screenshot der verwalteten Antwortaktion zum Isolieren des Geräteproduktservers.

  2. Wählen Sie für Karten mit 1-Klick-Antwortaktionen die erforderliche Aktion aus. Die aktion status im Karte in In Bearbeitung und dann in Fehler oder Abgeschlossen geändert, je nach Ergebnis der Aktion.

    Screenshot der verwalteten Antwortaktion, die zeigt, dass der Produktserver des Geräts isoliert wird.

    Tipp

    Sie können auch die status von Reaktionsaktionen im Portal im Info-Center überwachen. Wenn eine Antwortaktion fehlschlägt, versuchen Sie es erneut auf der Seite Gerätedetails anzeigen , oder initiieren Sie einen Chat mit Defender Experts.

  3. Wählen Sie für Karten mit erforderlichen Aktionen, die Sie manuell ausführen müssen, ich habe diese Aktion abgeschlossen aus, nachdem Sie sie ausgeführt haben, und wählen Sie dann Ja, ich habe es ausgeführt im angezeigten Bestätigungsdialogfeld aus.

    Screenshot der verwalteten Antwortaktion zum Bestätigen des Abschlusses der Aktion.

  4. Wenn Sie eine erforderliche Aktion nicht sofort abschließen möchten, wählen Sie Überspringen und dann Ja, diese Aktion überspringen im angezeigten Bestätigungsdialogfeld aus.

Wichtig

Wenn Sie feststellen, dass eine der Schaltflächen auf den Aktionskarten abgeblendet ist, kann dies darauf hindeuten, dass Sie nicht über die erforderlichen Berechtigungen zum Ausführen der Aktion verfügen. Stellen Sie sicher, dass Sie beim Microsoft Defender XDR-Portal mit den entsprechenden Berechtigungen angemeldet sind. Die meisten verwalteten Antwortaktionen erfordern, dass Sie mindestens über den Zugriff des Sicherheitsoperators verfügen.

Wenn dieses Problem auch mit den entsprechenden Berechtigungen weiterhin auftritt, navigieren Sie zu Gerätedetails anzeigen , und führen Sie die Schritte dort aus.

Einblick in Defender Experts-Untersuchungen in Ihrer SIEM- oder ITSM-Anwendung erhalten

Wenn Defender Experts for XDR Incidents untersuchen und Abhilfemaßnahmen entwickeln, können Sie Einblick in ihre Arbeit an Incidents in Ihren SIEM-Anwendungen (Security Information and Event Management) und IT Service Management (ITSM) erhalten, einschließlich sofort verfügbarer Anwendungen.

Microsoft Sentinel

Sie können die Sichtbarkeit von Vorfällen in Microsoft Sentinel erhalten, indem Sie den sofort einsatzbereiten Microsoft Defender XDR Datenconnector aktivieren. Weitere Informationen.

Nachdem Sie den Connector aktiviert haben, werden updates von Defender Experts für die Felder Status, Zugewiesen zu, Klassifizierung und Bestimmung in Microsoft Defender XDR in den entsprechenden Feldern Status, Besitzer und Grund für das Schließen in Sentinel angezeigt.

Hinweis

Die status von Defender-Experten in Microsoft Defender XDR in der Regel von Aktiv zu In Bearbeitung zu Awaiting Customer Action to Resolved übergehen, während sie in Sentinel dem Pfad Neu zu Aktiv bis Aufgelöst folgt. Das Microsoft Defender XDR Status Awaiting Customer Action enthält kein entsprechendes Feld in Sentinel. Stattdessen wird es als Tag in einem Incident in Sentinel angezeigt.

Im folgenden Abschnitt wird beschrieben, wie ein von unseren Experten behandelter Incident in Sentinel aktualisiert wird, während er die Untersuchungsreise durchläuft:

  1. Ein Vorfall, der von unseren Experten untersucht wird, weist den Status als Aktiv und den Besitzer als Defender-Experten auf.
  2. Ein Incident, den unsere Experten als wahr positiv bestätigt haben, verfügt über eine verwaltete Antwort, die in Microsoft Defender XDR veröffentlicht wurde, und ein Tagawaiting Customer Action und der Besitzer werden als Kunde aufgeführt. Sie müssen basierend auf der bereitgestellten verwalteten Antwort auf den Incident reagieren.
  3. Sobald unsere Experten ihre Untersuchung abgeschlossen und einen Vorfall als Falsch positiv oder Information, erwartete Aktivität geschlossen haben, wird der Status des Vorfalls in Gelöst aktualisiert, der Besitzer wird auf Nicht zugewiesen aktualisiert und ein Grund für die Schließung angegeben.

Screenshot: Microsoft Sentinel Incidents

Andere Anwendungen

Sie können Einblick in Incidents in Ihrer SIEM- oder ITSM-Anwendung erhalten, indem Sie die Microsoft Defender XDR-API oder Connectors in Sentinel verwenden.

Nach dem Konfigurieren eines Connectors können die Updates von Defender Experts zu den Feldern Status, Zugewiesen zu, Klassifizierung und Bestimmung eines Incidents in Microsoft Defender XDR mit den SIEM- oder ITSM-Anwendungen von Drittanbietern synchronisiert werden, je nachdem, wie die Feldzuordnung implementiert wurde. Zur Veranschaulichung können Sie einen Blick auf den Connector werfen, der von Sentinel zu ServiceNow verfügbar ist.

Abrufen von Echtzeitsichtbarkeit mit Defender Experts for XDR Berichten

Defender Experts for XDR enthält einen interaktiven, bedarfsgesteuerten Bericht, der eine klare Zusammenfassung der Arbeit bietet, die unsere erfahrenen Analysten in Ihrem Namen ausführen, aggregierte Informationen zu Ihrer Incidentlandschaft und präzise Details zu bestimmten Vorfällen. Ihr Service Delivery Manager (SDM) verwendet den Bericht auch, um Ihnen während einer monatlichen Geschäftsüberprüfung mehr Kontext in Bezug auf den Dienst bereitzustellen.

Screenshot: Defender Experts for XDR Bericht.

Jeder Abschnitt des Berichts ist so konzipiert, dass er in Echtzeit mehr Erkenntnisse zu den Vorfällen liefert, die unsere Experten in Ihrer Umgebung untersucht und gelöst haben. Sie können auch den Datumsbereich auswählen, um detaillierte Informationen zu Vorfällen basierend auf Schweregrad und Kategorie zu erhalten und die Zeit zu verstehen, die für die Untersuchung und Behebung eines Incidents während eines bestimmten Zeitraums benötigt wird.

Grundlegendes zum Defender Experts for XDR-Bericht

Der oberste Abschnitt des Defender Experts for XDR-Berichts enthält den Prozentsatz der Vorfälle, die wir in Ihrer Umgebung behoben haben, und bietet Ihnen Transparenz bei unseren Vorgängen. Dieser Prozentsatz ergibt sich aus den folgenden Zahlen, die ebenfalls im Bericht dargestellt werden:

  • Untersucht : Die Anzahl der aktiven Bedrohungen und anderen Vorfälle aus Ihrer Incidentwarteschlange, die wir selektieren, untersuchen oder derzeit im Rahmen unseres Bereichs untersuchen.
  • Gelöst : Die Gesamtzahl der untersuchten Vorfälle, die geschlossen wurden.
  • Direkt gelöst : Die Anzahl der untersuchten Vorfälle, die wir direkt in Ihrem Namen schließen konnten.
  • Mit Ihrer Hilfe behoben : Die Anzahl der untersuchten Vorfälle, die aufgrund Ihrer Aktion für eine oder mehrere verwaltete Antwortaufgaben behoben wurden.

Im Abschnitt Durchschnittliche Zeit zum Beheben von Vorfällen wird ein Balkendiagramm der durchschnittlichen Zeit in Minuten angezeigt, die unsere Experten für die Untersuchung und Das Schließen von Vorfällen in Ihrer Umgebung aufgewendet haben, sowie der durchschnittlichen Zeit, die Sie mit der Durchführung der erforderlichen verwalteten Reaktionsaktionen verbracht haben.

In den Abschnitten Incidents nach Schweregrad, Incidents nach Kategorie und Incidents nach Dienstquelle werden aufgelöste Vorfälle nach Schweregrad, Angriffstechnik und Quelle des Microsoft-Sicherheitsdiensts aufgeschlüsselt. In diesen Abschnitten können Sie potenzielle Angriffspunkte und Arten von Bedrohungen identifizieren, die in Ihrer Umgebung erkannt werden, deren Auswirkungen bewerten und Strategien entwickeln, um sie zu mindern und zu verhindern. Wählen Sie Incidents anzeigen aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Auswahlen zu erhalten, die Sie in den beiden Abschnitten getroffen haben.

Im Abschnitt Am stärksten betroffene Ressourcen werden die Benutzer und Geräte in Ihrer Umgebung angezeigt, die während des ausgewählten Datumsbereichs an der meisten Anzahl von Vorfällen beteiligt waren. Sie können die Anzahl der Vorfälle sehen, an denen jede Ressource beteiligt war. Wählen Sie ein Medienobjekt aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Vorfällen zu erhalten, die das genannte Medienobjekt enthalten.

Proaktive verwaltete Suche

Defender Experts for XDR umfasst auch die proaktive Bedrohungssuche, die von Microsoft Defender Experts for Hunting angeboten wird. Defender Experts for Hunting wurde für Kunden erstellt, die über ein robustes Security Operations Center verfügen, aber microsoft dabei helfen soll, Bedrohungen mithilfe von Microsoft Defender Daten proaktiv zu suchen. Dieser dienst für die proaktive Bedrohungssuche geht über den Endpunkt hinaus und sucht über Endpunkte, Office 365, Cloudanwendungen und Identität hinweg. Unsere Experten untersuchen alles, was sie finden, und übergeben dann die kontextbezogenen Warnungsinformationen zusammen mit Korrekturanweisungen, damit Sie schnell reagieren können.

Anfordern erweiterter Bedrohungskompetenz bei Bedarf

Wählen Sie Direkt im Microsoft Defender XDR-Portal Defender-Experten stellen aus, um schnelle und genaue Antworten auf alle Ihre Bedrohungsfragen zu erhalten. Experten können Erkenntnisse liefern, um die komplexen Bedrohungen, denen Ihre organization ausgesetzt sein könnten, besser zu verstehen. Wenden Sie sich an einen Experten, um:

  • Sammeln Sie zusätzliche Informationen zu Warnungen und Vorfällen, einschließlich der Grundursachen und des Umfangs.
  • Verschaffen Sie sich Klarheit über verdächtige Geräte, Warnungen oder Vorfälle, und erhalten Sie die nächsten Schritte, wenn Sie mit einem fortgeschrittenen Angreifer konfrontiert sind.
  • Ermitteln Sie Risiken und verfügbare Schutzmaßnahmen im Zusammenhang mit Aktivitätsgruppen, Kampagnen oder neuen Angreifertechniken.

Hinweis

Ask Defender Experts ist kein Reaktionsdienst für Sicherheitsvorfälle. Es soll ein besseres Verständnis der komplexen Bedrohungen bieten, die Sich auf Ihre organization auswirken. Engage mit Ihrem eigenen Team zur Reaktion auf Sicherheitsvorfälle zusammen, um dringende Probleme bei der Reaktion auf Sicherheitsvorfälle zu beheben. Wenn Sie kein eigenes Team für die Reaktion auf Sicherheitsvorfälle haben und Hilfe von Microsoft wünschen, erstellen Sie eine Supportanfrage im Premier Services Hub.

Die Option Zum Fragen von Defender-Experten ist auf den Incidents- und Warnungsseiten verfügbar, auf denen Sie kontextbezogene Fragen zu einem bestimmten Incident oder einer warnung stellen können:

  • Flyoutmenü der Seite "Warnungen":

Screenshot der Menüoption

  • Menü "Incidents page actions" (Aktionen der Seite "Incidents"):

IScreenshot der Menüoption Ask Defender Experts im Menü

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.