Pour obtenir des instructions d’intégration, consultez cette courte vidéo.
Une fois que l’équipe Defender Experts for XDR est prête à intégrer votre organisation, vous recevez un e-mail de bienvenue pour poursuivre la configuration et commencer.
Sélectionnez le lien dans l’e-mail de bienvenue pour lancer directement la configuration des paramètres Defender Experts dans le portail Microsoft Defender. Vous pouvez également ouvrir cette configuration en accédant à Paramètres Experts>Defender et en sélectionnant Prise en main.
Accorder des autorisations à nos experts
Important
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Par défaut, Defender Experts pour XDR nécessite un accès fournisseur de services qui permet à nos experts de se connecter à votre locataire et de fournir des services en fonction des rôles de sécurité attribués.
En savoir plus sur l’accès interlocataire
Vous devez également accorder à nos experts l’une des autorisations suivantes ou les deux :
Examiner les incidents et guider mes réponses (par défaut) : cette option permet à nos experts de surveiller et d’examiner les incidents de manière proactive, et de vous guider tout au long des actions de réponse nécessaires. (Niveau d’accès : Lecteur de sécurité)
Répondre directement aux menaces actives (recommandé) : cette option permet à nos experts de contenir et de corriger les menaces actives immédiatement lors de l’investigation, ce qui réduit l’impact de la menace et améliore l’efficacité globale de votre réponse. (Niveau d’accès : Opérateur de sécurité)
Important
Si vous ne fournissez pas d’autorisations supplémentaires, nos experts ne seront pas en mesure d’effectuer certaines actions de réponse pour sécuriser votre organisation.
Dans la même configuration des paramètres Defender Experts, sous Autorisations, choisissez le ou les niveaux d’accès que vous souhaitez accorder à nos experts.
Pour modifier ou mettre à jour les autorisations après la configuration initiale, accédez à Paramètres>Autorisationsdes experts> Defender.
Exclure les appareils et les utilisateurs de la correction
Defender Experts pour XDR vous permet d’exclure les appareils et les utilisateurs des actions de correction effectuées par nos experts et d’obtenir des conseils de correction pour ces entités. Ces exclusions sont basées sur des groupes d’appareils identifiés dans Microsoft Defender pour point de terminaison et des groupes d’utilisateurs identifiés dans l’ID Microsoft Entra.
Pour exclure des groupes d’appareils :
Dans la même configuration des paramètres Defender Experts, sous Exclusions, accédez à l’onglet Groupes d’appareils .
Sélectionnez + Ajouter des groupes d’appareils, puis recherchez et choisissez le ou les groupes d’appareils que vous souhaitez exclure.
Notes
Cette page répertorie uniquement les groupes d’appareils existants. Si vous souhaitez créer un groupe d’appareils, vous devez d’abord accéder aux paramètres de Defender pour point de terminaison dans votre portail Microsoft Defender. Ensuite, actualisez cette page pour rechercher et choisir le groupe nouvellement créé.
En savoir plus sur la création de groupes d’appareils
Sélectionnez Ajouter des groupes d’appareils.
De retour sous l’onglet Groupes d’appareils , passez en revue la liste des groupes d’appareils exclus. Si vous souhaitez supprimer un groupe d’appareils de la liste d’exclusions, choisissez-le, puis sélectionnez Supprimer le groupe d’appareils.
Sélectionnez Suivant pour confirmer votre liste d’exclusions et continuer à ajouter des personnes de contact ou des groupes. Sinon, sélectionnez Ignorer, et toutes vos exclusions ajoutées sont ignorées.
Pour exclure des groupes d’utilisateurs :
Dans la même configuration des paramètres Defender Experts, sous Exclusions, accédez à l’onglet Groupes d’utilisateurs .
Sélectionnez + Ajouter des groupes d’utilisateurs, puis recherchez et choisissez le ou les groupes d’utilisateurs que vous souhaitez exclure.
Notes
Cette page répertorie uniquement les groupes d’utilisateurs existants. Si vous souhaitez créer un groupe d’utilisateurs, vous devez d’abord vous connecter au centre d’administration des ID Microsoft Entra en tant qu’administrateur général. Ensuite, actualisez cette page pour rechercher et choisir le groupe nouvellement créé.
En savoir plus sur la création de groupes d’utilisateurs
Sélectionnez Ajouter des groupes d’utilisateurs.
De retour sous l’onglet Groupes d’utilisateurs , passez en revue la liste des groupes d’utilisateurs exclus. Si vous souhaitez supprimer un groupe d’utilisateurs de la liste d’exclusions, choisissez-le, puis sélectionnez Supprimer le groupe d’utilisateurs.
Sélectionnez Suivant pour confirmer votre liste d’exclusions et continuer à ajouter des personnes de contact ou des groupes. Sinon, sélectionnez Ignorer, et toutes vos exclusions ajoutées sont ignorées.
Notes
Vous pouvez uniquement exclure des utilisateurs en les ajoutant à un groupe de sécurité d’ID Microsoft Entra. Les utilisateurs locaux de l’ID Entra ne peuvent pas être exclus pour l’instant.
Pour modifier ou mettre à jour les exclusions après la configuration initiale, accédez à Paramètres>Exclusionsdes experts> Defender, puis accédez à l’onglet Groupes d’appareils ou Groupes d’utilisateurs.
Dites-nous qui contacter pour des questions importantes
Defender Experts pour XDR vous permet de déterminer les personnes ou les groupes au sein de votre organisation qui doivent être avertis en cas d’incidents critiques, de mises à jour de service, de requêtes occasionnelles et d’autres recommandations :
Contacts de notification d’incident : ces contacts sont des personnes ou des équipes que nous pouvons notifier pour les actions de réponse managées ou toute communication nécessitant une réponse immédiate. Compte tenu de la nature urgente des communications, nous recommandons que ces contacts soient toujours disponibles.
Contacts de révision de service : il s’agit de personnes ou d’équipes avec lesquelles nous pouvons faire appel pour des réunions d’information sur la sécurité continues effectuées par notre équipe de prestation de services.
Une fois identifiés, les individus ou les groupes recevront un e-mail les informant qu’ils étaient en tant que contact à des fins de notification d’incident ou de révision du service.
Pour ajouter des contacts de notification :
Dans la même configuration des paramètres Defender Experts, sous Contacts, recherchez et ajoutez votre contact ou votre équipe dans le champ de texte fourni.
Ajoutez un numéro de téléphone (facultatif) que les experts Defender peuvent appeler pour les questions nécessitant une attention immédiate.
Dans la zone de liste déroulante Contact pour , choisissez Notification d’incident ou Révision du service.
Sélectionnez Ajouter.
Sélectionnez Suivant pour confirmer votre liste de contacts et continuez à créer un canal Teams dans lequel vous pouvez également recevoir des notifications d’incident.
Pour modifier ou mettre à jour vos contacts de notification après la configuration initiale, accédez à Paramètres Contacts> denotificationDefender Experts>.
Recevoir des notifications de réponse managée et des mises à jour dans Microsoft Teams
En plus des e-mails et des conversations dans le portail, vous devez également choisir d’utiliser Microsoft Teams pour recevoir des mises à jour sur les réponses gérées et communiquer avec nos experts en temps réel. Lorsque ce paramètre est activé, une nouvelle équipe nommée Équipe d’experts Defender est créée, où les notifications de réponse managées liées aux incidents en cours sont envoyées en tant que nouvelles publications dans le canal de réponse managée .
En savoir plus sur l’utilisation de la conversation Teams
Important
Les experts Defender auront accès à tous les messages publiés sur n’importe quel canal de l’équipe Defender Experts créée. Pour empêcher les experts Defender d’accéder aux messages de cette équipe, accédez à Applications dans Teams, puis accédez à Gérer vos applications> DefenderExperts>Supprimer. Cette action de suppression ne peut pas être annulée.
Pour activer les notifications et les conversations Teams :
Dans la même configuration des paramètres Defender Experts, sous Teams, cochez la case Communiquer sur Teams .
Sélectionnez Suivant pour passer en revue vos paramètres.
Sélectionnez Envoyer. Le guide pas à pas termine ensuite la configuration initiale.
Pour configurer l’application Defender Experts Teams, vous devez disposer du rôle Administrateur général ou Administrateur de la sécurité et d’une licence Microsoft Teams.
Pour activer les notifications et les conversations Teams après la configuration initiale, accédez à Paramètres>Defender Experts>Teams.
Vous pouvez ajouter de nouveaux membres au canal en accédant à l’équipe> Defender ExpertsPlus d’options (...)>Gérer l’équipe>Ajouter un membre.
Vous pouvez limiter les personnes autorisées à rejoindre cette équipe en accédant à l’équipe> Defender ExpertsPlus d’options (...)>Paramètres>Éditer>Gérer l’équipe>Privé.
Préparer votre environnement pour le service Defender Experts
Outre la prestation de services d’intégration, notre expertise sur la suite de produits Microsoft Defender XDR permet aux experts Defender pour XDR de vous permettre d’exécuter une évaluation de préparation et de vous aider à tirer le meilleur parti de vos produits de sécurité Microsoft.
L’évaluation de la préparation est basée sur le nombre d’appareils et d’identités protégés dans votre environnement, ainsi que sur les recommandations de stratégie de Defender Experts. Pour afficher l’évaluation, dans votre portail Microsoft Defender, accédez à Paramètres>Experts Defender , puis sélectionnez État du service.
L’évaluation de la préparation comprend deux parties :
Actions nécessaires : cette section indique le nombre d’actions ou de paramètres de sécurité que vous devez effectuer, en cours ou qui ont été effectuées. Ces actions sont répertoriées dans un tableau situé en bas de la page.
La liste décrit les étapes à suivre avant de lancer le service. Hiérarchisez les actions qui ont l’état Terminer maintenant pour que le service Defender Experts pour XDR démarre plus tôt.
Notes
L’obtention de l’état le plus récent de vos paramètres de sécurité peut prendre jusqu’à 24 heures.
Ressources protégées : cette section indique le nombre actuel d’appareils et d’identités protégés par rapport à ceux que vous devez encore protéger pour démarrer le service Defender Experts pour XDR.
Defender Experts pour XDR examine régulièrement votre évaluation de la préparation, en particulier s’il y a des modifications dans votre environnement, telles que l’ajout de nouveaux appareils et identités. Il est important de surveiller et d’exécuter régulièrement l’évaluation de la préparation au-delà de l’intégration initiale pour vous assurer que votre environnement dispose d’une posture de sécurité solide pour réduire les risques.
Une fois que vous avez effectué toutes les tâches requises et que vous avez atteint les objectifs d’intégration dans votre évaluation de la disponibilité, votre gestionnaire de livraison de services (SDM) lance la phase de surveillance du service Defender Experts for XDR, où, pendant quelques jours, nos experts commencent à surveiller votre environnement de près pour identifier les menaces latentes, les sources de risque et l’activité normale. À mesure que nous comprenons mieux vos ressources critiques, nous pouvons simplifier le service et affiner nos réponses.
Une fois que nos experts commencent à effectuer un travail de réponse complet en votre nom, vous commencez à recevoir des notifications sur les incidents qui nécessitent des étapes de correction et des recommandations ciblées sur les incidents critiques. Vous pouvez également discuter avec nos experts ou vos SDMs concernant des requêtes importantes et des révisions régulières de la posture de sécurité et de l’entreprise. En outre, vous pouvez également afficher des rapports en temps réel sur le nombre d’incidents que nous avons examinés et résolus en votre nom.
Pour obtenir ces informations d’identification Microsoft Applied Skills, les apprenants doivent montrer qu’ils savent utiliser Microsoft Defender XDR pour détecter les cybermenaces et y répondre. Les candidats souhaitant obtenir ces informations d’identification doivent être familiarisés avec l’investigation et la collecte de preuves concernant les attaques sur les points de terminaison. Ils doivent également avoir une expérience d’utilisation de Microsoft Defender for Endpoint et du langage de requête Kust