Beginnen Sie mit der Verwendung von Microsoft Defender Experts für die Suche
Gilt für:
Onboarding
Wenn Sie noch nicht mit Microsoft Defender XDR und Defender Experts for Hunting sind:
- Wenn Sie Ihre Willkommens-E-Mail erhalten haben, wählen Sie Bei Microsoft Defender XDR anmelden aus.
- Melden Sie sich an, wenn Sie bereits über ein Microsoft-Konto verfügen. Wenn keines vorhanden ist, erstellen Sie eine.
- Die Schnellübersicht zu Microsoft Defender XDR macht Sie mit der Sicherheitssuite vertraut, wo die Funktionen sind und wie wichtig sie sind. Wählen Sie Kurze Tour machen aus.
- Lesen Sie die kurzen Beschreibungen über den Microsoft Defender Experts-Dienst und die funktionen, die er bietet. Wählen Sie Weiter aus. Die Willkommensseite wird angezeigt:
Empfangen von Benachrichtigungen für Defender-Experten
Der Defender Experts-Benachrichtigungsdienst umfasst Folgendes:
- Bedrohungsüberwachung und -analyse, reduzierung der Verweilzeit und des Risikos für Ihr Unternehmen
- Hunter-trainierte künstliche Intelligenz, um sowohl bekannte Angriffe als auch neue Bedrohungen zu entdecken und zu erreichen
- Identifizierung der relevantesten Risiken, um SOCs dabei zu helfen, ihre Wirksamkeit zu maximieren
- Hilfe beim Eingrenzen von Kompromissen und so viel Kontext wie möglich, um eine schnelle SOC-Antwort zu ermöglichen
Sehen Sie sich den folgenden Screenshot an, um eine Beispielbenachrichtigung für Defender-Experten anzuzeigen:
Benachrichtigungen zu Defender-Experten
Sie können Defender Experts-Benachrichtigungen von Defender-Experten über die folgenden Medien erhalten:
- Seite " Incidents " im Microsoft Defender-Portal
- Die Seite "Warnungen" im Microsoft Defender-Portal
- OData-Warnungs-API und REST-API
- Tabelle "DeviceAlertEvents" in der erweiterten Suche
- Ihre E-Mail-Adresse, wenn Sie eine E-Mail-Benachrichtigungsregel konfigurieren
Filtern, um nur die Defender Experts-Benachrichtigungen anzuzeigen
Sie können Ihre Incidents und Warnungen filtern, wenn Sie nur die Defender Experts-Benachrichtigungen unter den vielen Warnungen anzeigen möchten. Gehen Sie hierzu folgendermaßen vor:
- Wechseln Sie im Navigationsmenü zu Incidents & Warnungen>Incidents> wählen Sie das aus.
- Scrollen Sie nach unten zu Dienst-/Erkennungsquellen , und aktivieren Sie dann die Kontrollkästchen Microsoft Defender-Experten unter Microsoft Defender für Endpunkt und Microsoft Defender XDR.
- Wählen Sie Anwenden aus.
Einrichten von Defender Experts-E-Mail-Benachrichtigungen
Sie können Microsoft Defender XDR einrichten, um Sie oder Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Updates bestehender Vorfälle zu informieren, einschließlich der von Microsoft Defender-Experten beobachteten Vorfälle. Weitere Informationen zum Abrufen von Incidentbenachrichtigungen per E-Mail
- Wählen Sie im Microsoft Defender XDR-Navigationsbereich Einstellungen>Microsoft Defender XDR>E-Mail-Benachrichtigungen>Incidents aus.
- Aktualisieren Sie Ihre vorhandenen E-Mail-Benachrichtigungsregeln, oder erstellen Sie eine neue. Weitere Informationen finden Sie unter Überwachung.
- Stellen Sie auf der Seite Benachrichtigungseinstellungen der Regel sicher, dass Sie Folgendes konfigurieren:
- Quelle: Wählen Sie Microsoft Defender-Experten unter Microsoft Defender XDR und Microsoft Defender für Endpunkt aus.
- Warnungsschweregrad : Wählen Sie die Warnungsschweregrade aus, die eine Incidentbenachrichtigung auslösen. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie „Hoch“ aus.
Generieren von Defender Experts-Beispielbenachrichtigungen
Sie können eine Defender Experts-Beispielbenachrichtigung generieren, um mit dem Defender Experts for Hunting-Dienst zu beginnen, ohne auf eine tatsächliche kritische Aktivität in Ihrer Umgebung warten zu müssen. Durch das Generieren einer Beispielbenachrichtigung können Sie auch die E-Mail-Benachrichtigungen testen, die Sie möglicherweise zuvor im Microsoft Defender-Portal für diesen Dienst konfiguriert haben, sowie die Konfiguration von Playbooks (sofern für solche Benachrichtigungen konfiguriert) und Regeln in Ihrer SIEM-Umgebung (Security Information and Event Management) testen.
Auf Ihrer Seite " Incidents " wird eine Beispielbenachrichtigung für Defender-Experten mit dem Titel Defender Experts: Test Notification from Microsoft Defender Experts (Defender-Experten: Testbenachrichtigung von Microsoft Defender-Experten) angezeigt. Die Inhalte der Benachrichtigung sind Platzhaltertexte, während die anderen Elemente wie Warnungen nach dem Zufallsprinzip aus Ereignissen generiert werden, die in Ihrem Mandanten vorhanden sind und nicht tatsächlich betroffen sind.
So generieren Sie eine Beispielbenachrichtigung:
- Wechseln Sie in Ihrem Microsoft Defender XDR-Navigationsbereich zu Einstellungen>Defender-Experten , und wählen Sie dann Beispielbenachrichtigungen aus.
- Wählen Sie Beispielbenachrichtigung generieren aus. Eine grüne Statusmeldung wird angezeigt, die bestätigt, dass Ihre Beispielbenachrichtigung zur Überprüfung bereit ist.
- Wählen Sie unter Zuletzt generierte Defender-Expertenbenachrichtigung einen Link aus der Liste aus, um die entsprechende generierte Beispielbenachrichtigung anzuzeigen. Das neueste Beispiel wird oben in der Liste angezeigt. Wenn Sie einen Link auswählen, werden Sie zur Seite Incidents weitergeleitet.
Nächster Schritt
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.