Jaa

Defender Expertsin käytön aloittaminen XDR-palvelussa

  • Artikkeli

Koskee seuraavia:

Kun olet suorittanut Microsoft Defender experts for XDR:n käyttöönotto- ja valmiustarkistukset , asiantuntijamme alkavat valvoa ympäristöäsi ja virtaviivaistaa palvelua, jotta voimme suorittaa kattavan palvelun puolestasi. Tässä vaiheessa asiantuntijamme tunnistavat piilevät uhat, riskin lähteet ja normaalin toiminnan.

Kun asiantuntijamme alkavat tehdä kattavaa reagointityötä puolestasi, alat vastaanottaa ilmoituksia tapauksista, jotka edellyttävät korjausvaiheita ja kohdennettuja suosituksia kriittisissä tapahtumissa. Voit myös keskustella asiantuntijoidemme tai palveluvastaavien (SDM) kanssa tärkeistä kyselyistä ja säännöllisistä liiketoiminta- ja tietoturva-tilan tarkistuksista ja tarkastella reaaliaikaisia raportteja siitä, kuinka monta tapausta olemme tutkineet ja ratkaisseet puolestasi.

Hallittu tunnistaminen ja reagointi

Automaation ja inhimillisen asiantuntemuksen yhdistelmän avulla Defender Experts for XDR triages Microsoft Defender XDR -tapaukset priorisoi ne puolestasi, suodattaa melun pois, suorittaa yksityiskohtaisia tutkimuksia ja tarjoaa toiminnallisia hallittuja vastauksia tietoturvakeskustiimeillesi.

Tapauspäivitykset

Kun asiantuntijamme alkavat tutkia tapausta, tapahtuman Vastuuhenkilö - ja Tila-kentät päivitetään Defender-asiantuntijoilleja Keskeneräiset.

Kun asiantuntijamme saavat tapauksen tutkimuksensa päätökseen, tapahtuman Luokitus-kenttä päivitetään johonkin seuraavista asiantuntijoiden havaintojen mukaan:

  • True-positiivinen
  • Epätosi-positiivinen
  • Tiedota, odotettu toiminto

Kuhunkin luokitukseen liittyvä Määritys-kenttä päivitetään myös, jotta saadaan enemmän merkityksellisiä tietoja havainnoista, jotka saivat asiantuntijamme määrittämään kyseisen luokituksen.

Näyttökuva Tapahtumat-sivusta, jossa näkyvät Tunnisteet-, Tila-, Vastuuhenkilö-, Luokitus- ja Määritys-kentät.

Jos tapaus on luokiteltu arvoksi False Positive tai Informational, Expected Activity, tapahtuman Tila-kentän arvoksi päivitetään Ratkaistu. Asiantuntijamme saavat sitten päätökseen työnsä tämän tapauksen parissa, ja Vastuuhenkilöt-kenttä päivitetään määrittämättömään. Asiantuntijamme voivat jakaa päivityksiä tutkimuksistaan ja johtopäätöksistään tapauksen ratkaisemisen yhteydessä. Nämä päivitykset julkaistaan tapahtuman Kommentit ja historia -pikaikkunapaneelissa.

Huomautus

Tapauskommentit ovat yksisuuntaisia viestejä. Defender Experts ei voi vastata kommentteihin tai kysymyksiin, jotka lisäät Kommentit ja historia -paneeliin. Lisätietoja siitä, miten voit vastata asiantuntijoillemme, on artikkelissa Kommunikointi asiantuntijoiden kanssa Microsoft Defender Experts for XDR -palvelussa.

Muussa tapauksessa, jos tapaus luokitellaan true-positiiviseksi, asiantuntijamme tunnistavat vaaditut vastaustoiminnot, jotka on suoritettava. Toimintojen suoritustapa määräytyy niiden käyttöoikeuksien ja käyttöoikeustasojen mukaan, jotka olet antanut Defender Experts for XDR -palvelulle. Lue lisätietoja käyttöoikeuksien myöntämisestä asiantuntijoillemme.

  • Jos olet myöntänyt XDR-asiantuntijoille suositellut suojausoperaattorin käyttöoikeudet, asiantuntijamme voivat suorittaa vaaditut vastaustoiminnot tapahtumassa puolestasi. Nämä toiminnot sekä tutkimusyhteenveto näkyvät Tapahtuman Hallitut vastaus -pikaikkunaruudussa Microsoft Defender -portaalissa sinun tai SOC-tiimisi tarkistettavaksi. Kaikki toiminnot, jotka Defender-asiantuntijat ovat suorittaneet XDR:lle, näkyvät Valmiit toiminnot -osassa. Kaikki odottavat toiminnot, jotka edellyttävät sinun tai SOC-ryhmän valmistumista, luetellaan Odottavat toiminnot -osassa. Lisätietoja on Toiminnot-osassa . Kun asiantuntijamme ovat ryhtyneet kaikkiin tarvittaviin toimiin tapahtuman suhteen, sen Tila-kenttä päivitetään Ratkaistu-kenttään ja Vastuuhenkilö-kenttään päivitetään Määrittämätön.

  • Jos olet myöntänyt Defender Experts for XDR:lle oletusarvoisen suojauksenlukijan käyttöoikeuden, vaaditut vastaustoiminnot sekä Tutkimus-yhteenveto näkyvät tapahtuman Hallitun vastauksen pikaikkuna -paneelissa Microsoft Defender -portaalin Odottavat toiminnot -osiossa sinun tai SOC-tiimisi suoritettavaksi. Lisätietoja on Toiminnot-osassa . Tämän luovutuksen tunnistamiseksi tapahtuman Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia ja Vastuuhenkilö-kenttään päivitetään Asiakas.

Voit tarkistaa toimiasi edellyttävien tapausten määrän Defender Experts -bannerissa Microsoft Defenderin aloitussivun yläosassa.

Näyttökuva Defender Experts -kortista Microsoft Defender -portaalissa, joka näyttää asiakkaiden toimia odottavien tapausten määrän.

Jos haluat tarkastella tapauksia, joita asiantuntijamme ovat tutkineet tai tutkivat parhaillaan, suodata tapausjono Microsoft Defender -portaalissa Defender Experts -tunnisteen avulla.

Näyttökuva Microsoft Defender -portaalin Tapahtumat-jonosta suodatettu näyttämään vain ne, joilla on Defender Experts -tunniste.

Hallitun vastauksen käyttäminen Microsoft Defender XDR:ssä

Microsoft Defender -portaalissa tapaus, joka edellyttää käyttäjän toimia hallitun vastauksen avulla, on Määrittänyt Vastuuhenkilö-kentälle-kentän arvoksi Asiakas ja tehtäväkortin Tapahtumat-ruudun päälle. Määritetyt tapahtuman yhteyshenkilöt saavat myös vastaavan sähköposti-ilmoituksen, jossa on linkki Defender-portaaliin tapahtuman tarkastelemiseksi. Lue lisätietoja ilmoitusyhteystiedoista.

Valitse Näytä hallittu vastaus tehtäväkortissa tai portaalisivun yläreunassa (Hallittu vastaus -välilehti) avataksesi pikaikkunapaneelin, jossa voit lukea asiantuntijoidemme tutkimusyhteenvedon, suorittaa asiantuntijoidemme tunnistamia odottavia toimintoja tai käsitellä niitä keskustelun kautta.

Tutkimuksen yhteenveto

Tutkimuksen yhteenveto -osiossa on enemmän kontekstia tapahtumasta, jonka asiantuntijamme ovat analysoineet, jotta saat näkyvyyden sen vakavuudesta ja mahdollisista vaikutuksista, jos niitä ei käsitellä välittömästi. Se voi sisältää laitteen aikajanan, hyökkäyksen indikaattorit ja havaitut kompromissi-indikaattorit ja muita yksityiskohtia.

Näyttökuva hallitun vastauksen tutkinnan yhteenvedosta.

Toiminnot

Toiminnot-välilehdessä näkyvät tehtäväkortit, jotka sisältävät asiantuntijoiden suosittelemia vastaustoimintoja.

Defender Experts for XDR tukee tällä hetkellä seuraavia yhden napsautuksen hallittuja vastaustoimintoja:

Toiminta Kuvaus
Eristä laite Eristää laitteen, mikä estää hyökkääjää hallitsemasta sitä ja suorittamasta lisätoimia, kuten tietojen suodatusta ja sivuttaista siirtoa. Eristetty laite yhdistetään edelleen Microsoft Defender for Endpointiin.
Karanteenitiedosto Lopettaa prosessien suorittamisen, asettaa tiedostot karanteeniin ja poistaa pysyvät tiedot, kuten rekisteriavaimet.
Rajoita sovelluksen suoritusta Rajoittaa mahdollisesti haitallisten ohjelmien suorittamista ja lukitsee laitteen estääkseen uudet yritykset.
Eristyksestä vapauttaminen Kumoaa laitteen eristämisen.
Poista sovellusrajoitus Kumoaa eristyksestä vapauttamisen.

Näiden yhden napsautuksen toimintojen lisäksi voit myös saada asiantuntijoiltamme hallittuja vastauksia, jotka sinun on suoritettava manuaalisesti.

Huomautus

Ennen kuin suoritat suositeltuja hallitun vastauksen toimintoja, varmista, että automaattiset tutkimus- ja vastausmääritykset eivät ole vielä käsitelleet niitä. Lue lisää Microsoft Defender XDR:n automatisoiduista tutkimus- ja vastaustoiminnoista.

Hallitun vastauksen toimintojen tarkasteleminen ja suorittaminen:

  1. Laajenna toiminto ja lue lisätietoja vaaditusta toiminnosta valitsemalla toimintokortin nuolipainikkeet.

    Näyttökuva hallitun vastauksen toiminnosta, joka eristää laitteen palvelinversion.

  2. Valitse korteille, joissa on yhden napsautuksen vastaustoimintoja, vaadittu toiminto. Kortin Toiminnon tilaksi muuttuu Keskeneräinen, sitten Epäonnistunut tai Valmis toiminnon tuloksen mukaan.

    Näyttökuva hallitun vastauksen toiminnosta, joka näyttää käynnissä olevan laitepalvelimen eristämisen.

    Vihje

    Voit myös valvoa portaalinsisäisten vastaustoimintojen tilaa toimintokeskuksessa. Jos vastaustoiminto epäonnistuu, yritä tehdä se uudelleen Näytä laitteen tiedot -sivulla tai aloita keskustelu Defender-asiantuntijoiden kanssa.

  3. Jos kortissa on manuaalisia toimintoja, valitse Olen suorittanut tämän toiminnon , kun olet suorittanut ne, ja valitse sitten Kyllä, olen tehnyt sen avautuvassa vahvistusvalintaikkunassa.

    Näyttökuva hallitun vastauksen toiminnosta toiminnon valmistumisen vahvistamiseksi.

  4. Jos et halua suorittaa vaadittua toimintoa heti, valitse Ohita ja valitse sitten Kyllä, ohita tämä toiminto esiin tulevasta vahvistusvalintaikkunasta.

Tärkeää

Jos huomaat, että jokin toimintokorttien painikkeista näkyy harmaana, se voi tarkoittaa, että sinulla ei ole toiminnon suorittamiseen tarvittavia käyttöoikeuksia. Varmista, että olet kirjautunut Sisään Microsoft Defender XDR -portaaliin asianmukaisilla käyttöoikeuksilla. Useimmat hallitut vastaustoiminnot edellyttävät, että sinulla on vähintään suojausoperaattorin käyttöoikeus.

Jos kohtaat tämän ongelman, vaikka sinulla olisi asianmukaiset käyttöoikeudet, siirry kohtaan Näytä laitteen tiedot ja suorita vaiheet siitä.

Hae näkyvyys Defender Expertsin tutkimuksiin SIEM- tai ITSM-sovelluksessasi

Kun XDR:n Defender-asiantuntijat tutkivat tapauksia ja keksivät korjaustoimia, voit nähdä heidän työnsä tietoturvatietojen ja tapahtumien hallinnan (SIEM) ja IT-palvelun hallintasovellusten (ITSM) tapausten osalta, mukaan lukien sovellukset, jotka ovat käytettävissä.

Microsoft Sentinel

Voit saada tapahtumien näkyvyyden Microsoft Sentinelissä ottamalla käyttöön sen valmiin Microsoft Defender XDR -tietoliittimen. Lisätietoja.

Kun olet ottanut liittimen käyttöön, Defender Expertsin päivitykset Tila -,Vastuuhenkilö-, Luokitus- ja Määritys-kenttiin Microsoft Defender XDR:ssä näkyvät vastaavissa Sentinelin Tila-, Omistaja- ja Syy-kentissä .

Huomautus

Defender-asiantuntijoiden Microsoft Defender XDR:ssä tutkimien tapausten tila siirtyy yleensä aktiivisestakäynnissä olevasta odottaa asiakkaan toimiaratkaistuksi, kun taas Sentinelissä se seuraa Uusiaktiiviseksiratkaistuksi -polkua. Microsoft Defenderin XDR-tila odottaa asiakastoimintoa ei sisällä vastaavaa kenttää Sentinelissä. sen sijaan se näkyy tunnisteena Sentinelissä tapahtuneessa välikohtauksessa.

Seuraavassa osiossa kuvataan, miten asiantuntijoiden käsittelemä tapaus päivitetään Sentinelissä sen edetessä tutkintamatkan läpi:

  1. Asiantuntijoiden tutkiman tapauksen tilaksi on merkitty Aktiivinen ja OmistajaDefender-asiantuntijoiksi.
  2. Tapaus, jonka asiantuntijamme ovat vahvistaneet true-positiiviseksi , on saanut hallitun vastauksen Microsoft Defender XDR:ssä, ja tunnisteodottaa asiakastoimintoa ja omistaja näkyy asiakkaana. Sinun on toimittava tapahtuman mukaan annetun hallitun vastauksen perusteella.
  3. Kun asiantuntijamme ovat saaneet tutkimuksensa päätökseen ja sulkeneet tapahtuman epätosi-positiivisena tai tietoisena, odotettuna toimintona, tapahtuman tilaksi päivitetään Ratkaistu, omistaja päivitetään määrittämättömäksi ja sulkemisen syy annetaan.

Näyttökuva Microsoft Sentinel -tapauksista.

Muut sovellukset

Voit saada näkyvyyden siem- tai ITSM-sovelluksen tapauksiin käyttämällä Microsoft Defenderin XDR-ohjelmointirajapintaa tai Sentinel-liittimiä.

Kun olet määrittänyt liittimen, Defender Expertsin päivitykset tapahtuman tila-, vastuuhenkilö-, luokitus- ja määrityskenttiin Microsoft Defender XDR:ssä voidaan synkronoida kolmannen osapuolen SIEM- tai ITSM-sovellusten kanssa sen mukaan, miten kenttien yhdistäminen on toteutettu. Voit havainnollistaa sitä tutustumalla Sentinelistä ServiceNow-palveluun käytettävissä olevaan liittimeen.

Reaaliaikaisen näkyvyyden hankkiminen XDR-raporttien Defender Expertsin avulla

Defender Experts for XDR sisältää vuorovaikutteisen, pyydettäessä suoritettavan raportin, joka tarjoaa selkeän yhteenvedon siitä, mitä asiantuntija-analyytikot tekevät puolestasi, koostavat tietoja tapahtumamaisemastasi ja yksityiskohtaisia tietoja tietyistä tapauksista. Palvelun toimituspäällikkö (SDM) käyttää myös raporttia tarjotakseen palvelulle lisää kontekstia kuukausittaisen yritysarvioinnin aikana.

Näyttökuva Defender Experts for XDR -raportista.

Raportin jokainen osa on suunniteltu tarjoamaan enemmän merkityksellisiä tietoja tapauksista, joita asiantuntijamme tutkivat ja ratkaisivat ympäristössäsi reaaliajassa. Voit myös valita Päivämäärä-alueen saadaksesi yksityiskohtaisia tietoja tapauksista vakavuuden, luokan perusteella ja ymmärtääksesi ajan, joka tapahtuman tutkimiseen ja ratkaisemiseen kului tiettynä ajanjaksona.

Defender Experts for XDR -raportin ymmärtäminen

Defender Experts for XDR -raportin ylin osio sisältää niiden tapausten prosenttiosuuden, jotka selvitimme ympäristössäsi, ja tarjoaa sinulle läpinäkyvyyttä toiminnassamme. Tämä prosenttiosuus saadaan seuraavista luvuista, jotka esitetään myös raportissa:

  • Tutki – Niiden aktiivisten uhkien ja muiden tapausten määrä tapahtumajonosta, jotka lajittelemme, tutkimme tai tutkimme tällä hetkellä laajuudessamme.
  • Ratkaistu – Suljettujen tutkittujen tapausten kokonaismäärä.
  • Ratkaistu suoraan – Niiden tutkittujen tapahtumien määrä, jotka pystyimme sulkemaan suoraan puolestasi.
  • Ratkaistu sinun avullasi – Niiden tutkittujen tapahtumien määrä, jotka on ratkaistu yhden tai useamman hallitun vastaustehtävän vuoksi.

Keskimääräinen aika tapausten ratkaisemiseen -osio näyttää palkkikaavion keskimääräisestä ajasta minuutteina, jonka asiantuntijamme käyttivät ympäristösi tapausten tutkimiseen ja sulkemiseen sekä keskimääräisestä ajasta, jonka käytit vaadittujen hallittujen vastaustoimintojen suorittamiseen.

Tapaukset vakavuuden, tapausten luokan mukaan ja tapaukset palvelulähteen mukaan -osioissa erittelevät ratkaistut tapaukset vakavuuden, hyökkäystekniikan ja Microsoftin tietoturvapalvelulähteen mukaan. Näiden osioiden avulla voit tunnistaa ympäristössäsi havaitut mahdolliset hyökkäyksen aloituskohdat ja uhkien tyypit, arvioida niiden vaikutusta ja kehittää strategioita niiden lieventämiseksi ja estämiseksi. Valitse Näytä tapaukset , jos haluat suodatetun näkymän tapausjonosta kummassakin osiossa tekemiesi valintojen perusteella.

Eniten vaikuttavat resurssit -osiossa näkyvät ympäristösi käyttäjät ja laitteet, jotka osallistuivat eniten tapauksiin valitsemasi päivämääräalueen aikana. Voit nähdä niiden tapausten määrän, joissa kukin resurssi oli osallisena. Valitse resurssi, jotta saat suodatetun näkymän tapausjonosta sen perusteella, mitä tapauksia kyseinen resurssi sisälsi.

Ennakoiva hallittu metsästys

Defender Experts for XDR sisältää myös Microsoft Defender -asiantuntijoiden tarjoaman ennakoivan uhkien metsästyksen metsästystä varten. Defender Experts for Hunting luotiin asiakkaille, joilla on vankka tietoturvakeskus, mutta jotka haluavat Microsoftin auttavan heitä etsimään uhkia ennakoivasti Microsoft Defenderin tietojen avulla. Tämä ennakoiva uhkien metsästyspalvelu ylittää päätepisteen ja etsii päätepisteistä, Office 365:stä, pilvisovelluksista ja käyttäjätiedoista. Asiantuntijamme tutkivat kaiken löytämänsä ja antavat sitten tilannekohtaiset ilmoitustiedot sekä korjausohjeet, jotta voit vastata nopeasti.

Pyydä edistynyttä uhkien asiantuntemusta pyydettäessä

Valitse Kysy Defenderin asiantuntijoilta suoraan Microsoft Defender XDR -portaalissa saadaksesi nopeita ja tarkkoja vastauksia kaikkiin uhkakysymyksiisi. Asiantuntijat voivat tarjota merkityksellisiä tietoja ymmärtääkseen paremmin monimutkaisia uhkia, joita organisaatiosi saattaa kohdata. Ota yhteyttä asiantuntijaan:

  • Kerää lisätietoja ilmoituksista ja tapauksista, mukaan lukien pääsyyt ja laajuus.
  • Selkeytä epäilyttäviin laitteisiin, hälytyksiin tai tapauksiin ja ota seuraavat vaiheet, jos kohtaat edistyneen hyökkääjän.
  • Määritä toimintaryhmiin, kampanjoihin tai uusiin hyökkääjien tekniikoihin liittyvät riskit ja käytettävissä olevat suojaukset.

Huomautus

Kysy defender-asiantuntijoilta ei ole suojaustapausten käsittelypalvelu. Sen tarkoituksena on tarjota parempi käsitys organisaatioosi vaikuttavista monimutkaisista uhista. Ota yhteyttä omaan tietoturvatapausten käsittelytiimiin kiireellisten tietoturvatapausten käsittelyongelmien ratkaisemiseksi. Jos sinulla ei ole omaa tietoturvatapausten käsittelyryhmää ja haluat Microsoftin apua, luo tukipyyntö Premier Services Hubissa.

Kysy puolustajan asiantuntijoilta -vaihtoehto on käytettävissä tapahtuma- ja hälytyssivuilla, jotta voit esittää tilannekohtaisia kysymyksiä tietystä tapahtumasta tai hälytyksestä:

  • Ilmoitussivun pikaikkuna:

Näyttökuva Kysy puolustajan asiantuntijoilta -valikkovaihtoehdosta Microsoft Defender -portaalin Ilmoitukset-sivun pikaikkunassa.

  • Tapaukset-sivun toimintovalikko:

IScreenshot Kysy puolustajan asiantuntijat -valikkovaihtoehdosta Microsoft Defender -portaalin Tapahtumat-sivun toimintovalikossa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.