Lue englanniksi

Jaa


Microsoft Defender Experts for XDR:n käytön aloittaminen

Koskee seuraavia:

Katso perehdytysohjeet tästä lyhyestä videosta.

Kun Defender Experts for XDR -tiimi on valmis ottamaan organisaatiosi käyttöön, saat tervetulosähköpostin, jossa voit jatkaa asennusta ja päästä alkuun.

Valitse tervetulosähköpostin linkki, niin Defender Experts -asetukset määritetään suoraan Microsoft Defender -portaalissa. Voit avata tämän määrityksen myös siirtymällä kohtaan Asetukset>Defenderin asiantuntijat ja valitsemalla Aloittaminen.

Näyttökuva Defender for Expertsin XDR-asetusten vaiheittaisen oppaan Aloitus-sivusta.

Myönnä käyttöoikeuksia asiantuntijoillemme

Tärkeä

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Defender Experts for XDR edellyttää oletusarvoisesti palveluntarjoajan käyttöoikeutta , jonka avulla asiantuntijamme voivat kirjautua vuokraajaasi ja tarjota palveluita määritettyjen käyttöoikeusroolien perusteella. Lisätietoja vuokraajien välisistä käyttöoikeuksista

Sinun on myös myönnettävä asiantuntijoillemme jompikumpi tai molemmat seuraavista käyttöoikeuksista:

  • Tutki tapauksia ja opasta vastauksiani (oletus) – Tämän vaihtoehdon avulla asiantuntijamme voivat ennakoivasti seurata ja tutkia tapauksia ja opastaa sinua tarvittavissa reagointitoimissa. (Käyttöoikeustaso: Suojauksen lukija)
  • Reagoi suoraan aktiivisiin uhkiin (suositus) – Tämän vaihtoehdon avulla asiantuntijamme voivat sisältää ja korjata aktiiviset uhat välittömästi tutkiessaan, mikä vähentää uhan vaikutusta ja parantaa yleistä vastaustehokkuuttasi. (Käyttöoikeustaso: Suojausoperaattori)

Näyttökuva Poissulkemisten hallinta -vaihtoehdosta määritettäessä Defender Experts for XDR:ää.

Tärkeä

Jos ohitat lisäoikeuksien myöntämisen, asiantuntijamme eivät voi ryhtyä tiettyihin vastaustoimintoihin organisaatiosi suojaamiseksi.

Vaikka asiantuntijoillemme on myönnetty nämä suhteellisen tehokkaat käyttöoikeudet, he voivat käyttää tiettyjä alueita vain rajoitetun ajan. Lue lisätietoja siitä, miten XDR-käyttöoikeuksien Defender-asiantuntijat toimivat

Asiantuntijoiden käyttöoikeuksien myöntäminen:

  1. Valitse samojen Defender-asiantuntijoiden asetusten määrityksen Käyttöoikeudet-kohdasta käyttöoikeustaso tai -tasot, jotka haluat myöntää asiantuntijoillemme.

  2. Jos haluat jättää laite- ja käyttäjäryhmät pois korjaustoimista, valitse Hallitse poissulkemisia.

  3. Lisää yhteyshenkilöitä tai ryhmiä valitsemalla Seuraava.

Jos haluat muokata tai päivittää käyttöoikeuksia ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defenderin asiantuntijoiden>käyttöoikeudet.

Laitteiden ja käyttäjien jättäminen pois korjauksista

Defender Experts for XDR:n avulla voit sulkea laitteita ja käyttäjiä pois asiantuntijoiden toteuttamista korjaustoimista ja saada sen sijaan korjausohjeita näille entiteeteille. Nämä poikkeukset perustuvat Microsoft Defender for Endpointin tunnistettuihin laiteryhmiin ja Microsoft Entra -tunnuksen käyttäjäryhmiin .

Laiteryhmien jättäminen pois:

  1. Siirry samojen Defender-asiantuntijoiden asetusten määrityksen Poikkeukset-kohdassaLaiteryhmät-välilehteen .

  2. Valitse + Lisää laiteryhmiä, etsi ja valitse laiteryhmät, jotka haluat jättää pois.

    Huomautus

    Tällä sivulla luetellaan vain aiemmin luodut laiteryhmät. Jos haluat luoda uuden laiteryhmän, siirry ensin Microsoft Defender -portaalin Defender for Endpoint -asetuksiin. Päivitä sitten tämä sivu, jos haluat etsiä ja valita juuri luodun ryhmän. Lisätietoja laiteryhmien luomisesta

  3. Valitse Lisää laiteryhmiä.

  4. Tarkista Laiteryhmät-välilehdessä luettelo pois jätetyistä laiteryhmistä. Jos haluat poistaa laiteryhmän poissulkemisluettelosta, valitse se ja valitse sitten Poista laiteryhmä.

  5. Vahvista poissulkemisluettelosi valitsemalla Seuraava ja lisää yhteyshenkilöt tai ryhmät. Muussa tapauksessa valitse Ohita, niin kaikki lisäpoikkeukset hylätään.

Näyttökuva vaihtoehdosta, jonka mukaan laiteryhmiä ei voi jättää pois.

Käyttäjäryhmien jättäminen pois:

  1. Siirry Samojen Defender-asiantuntijoiden asetusten määrityksen Poikkeukset-kohdassaKäyttäjäryhmät-välilehteen .

  2. Valitse + Lisää käyttäjäryhmiä, etsi ja valitse käyttäjäryhmät, jotka haluat jättää pois.

    Huomautus

    Tällä sivulla luetellaan vain aiemmin luodut käyttäjäryhmät. Jos haluat luoda uuden käyttäjäryhmän, sinun on ensin kirjauduttava Microsoft Entra ID -hallintakeskukseen yleisenä järjestelmänvalvojana. Päivitä sitten tämä sivu, jos haluat etsiä ja valita juuri luodun ryhmän. Lisätietoja käyttäjäryhmien luomisesta

  3. Valitse Lisää käyttäjäryhmiä.

  4. Tarkista Käyttäjäryhmät-välilehdessä pois jätettyjen käyttäjäryhmien luettelo. Jos haluat poistaa käyttäjäryhmän poissulkemisluettelosta, valitse se ja valitse sitten Poista käyttäjäryhmä.

  5. Vahvista poissulkemisluettelosi valitsemalla Seuraava ja lisää yhteyshenkilöt tai ryhmät. Muussa tapauksessa valitse Ohita, niin kaikki lisäpoikkeukset hylätään.

Näyttökuva käyttäjäryhmien poisjäljestämiseksi XDR:n Defender Experts -toiminnossa.

Huomautus

Voit sulkea käyttäjiä pois vain lisäämällä heidät Microsoft Entra ID -käyttöoikeusryhmään. On-prem Entra ID -käyttäjiä ei voi sulkea pois tällä hetkellä.

Jos haluat muokata tai päivittää poissulkemisia ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defenderin asiantuntijoiden>poikkeukset ja siirry sitten Laiteryhmät - tai Käyttäjäryhmät-välilehteen .

Kerro, keneen ottaa yhteyttä tärkeiden asioiden vuoksi

Defender Experts for XDR:n avulla voit määrittää organisaatiosi henkilöt tai ryhmät, joille on ilmoitettava tärkeistä tapahtumista, palvelupäivityksistä, satunnaisista kyselyistä ja muista suosituksista:

  • Tapausilmoitusten yhteyshenkilöt – Nämä yhteyshenkilöt ovat henkilöitä tai tiimejä, joille voimme ilmoittaa hallitun vastauksen toiminnoista tai mistä tahansa tiedonsiirrosta, joka edellyttää välitöntä reagointia. Koska viestintä on kiireellistä, suosittelemme, että nämä yhteystiedot ovat aina käytettävissä.
  • Palveluarvioinnin yhteyshenkilöt – Nämä ovat henkilöitä tai tiimejä, joiden kanssa voimme olla yhteydessä palvelun toimitustiimin jatkuviin tietoturvatiedotteihin.

Tunnistamisen jälkeen henkilöt tai ryhmät saavat sähköpostiviestin, jossa ilmoitetaan, että he olivat yhteyshenkilö tapahtumailmoitusta tai palvelutarkistusta varten.

Näyttökuva Tapausten yhteystiedot -sivusta Defender for Expertsin XDR-asetusten vaiheittaisessa oppaassa.

Ilmoitusyhteyshenkilöiden lisääminen:

  1. Etsi ja lisää yhteyshenkilösi tai tiimisi annettuun tekstikenttään samojen Defender-asiantuntijoiden asetusten määrityksen Yhteystiedot-kohdasta.

  2. Lisää puhelinnumero (valinnainen), jota Defenderin asiantuntijat voivat kutsua asioihin, jotka edellyttävät välitöntä huomiota.

  3. Valitse avattavasta Ota yhteyttä valikostaTapausilmoitus tai Palvelutarkistus.

  4. Valitse Lisää.

  5. Valitse Seuraava vahvistaaksesi yhteystietoluettelosi ja siirtyäksesi luomaan Teams-kanavan , jossa voit myös vastaanottaa tapausilmoituksia.

Jos haluat muokata tai päivittää ilmoituksen yhteyshenkilöitä ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defenderin asiantuntijat>Ilmoitus yhteystiedot.

Näyttökuva ilmoituksen yhteyshenkilöistä.

Hallittujen vastausten ilmoitusten ja päivitysten vastaanottaminen Microsoft Teamsissa

Sähköpostin ja portaalikeskustelun lisäksi voit halutessasi käyttää Microsoft Teamsia saadaksesi päivityksiä hallituista vastauksista ja viestiäksesi asiantuntijoidemme kanssa reaaliaikaisesti. Kun tämä asetus on käytössä, luodaan uusi ryhmä nimeltä Defender Experts -tiimi , jossa jatkuviin tapauksiin liittyvät hallitun vastauksen ilmoitukset lähetetään uusina kirjoituksina Hallitut vastaus -kanavalla. Lisätietoja Teams-keskustelun käyttämisestä

Tärkeä

Defender-asiantuntijat voivat käyttää kaikkia viestejä, jotka on julkaistu millä tahansa kanavalla luodussa Defender Experts -tiimissä. Jos haluat estää Defender-asiantuntijoita käyttämästä tämän ryhmän viestejä, siirry Teamsin sovellukset -kohtaan ja siirry kohtaan Sovellusten> hallintaDefender-asiantuntijoiden>poistaminen. Tätä poistotoimintoa ei voi kumota.

Teams-ilmoitusten ja keskustelun ottaminen käyttöön:

  1. Valitse samassa Defender-asiantuntijoiden asetusten määrityksessä Tiimit-kohdassaViesti Teamsissa -valintaruutu.

  2. Tarkista asetukset valitsemalla Seuraava .

  3. Valitse Lähetä. Vaiheittaiset ohjeet viimeistelevät ensimmäisen määrityksen.

  4. Valitse Näytä valmiuden arviointi suorittaaksesi tarvittavat toiminnot suojaustilan optimoimiseksi.

Huomautus

Jotta voit määrittää Defender Experts Teams -sovelluksen, sinulla on oltava joko yleinen järjestelmänvalvojan tai suojauksen järjestelmänvalvojan rooli ja Microsoft Teams -käyttöoikeus.

Jos haluat ottaa teams-ilmoitukset ja keskustelun käyttöön ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defender-asiantuntijat>Teams.

Näyttökuva Teamsin aktivointivaihtoehdosta hallitun vastauksen vastaanottamista varten.

  • Voit lisätä uusia jäseniä kanavaan siirtymällä Defender Experts -tiimiin>Lisää vaihtoehtoja (...)>Ryhmän> hallintaLisää jäsen.
  • Voit rajoittaa tähän tiimiin liittymistä siirtymällä Defender Experts -tiimiin>Lisää vaihtoehtoja (...)>Asetukset>Muokata>Ryhmän> hallintaYksityinen.

Ympäristön valmisteleminen Defender Experts -palvelua varten

Perehdyttämispalvelun toimituksen lisäksi Microsoft Defender XDR -tuoteohjelmiston asiantuntemuksen avulla Defender Experts for XDR voi suorittaa valmiusarvioinnin ja auttaa sinua saamaan kaiken hyödyn irti Microsoftin suojaustuotteistasi.

Valmiuden arviointi perustuu ympäristössäsi olevien suojattujen laitteiden ja käyttäjätietojen määrään sekä Defender-asiantuntijoiden käytäntösuosituksiin. Jos haluat tarkastella arviointia, siirry Microsoft Defender -portaalissa kohtaan Asetukset>Defenderin asiantuntijat ja valitse sitten Palvelun tila.

Näyttökuva valmiuden arviointiympäristöstä.

Valmiusarvioinnissa on kaksi osaa:

  • Tarvittavat toiminnot – Tässä osiossa näytetään niiden toimintojen tai suojausasetusten määrä, jotka sinun on suoritettava, jotka ovat käynnissä tai jotka on suoritettu. Nämä toiminnot on lueteltu sivun alaosassa olevassa taulukossa.

    Luettelossa esitellään tarvittavat vaiheet, jotka sinun on suoritettava ennen palvelun aloittamista. Priorisoi toiminnot, joilla on Valmis nyt -tila, jotta Defender Experts for XDR -palvelu käynnistyy aikaisemmin.

    Huomautus

    Suojausasetusten uusimman tilan saaminen voi kestää jopa 24 tuntia.

  • Suojatut resurssit – Tässä osiossa näytetään suojattujen laitteiden ja käyttäjätietojen nykyinen määrä verrattuna laitteisiin, joita sinun on vielä suojattava, jotta XDR-palvelun Defender-asiantuntijat voidaan käynnistää.

    Luvut perustuvat Defender for Endpointiin ja Defender for Identity -käyttöoikeuksiin. Jotta voit saavuttaa tämän suojattujen resurssien kohdemäärän, lisää laitteita Defender for Endpointiin tai asenna lisää Defender for Identity -tunnistimia.

Tärkeä

Defender Experts for XDR tarkistaa valmiusarvioinnin säännöllisesti, varsinkin jos ympäristössäsi on muutoksia, kuten uusien laitteiden ja käyttäjätietojen lisääminen. On tärkeää, että valvot ja suoritat valmiuden arvioinnin säännöllisesti alkuperäisen perehdyttämisen jälkeen varmistaaksesi, että ympäristössäsi on vahva suojaustila riskien vähentämiseksi.

Kun olet suorittanut kaikki vaaditut tehtävät ja täyttänyt valmiusarvioinnin perehdytystavoitteet, palvelun toimituspäällikkö (SDM) aloittaa XDR-palvelun Defender Experts for XDR -palvelun valvontavaiheen, jossa asiantuntijamme alkavat muutaman päivän ajan seurata ympäristöäsi tarkasti piilevien uhkien, riskilähteiden ja normaalin toiminnan tunnistamiseksi. Kun ymmärrämme kriittiset resurssisi paremmin, voimme virtaviivaistaa palvelua ja hienosäätää vastauksiamme.

Kun asiantuntijamme alkavat tehdä kattavaa reagointityötä puolestasi, alat vastaanottaa ilmoituksia tapauksista , jotka edellyttävät korjausvaiheita ja kohdennettuja suosituksia kriittisissä tapahtumissa. Voit myös keskustella asiantuntijoiden tai SDM:ien kanssa tärkeistä kyselyistä ja säännöllisistä liiketoiminta- ja tietoturva-tilan tarkistuksista. Lisäksi voit tarkastella reaaliaikaisia raportteja siitä, kuinka monta tapausta olemme tutkineet ja ratkaisseet puolestasi.

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.