התחל להשתמש בשירות Defender Experts for XDR

חל על:

• Microsoft Defender XDR

לאחר השלמת שלבי הצירוף ובדיקת המוכנות עבור Microsoft Defender Experts עבור XDR, המומחים שלנו יתחילו לנטר את הסביבה שלך כדי לייעל את השירות כדי שנוכל לבצע שירות מקיף בשמך. במהלך שלב זה, המומחים שלנו מזהים איומים, מקורות סיכון ופעילות רגילה.

לאחר שהמומחים שלנו יתחילו לבצע עבודת תגובה מקיפה בשמך, תתחיל לקבל הודעות על אירועים הדורשים שלבי תיקון והמלצות ממוקדות על אירועים קריטיים. באפשרותך גם לשוחח בצ'אט עם המומחים שלנו או עם מנהלי אספקת השירותים (SDMs) שלך בנוגע לשאילתות חשובות ולביקורות קבועות של תנוחת עסקים ואבטחה ולעיין בדוחות בזמן אמת על מספר האירועים שחקרנו ופתרנו בשמך.

זיהוי ותגובה מנוהלים

באמצעות שילוב של אוטומציה ומומחיות האנושית, Defender Experts for XDR סדר עדיפויות עבור מקרי XDR של Microsoft Defender, נותן להם עדיפות בשמך, מסנן את הרעש, מבצע חקירות מפורטות ומספק תגובה מנוהלת המאפשרת פעולה לצוותי מרכז פעולות האבטחה (SOC).

עדכוני אירועים

לאחר שהמומחים שלנו מתחילים לחקור מקרה, השדות 'מוקצה ל' ו'מצב' של האירוע מתעדכנים ל- Defender Expertsו-In progress, בהתאמה.

כאשר המומחים שלנו מסיים את החקירה על מקרה, שדה הסיווג של האירוע מתעדכן לאחד מהפריטים הבאים, בהתאם לממצאי המומחים:

• חיובי אמיתי
• חיובית מוטעית
• מידע, פעילות צפויה

שדה קביעת הנתונים המתאים לכל סיווג מתעדכן גם הוא כדי לספק תובנות נוספות על הממצאים שהובילו את המומחים שלנו לקבוע את הסיווג הצוין.

אם מקרה מסווג כ'חיובי False' או 'מידע', 'פעילות צפויה', השדה 'מצב' של האירוע מתעדכן ל'נפתר'. לאחר מכן, המומחים שלנו מסיים את עבודתם על מקרה זה, ושדה ' מוקצה ל' מתעדכן ל'לא מוקצה'. המומחים שלנו עשויים לשתף עדכונים מהחקירה שלהם ומהמסקנה שלהם בעת פתרון תקרית. עדכונים אלה פורסמו בלוח הנשלף של הערות והיסטוריה של האירוע.

הערה

הערות לתקריות הן פרסומים חד-כיווניים. למומחי Defender אין אפשרות להגיב להערות או לשאלות שתוסיף בלוח ההערות וההיסטוריה . לקבלת מידע נוסף על האופן שבו ניתן להתאים למומחים שלנו, ראה יצירת תקשורת עם מומחים בשירות Microsoft Defender Experts for XDR.

אחרת, אם מקרה מסווג כ'חיובי אמיתי', המומחים שלנו מזהים לאחר מכן את פעולות התגובה הנדרשות שיש לבצע. השיטה שבה מתבצעות הפעולות תלויה בהרשאות וב לרמות הגישה שהזנת לשירות Defender Experts for XDR. קבל מידע נוסף על הענקת הרשאות למומחים שלנו.

• אם תעניק ל- Defender Experts עבור XDR את הרשאות הגישה המומלצות של מפעיל האבטחה, המומחים שלנו יוכלו לבצע את פעולות התגובה הנדרשות במקרה בשמך. פעולות אלה, יחד עם סיכום חקירה, מופיעות בלוח הנשלף של התגובה המנוהלת של האירוע בפורטל Microsoft Defender כדי שתוכל או לצוות SOC שלך לסקור. כל הפעולות שהושלמו על-ידי Defender Experts עבור XDR מופיעות תחת המקטע פעולות שהושלמו . כל הפעולות הממתינות שדורשות ממך או צוות SOC שלך להשלים מפורטות תחת המקטע פעולות ממתינות . לקבלת מידע נוסף, עיין בסעיף פעולות. לאחר שהמומחים שלנו נקטו בכל הפעולות הדרושות באירוע, שדה המצב שלו מתעדכן לאחר מכן ל'נפתר' ושדה 'מוקצה ל' מתעדכן ל'לא מוקצה'.

• אם תעניק ל- XDR Defender Experts את הגישה המוגדרת כברירת מחדל לקורא אבטחה, פעולות התגובה הנדרשות, יחד עם סיכום חקירה, יופיעו בלוח הנשלף של התגובה המנוהלת של האירוע תחת המקטע פעולות ממתינות בפורטל Microsoft Defender שלך כדי שתוכל או צוות SOC שלך לבצע. לקבלת מידע נוסף, עיין בסעיף פעולות. כדי לזהות כף-יד זו, השדה 'מצב אירוע' מתעדכן ל'ממתין לפעולת הלקוח' ושדה 'מוקצה ל' מתעדכן ללקוח.

באפשרותך לבדוק את מספר האירועים שדורשים את הפעולה שלך בכרזת Defender Experts בחלק העליון של דף הבית של Microsoft Defender.

כדי להציג את האירועים שהמומחים שלנו חקרו או שחוקרים כעת, סנן את תור האירועים בפורטל Microsoft Defender באמצעות התג Defender Experts .

כיצד להשתמש בתגובה מנוהלת ב- Microsoft Defender XDR

בפורטל Microsoft Defender, מקרה הדורש את תשומת לבך באמצעות תגובה מנוהלת הוגדר השדה מוקצה ל ללקוח וכרטיס פעילות מעל החלונית אירועים. אנשי הקשר המיועדים שלך לתקריות מקבלים גם הודעת דואר אלקטרוני תואמת עם קישור לפורטל Defender כדי להציג את המקרה. קבל מידע נוסף על אנשי קשר של הודעות.

בחר הצג תגובה מנוהלת בכרטיס הפעילות או בחלק העליון של דף הפורטל (הכרטיסיה תגובה מנוהלת) כדי לפתוח לוח נשלף שבו תוכל לקרוא את סיכום החקירה של המומחים שלנו, להשלים פעולות ממתינות המזוהות על-ידי המומחים שלנו או ליצור איתם קשר באמצעות צ'אט.

סיכום חקירה

הסעיף סיכום חקירה מספק לך הקשר נוסף לגבי המקרה שנותחו על-ידי המומחים שלנו כדי לספק לך ניראות לגבי החומרה שלו וההשפעה הפוטנציאלית שלו, אם לא טופלו באופן מיידי. היא עשויה לכלול את ציר הזמן של המכשיר, מחווני תקיפה ומחווני פשרה (IOCs) שנצפתו ופרטים אחרים.

פעולות

הכרטיסיה פעולות מציגה כרטיסי פעילות המכילים פעולות תגובה שהמומחים שלנו ממליצים.

Defender Experts for XDR תומך כעת בפעולות התגובה המנוהלות בלחיצה אחת הבאות:

פעולה	תיאור
בודד מכשיר	מבודד מכשיר, שמסייע במניעת תוקף לשלוט בו ולבצע פעילויות נוספות כגון הסרת נתונים ותנועה רוחבית. המכשיר המבודד עדיין יהיה מחובר ל- Microsoft Defender for Endpoint.
קובץ הסגר	הפסקת הפעלת תהליכים, העברת הקבצים להסגר ומחיקה של נתונים מתמידים כגון מפתחות רישום.
הגבל ביצוע אפליקציה	הגבלת הביצוע של תוכניות שעלולות להיות זדוניות ונעילת המכשיר כדי למנוע ניסיונות נוספים.
שחרור מבידוד	ביטול בידוד של מכשיר.
הסר מגבלת אפליקציה	ביטול שחרור מהבידוד.

מלבד פעולות אלה בלחיצה אחת, באפשרותך גם לקבל תגובות מנוהלות מהמומחים שלנו שעליך לבצע באופן ידני.

הערה

לפני ביצוע אחת מפעולות התגובה המנוהלות המומלצות, ודא שהן עדיין לא ממועונות על-ידי תצורות החקירה והתגובה האוטומטיות שלך. קבל מידע נוסף על יכולות חקירה ותגובה אוטומטיות ב- Microsoft Defender XDR.

כדי להציג ולבצע את פעולות התגובה המנוהלות:

1. בחר את לחצני החצים בכרטיס פעולה כדי להרחיב אותו ולקרוא מידע נוסף אודות הפעולה הנדרשת.

   

2. עבור כרטיסים עם פעולות תגובה בלחיצה אחת, בחר את הפעולה הנדרשת. מצב הפעולה בכרטיס משתנה ל'מתבצע' ולאחר מכן למצב 'נכשל' או 'הושלם', בהתאם לתוצאת הפעולה.

   

   עצה

   באפשרותך גם לנטר את המצב של פעולות תגובה בתוך הפורטל במרכז הפעולות. אם פעולת תגובה נכשלת, נסה לעשות זאת שוב מהדף הצג פרטי מכשיר או הפעל צ'אט עם Defender Experts.

3. עבור כרטיסים עם פעולות נדרשות שעליך לבצע באופן ידני, בחר השלמתי פעולה זו לאחר ביצוען ולאחר מכן בחר כן, עשיתי זאת בתיבת הדו-שיח לאישור שמופיעה.

   

4. אם אינך מעוניין להשלים פעולה נדרשת באופן מיידי, בחר דלג ולאחר מכן בחר כן , דלג על פעולה זו בתיבת הדו-שיח לאישור שמופיעה.

חשוב

אם אתה מבחין כי אחד מהלחצנים בכרטיסי הפעולה מופיע באפור, הדבר עשוי להצביע על כך שאין לך את ההרשאות הדרושות לביצוע הפעולה. ודא שנכנסת לפורטל ה- XDR של Microsoft Defender עם ההרשאות המתאימות. רוב פעולות התגובה המנוהלות דורשות גישה של מפעיל האבטחה לפחות.

אם אתה עדיין נתקל בבעיה זו גם עם ההרשאות המתאימות, נווט אל הצג פרטי מכשיר והשלם את השלבים משם.

קבל ניראות לחקירות Defender Experts באפליקציית SIEM או ITSM

כאשר Defender Experts for XDR חוקרים אירועים וכוללים פעולות תיקון, אתה יכול לראות את עבודתם על אירועים בפרטי האבטחה שלך ובאפליקציות ניהול האירועים (SIEM) וניהול שירותי ה- IT (ITSM), כולל אפליקציות הזמינות לשימוש.

Microsoft Sentinel

באפשרותך לקבל את הניראות של האירועים ב- Microsoft Sentinel על-ידי הפעלת מחבר נתוני ה- XDR של Microsoft Defender הכלול במוצר. למידע נוסף.

לאחר הפעלת המחבר, עדכונים של Defender Experts לשדות Status,Assigned to, Classification ו- Determination ב- Microsoft Defender XDR יופיעו בשדות Status,Owner ו- Reason עבור סגירה ב- Sentinel המתאימים.

הערה

מצב האירועים שנחקרים על-ידי Defender Experts ב- XDR של Microsoft Defender בדרך כלל מ'פעיל' ל'מתבצע' ל'ממתין לפעולת הלקוח לפתרון', בעוד ב- Sentinel, הוא עוקב אחר הנתיב 'חדש לפעיל לפעיל' ל'נפתר'. מצב ה- XDR של Microsoft Defender הממתין לפעולת הלקוח אינו כולל שדה שווה ערך ב- Sentinel; במקום זאת, היא מוצגת כתגית באירוע ב- Sentinel.

הסעיף הבא מתאר כיצד אירוע מטופל על-ידי המומחים שלנו מתעדכן ב- Sentinel עם התקדמותו במהלך מסע החקירה:

1. אירוע הנחקר על-ידי המומחים שלנו כולל את המצב כפעיל והבעלים המפורט כ- Defender Experts.
2. מקרה שהמומחים שלנו אישרו כיתוב True Positive כולל תגובה מנוהלת שפורסם ב- Microsoft Defender XDR, ותגית ממתינה לפעולת הלקוח והבעלים מופיע כלקוח. עליך לפעול בהתאם לתקרית בהתבסס על השימוש בתגובה המנוהלת שסופקה.
3. לאחר שהמומחים שלנו סגרו את החקירה שלהם וסגרו מקרה כ'חיובי מוטעה' או 'מידע', 'פעילות צפויה', מצב האירוע מתעדכן ל'נפתר', הבעלים מתעדכן ל'לא מוקצה' ומסופקת סיבה לסגירה.

יישומים אחרים

ניתן להשיג ניראות של אירועים ביישום SIEM או ITSM באמצעות ה- API או המחברים של XDR של Microsoft Defenderב- Sentinel.

לאחר קביעת התצורה של מחבר, ניתן לסנכרן את העדכונים של Defender Experts לשדות Status,Assigned to, Classification ו- Determination ב- Microsoft Defender XDR עם יישומי SIEM או ITSM של ספק חיצוני, בהתאם לאופן היישום של מיפוי השדות. כדי להמחיש, באפשרותך לעיין במחבר הזמין מ- Sentinel ל- ServiceNow.

קבל ניראות בזמן אמת עם דוחות Defender Experts for XDR

Defender Experts for XDR כולל דוח אינטראקטיבי לפי דרישה המספק סיכום ברור של העבודה שהמומחים שלנו מבצעים בשמך, צבור מידע על נוף האירוע שלך ופרטים פרטניים לגבי אירועים ספציפיים. בנוסף, מנהל מסירת השירות (SDM) משתמש בדוח כדי לספק לך הקשר נוסף בנוגע לשירות במהלך סקירה עסקית חודשית.

כל סעיף בדוח נועד לספק תובנות נוספות לגבי תקריות שהמומחים שלנו חקרו ופתרו בסביבה שלך בזמן אמת. באפשרותך גם לבחור את טווח התאריכים כדי לקבל מידע מפורט אודות אירועים בהתבסס על חומרה, קטגוריה, ולהבין את הזמן שנדרש כדי לחקור ולפתר מקרה במהלך תקופה ספציפית.

הבנת דוח Defender Experts for XDR

המקטע העליון של דוח Defender Experts for XDR מספק את אחוז האירועים שפתרנו בסביבה שלך, ומספק לך שקיפות בפעולות שלנו. אחוז זה נגזר מהנתונים הבאים, המוצגים בדוח גם הם:

• חקרנו – מספר האיומים הפעילים ותקריות אחרות מתור תקריות שחקרנו, חקרנו או חקרנו כעת בטווח שלנו.
• נפתר – המספר הכולל של האירועים שנחקרו שנסגרו.
• נפתר ישירות – מספר האירועים שנחקרו שהצלחנו לסגור ישירות בשמך.
• נפתר בעזרתך – מספר האירועים שנחקרו שנפתרו עקב הפעולה שביצעת בפעולה אחת או יותר של תגובה מנוהלת.

המקטע זמן ממוצע לפתרון אירועים מציג תרשים עמודות של הזמן הממוצע, בדקות, המומחים שלנו בילו בחקירות וסגירה של אירועים בסביבה שלך ואת הזמן הממוצע שהקדשת לביצוע פעולות התגובה המנוהלות הנדרשות.

המקטעים מקרים לפי חומרה, אירועים לפי קטגוריה ותקריות לפי מקטעי מקור שירות מפרידים אירועים שנפתרו לפי חומרה, טכניקת תקיפה ומקור שירות האבטחה של Microsoft, בהתאמה. סעיפים אלה מאפשרים לך לזהות נקודות כניסה פוטנציאליות לתקיפה וסוגים של איומים שזוהו בסביבה שלך, להעריך את השפעתם ולפתח אסטרטגיות להפחתתן ולמניעתן. בחר הצג אירועים כדי לקבל תצוגה מסוננים של תור האירועים בהתבסס על הבחירות שביצעת בכל אחד משני המקטעים.

המקטע 'הנכסים המושפעים ביותר ' מציג את המשתמשים והמכשירים בסביבה שלך שהיו מעורבים במספר האירועים הרב ביותר בטווח התאריכים שבחרת. תוכל לראות את נפח האירועים שכל נכס היה מעורב שבהם. בחר נכס כדי לקבל תצוגה מסוננים של תור האירועים בהתבסס על האירועים שכללו את הנכס הרשום.

ציד מנוהל יזום

Defender Experts for XDR כולל גם ציד איומים יזום המוצע על-ידי Microsoft Defender Experts for Hunting. Defender Experts for Hunting נוצר עבור לקוחות שיש להם מרכז תפעול אבטחה חזק אך רוצים ש- Microsoft תעזור להם לאתר איומים באופן יזום באמצעות נתוני Microsoft Defender. שירות ציד איומים יזום זה חורך מעבר נקודת הקצה כדי לחפש בין נקודות קצה, Office 365, יישומי ענן וזהות. המומחים שלנו חוקרים כל מה שהם מגלים, ולאחר מכן נותנים את פרטי ההתראה ההקשרית יחד עם הוראות תיקון, כך שתוכל להגיב במהירות.

בקש מומחיות מתקדמת באיומים לפי דרישה

בחר שאל את Defender Experts ישירות בתוך פורטל XDR של Microsoft Defender כדי לקבל תגובות מהירות ומדויקות לכל שאלות האיומים שלך. מומחים יכולים לספק תובנות כדי להבין טוב יותר את האיומים המורכבים שהארגון שלך עשוי להתמודד אתם. התייעץ עם מומחה כדי:

• אסוף מידע נוסף אודות התראות ותקריות, כולל סיבות בסיס והיקף.
• קבל בהירות במכשירים, התראות או אירועים חשודים וקבל את השלבים הבאים אם אתה מתמודד עם תוקף מתקדם.
• קבע סיכונים והגנת זמינות הקשורים לקבוצות פעילות, קמפיינים או טכניקות תוקף מתפתחות.

הערה

Ask Defender Experts אינו שירות תגובה לתקריות אבטחה. הוא נועד לספק הבנה טובה יותר של איומים מורכבים המשפיעים על הארגון שלך. צור קשר עם צוות התגובה לתקריות אבטחה משלך כדי לטפל בבעיות תגובה לתקריות אבטחה דחופות. אם אין לך צוות תגובה לתקריות אבטחה משלך ואתה מעוניין בעזרה של Microsoft, צור בקשת תמיכה במרכז שירותי Premier.

האפשרות Ask Defender Experts זמינה באירועים ותריע דפים כדי שתוכל לשאול שאלות הקשריות לגבי מקרה או התראה ספציפיים:

• תפריט נשלף של דף התראות:

• תפריט פעולות דף אירועים:

למידע נוסף

• חיפוש ביומני ביקורת עבור פעולות שבוצעו על-ידי Defender Experts
• מידע נוסף
• מידע כללי אודות Defender Experts for XDR Service

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.