Microsoft Defender Experts for XDR:n käytön aloittaminen

  • Artikkeli

Koskee seuraavia:

Vihje

Katso perehdytysohjeet tästä lyhyestä videosta: https://www.youtube.com/watch?v=eLEXPZ1mUwQ

Kun Defender Experts for XDR -tiimi on valmis ottamaan organisaatiosi käyttöön, saat tervetulosähköpostin, jossa voit jatkaa asennusta ja päästä alkuun.

Valitse tervetulosähköpostin linkki, niin Defender Experts -asetukset määritetään suoraan Microsoft Defender portaalissa. Voit avata tämän määrityksen myös siirtymällä kohtaan Asetukset>Defenderin asiantuntijat ja valitsemalla Aloittaminen.

Näyttökuva Defender for Expertsin XDR-asetusten vaiheittaisen oppaan Aloitus-sivusta.

Myönnä käyttöoikeuksia asiantuntijoillemme

Defender Experts for XDR edellyttää oletusarvoisesti palveluntarjoajan käyttöoikeutta , jonka avulla asiantuntijamme voivat kirjautua vuokraajaasi ja tarjota palveluita määritettyjen käyttöoikeusroolien perusteella. Lisätietoja vuokraajien välisistä käyttöoikeuksista

Sinun on myös myönnettävä asiantuntijoillemme jompikumpi tai molemmat seuraavista käyttöoikeuksista:

  • Tutki tapauksia ja opasta vastauksiani (oletus) – Tämän vaihtoehdon avulla asiantuntijamme voivat ennakoivasti seurata ja tutkia tapauksia ja opastaa sinua tarvittavissa reagointitoimissa. (Käyttöoikeustaso: Suojauksen lukija)
  • Reagoi suoraan aktiivisiin uhkiin (suositus) – Tämän vaihtoehdon avulla asiantuntijamme voivat sisältää ja korjata aktiiviset uhat välittömästi tutkiessaan, mikä vähentää uhan vaikutusta ja parantaa yleistä vastaustehokkuuttasi. (Käyttöoikeustaso: Suojausoperaattori)

Näyttökuva Poissulkemisten hallinta -vaihtoehdosta määritettäessä Defender Experts for XDR:ää.

Tärkeää

Jos ohitat lisäoikeuksien myöntämisen, asiantuntijamme eivät voi ryhtyä tiettyihin vastaustoimintoihin organisaatiosi suojaamiseksi.

Vaikka asiantuntijoillemme on myönnetty nämä suhteellisen tehokkaat käyttöoikeudet, he voivat käyttää tiettyjä alueita vain rajoitetun ajan. Lue lisätietoja siitä, miten XDR-käyttöoikeuksien Defender-asiantuntijat toimivat

Asiantuntijoiden käyttöoikeuksien myöntäminen:

  1. Valitse samojen Defender-asiantuntijoiden asetusten määrityksen Käyttöoikeudet-kohdasta käyttöoikeustaso tai -tasot, jotka haluat myöntää asiantuntijoillemme.
  2. Jos haluat jättää laite- ja käyttäjäryhmät pois korjaustoimista, valitse Hallitse poissulkemisia.
  3. Lisää yhteyshenkilöitä tai ryhmiä valitsemalla Seuraava.

Jos haluat muokata tai päivittää käyttöoikeuksia ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defenderin asiantuntijoiden>käyttöoikeudet.

Laitteiden jättäminen pois korjauksesta

Defender Experts for XDR:n avulla voit sulkea laitteita ja käyttäjiä pois asiantuntijoiden toteuttamista korjaustoimista ja saada sen sijaan korjausohjeita näille entiteeteille. Nämä poikkeukset perustuvat Microsoft Defender for Endpoint tunnistettuihin laiteryhmiin.

Laiteryhmien jättäminen pois:

  1. Siirry samojen Defender-asiantuntijoiden asetusten määrityksen Poikkeukset-kohdassaLaiteryhmät-välilehteen .

  2. Valitse + Lisää laiteryhmiä, etsi ja valitse laiteryhmät, jotka haluat jättää pois.

    Huomautus

    Tällä sivulla luetellaan vain aiemmin luodut laiteryhmät. Jos haluat luoda uuden laiteryhmän, siirry ensin Microsoft Defender portaalin Defender for Endpoint -asetuksiin. Päivitä sitten tämä sivu, jos haluat etsiä ja valita juuri luodun ryhmän. Lisätietoja laiteryhmien luomisesta

  3. Valitse Lisää laiteryhmiä.

  4. Tarkista Laiteryhmät-välilehdessä luettelo pois jätetyistä laiteryhmistä. Jos haluat poistaa laiteryhmän poissulkemisluettelosta, valitse se ja valitse sitten Poista laiteryhmä.

  5. Vahvista poissulkemisluettelosi valitsemalla Seuraava ja lisää yhteyshenkilöt tai ryhmät. Muussa tapauksessa valitse Ohita, niin kaikki lisäpoikkeukset hylätään.

Näyttökuva vaihtoehdosta, jonka mukaan laiteryhmiä ei voi jättää pois.

Kerro, keneen ottaa yhteyttä tärkeiden asioiden vuoksi

Defender Experts for XDR:n avulla voit määrittää organisaatiosi henkilöt tai ryhmät, joille on ilmoitettava tärkeistä tapahtumista, palvelupäivityksistä, satunnaisista kyselyistä ja muista suosituksista:

  • Tapausilmoitusten yhteyshenkilöt – Nämä yhteyshenkilöt ovat henkilöitä tai tiimejä, joille voimme ilmoittaa hallitun vastauksen toiminnoista tai mistä tahansa tiedonsiirrosta, joka edellyttää välitöntä reagointia. Koska viestintä on kiireellistä, suosittelemme, että nämä yhteystiedot ovat aina käytettävissä.
  • Palveluarvioinnin yhteyshenkilöt – Nämä ovat henkilöitä tai tiimejä, joiden kanssa voimme olla yhteydessä palvelun toimitustiimin jatkuviin tietoturvatiedotteihin.

Tunnistamisen jälkeen henkilöt tai ryhmät saavat sähköpostiviestin, jossa ilmoitetaan, että he olivat yhteyshenkilö tapahtumailmoitusta tai palvelutarkistusta varten.

Näyttökuva Tapausten yhteystiedot -sivusta Defender for Expertsin XDR-asetusten vaiheittaisessa oppaassa.

Ilmoitusyhteyshenkilöiden lisääminen:

  1. Etsi ja lisää yhteyshenkilösi tai tiimisi annettuun tekstikenttään samojen Defender-asiantuntijoiden asetusten määrityksen Yhteystiedot-kohdasta.
  2. Lisää puhelinnumero (valinnainen), jota Defenderin asiantuntijat voivat kutsua asioihin, jotka edellyttävät välitöntä huomiota.
  3. Valitse avattavasta Ota yhteyttä valikostaTapausilmoitus tai Palvelutarkistus.
  4. Valitse Lisää.
  5. Valitse Seuraava vahvistaaksesi yhteystietoluettelosi ja siirtyäksesi luomaan Teams-kanavan , jossa voit myös vastaanottaa tapausilmoituksia.

Jos haluat muokata tai päivittää ilmoituksen yhteyshenkilöitä ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defenderin asiantuntijat>Ilmoitus yhteystiedot.

Näyttökuva ilmoituksen yhteyshenkilöistä.

Hallittujen vastausten ilmoitusten ja päivitysten vastaanottaminen Microsoft Teamsissa

Sähköpostin ja portaalikeskustelun lisäksi voit halutessasi käyttää Microsoft Teamsia saadaksesi päivityksiä hallituista vastauksista ja viestiäksesi asiantuntijoidemme kanssa reaaliaikaisesti. Kun tämä asetus on käytössä, luodaan uusi ryhmä nimeltä Defender Experts -tiimi , jossa jatkuviin tapauksiin liittyvät hallitun vastauksen ilmoitukset lähetetään uusina kirjoituksina Hallitut vastaus -kanavalla. Lisätietoja Teams-keskustelun käyttämisestä

Tärkeää

Defender-asiantuntijat voivat käyttää kaikkia viestejä, jotka on julkaistu millä tahansa kanavalla luodussa Defender Experts -tiimissä. Jos haluat estää Defender-asiantuntijoita käyttämästä tämän ryhmän viestejä, siirry Teamsin sovellukset -kohtaan ja siirry kohtaan Sovellusten> hallintaDefender-asiantuntijoiden>poistaminen. Tätä poistotoimintoa ei voi kumota.

Teams-ilmoitusten ja keskustelun ottaminen käyttöön:

  1. Valitse samassa Defender-asiantuntijoiden asetusten määrityksessä Tiimit-kohdassaViesti Teamsissa -valintaruutu.
  2. Tarkista asetukset valitsemalla Seuraava .
  3. Valitse Lähetä. Vaiheittaiset ohjeet viimeistelevät ensimmäisen määrityksen.
  4. Valitse Näytä valmiuden arviointi suorittaaksesi tarvittavat toiminnot suojaustilan optimoimiseksi.

Huomautus

Jotta voit määrittää Defender Experts Teams -sovelluksen, sinulla on oltava joko yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvojan rooli ja Microsoft Teams -käyttöoikeus.

Jos haluat ottaa teams-ilmoitukset ja keskustelun käyttöön ensimmäisen asennuksen jälkeen, siirry kohtaan Asetukset>Defender-asiantuntijat>Teams.

Näyttökuva Teamsin aktivointivaihtoehdosta hallitun vastauksen vastaanottamista varten.

  • Voit lisätä uusia jäseniä kanavaan siirtymällä Defender Experts -tiimiin>Lisää vaihtoehtoja (...)>Ryhmän> hallintaLisää jäsen.
  • Voit rajoittaa tähän tiimiin liittymistä siirtymällä Defender Experts -tiimiin>Lisää vaihtoehtoja (...)>Asetukset>Muokkaa>Ryhmän> hallintaYksityinen.

Ympäristön valmisteleminen Defender Experts -palvelua varten

Perehdyttämispalvelun toimituksen lisäksi Microsoft Defender XDR tuoteohjelmiston asiantuntemuksen avulla Defender Experts for XDR:n avulla voit suorittaa valmiusarvioinnin ja auttaa sinua saamaan kaiken hyödyn irti Microsoftin suojaustuotteistasi.

Valmiuden arviointi perustuu ympäristössäsi olevien suojattujen laitteiden ja käyttäjätietojen määrään sekä Defender-asiantuntijoiden käytäntösuosituksiin. Jos haluat tarkastella arviointia, siirry Microsoft Defender portaalissa kohtaan Asetukset>Puolustajan asiantuntijat ja valitse sitten Palvelun tila.

Näyttökuva valmiuden arviointiympäristöstä.

Valmiusarvioinnissa on kaksi osaa:

  • Tarvittavat toiminnot – Tässä osiossa näytetään niiden toimintojen tai suojausasetusten määrä, jotka sinun on suoritettava, jotka ovat käynnissä tai jotka on suoritettu. Nämä toiminnot on lueteltu sivun alaosassa olevassa taulukossa.

    Luettelossa esitellään tarvittavat vaiheet, jotka sinun on suoritettava ennen palvelun aloittamista. Priorisoi toiminnot, joilla on Valmis nyt -tila, jotta Defender Experts for XDR -palvelu käynnistyy aikaisemmin.

    Huomautus

    Suojausasetusten uusimman tilan saaminen voi kestää jopa 24 tuntia.

  • Suojatut resurssit – Tässä osiossa näytetään suojattujen laitteiden ja käyttäjätietojen nykyinen määrä verrattuna laitteisiin, joita sinun on vielä suojattava, jotta XDR-palvelun Defender-asiantuntijat voidaan käynnistää.

    Luvut perustuvat Defender for Endpointiin ja Defender for Identity -käyttöoikeuksiin. Jotta voit saavuttaa tämän suojattujen resurssien kohdemäärän, lisää laitteita Defender for Endpointiin tai asenna lisää Defender for Identity -tunnistimia.

Tärkeää

Defender Experts for XDR tarkistaa valmiusarvioinnin säännöllisesti, varsinkin jos ympäristössäsi on muutoksia, kuten uusien laitteiden ja käyttäjätietojen lisääminen. On tärkeää, että valvot ja suoritat valmiuden arvioinnin säännöllisesti alkuperäisen perehdyttämisen jälkeen varmistaaksesi, että ympäristössäsi on vahva suojaustila riskien vähentämiseksi.

Kun olet suorittanut kaikki vaaditut tehtävät ja täyttänyt valmiusarvioinnin perehdytystavoitteet, palvelun toimituspäällikkö (SDM) aloittaa XDR-palvelun Defender Experts for XDR -palvelun valvontavaiheen, jossa asiantuntijamme alkavat muutaman päivän ajan seurata ympäristöäsi tarkasti piilevien uhkien, riskilähteiden ja normaalin toiminnan tunnistamiseksi. Kun ymmärrämme kriittiset resurssisi paremmin, voimme virtaviivaistaa palvelua ja hienosäätää vastauksiamme.

Kun asiantuntijamme alkavat tehdä kattavaa reagointityötä puolestasi, alat vastaanottaa ilmoituksia tapauksista , jotka edellyttävät korjausvaiheita ja kohdennettuja suosituksia kriittisissä tapahtumissa. Voit myös keskustella asiantuntijoiden tai SDM:ien kanssa tärkeistä kyselyistä ja säännöllisistä liiketoiminta- ja tietoturva-tilan tarkistuksista. Lisäksi voit tarkastella reaaliaikaisia raportteja siitä, kuinka monta tapausta olemme tutkineet ja ratkaisseet puolestasi.

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.