Az előkészítési utasításokért tekintse meg ezt a rövid videót.
Miután az XDR-hez készült Defender-szakértők csapata készen áll a szervezet előkészítésére, üdvözlő e-mailt fog kapni a beállítás folytatásához és az első lépésekhez.
Az üdvözlő e-mailben található hivatkozásra kattintva közvetlenül elindíthatja a Defender-szakértők beállításainak beállítását a Microsoft Defender portálon. Ezt a beállítást úgy is megnyithatja, hogy a Beállítások>Defender-szakértők területen az Első lépések lehetőséget választja.
Engedélyek megadása szakértőinknek
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Alapértelmezés szerint az XDR-hez készült Defender-szakértőknek szolgáltatói hozzáférésre van szükségük, amely lehetővé teszi, hogy a szakértőink bejelentkezhessenek a bérlőbe, és a hozzárendelt biztonsági szerepkörök alapján nyújtsanak szolgáltatásokat.
További információ a bérlők közötti hozzáférésről
Emellett meg kell adnia szakértőinknek az alábbi engedélyek egyikét vagy mindkettőt:
Incidensek kivizsgálása és a válaszok útmutatója (alapértelmezett) – Ezzel a beállítással szakértőink proaktívan figyelik és kivizsgálják az incidenseket, és végigvezetik Önt a szükséges reagálási műveleteken. (Hozzáférési szint: Biztonsági olvasó)
Közvetlen reagálás aktív fenyegetésekre (ajánlott) – Ez a lehetőség lehetővé teszi, hogy szakértőink azonnal tartalmazzák és orvosolják az aktív fenyegetéseket a vizsgálat során, ezáltal csökkentve a fenyegetés hatását, és javítva az általános válaszhatékonyságot. (Hozzáférési szint: Biztonsági operátor)
Fontos
Ha kihagyja a további engedélyek megadását, a szakértőink nem fognak tudni bizonyos válaszműveleteket végrehajtani a szervezet biztonsága érdekében.
Az engedélyek kezdeti beállítás utáni szerkesztéséhez vagy frissítéséhez lépjen a BeállításokDefender-szakértők>engedélyei> területre.
Eszközök és felhasználók kizárása a szervizelésből
Az XDR-hez készült Defender-szakértők segítségével kizárhatja az eszközöket és a felhasználókat a szakértőink által végrehajtott szervizelési műveletekből, és ehelyett szervizelési útmutatást kaphat ezekhez az entitásokhoz. Ezek a kizárások a Végponthoz készült Microsoft Defenderben azonosított eszközcsoportokon és a Microsoft Entra ID-ban azonosított felhasználói csoportokon alapulnak.
Eszközcsoportok kizárása:
Ugyanebben a Defender-szakértők beállításaiban, a Kizárások területen lépjen az Eszközcsoportok lapra.
Válassza a + Eszközcsoportok hozzáadása lehetőséget, majd keresse meg és válassza ki a kizárni kívánt eszközcsoport(oka)t.
Megjegyzés
Ez a lap csak a meglévő eszközcsoportokat listázza. Ha új eszközcsoportot szeretne létrehozni, először meg kell keresnie a Végponthoz készült Defender beállításait a Microsoft Defender portálon. Ezután frissítse ezt a lapot az újonnan létrehozott csoport megkereséséhez és kiválasztásához.
További információ az eszközcsoportok létrehozásáról
Válassza az Eszközcsoportok hozzáadása lehetőséget.
Az Eszközcsoportok lapra visszatérve tekintse át a kizárt eszközcsoportok listáját. Ha el szeretne távolítani egy eszközcsoportot a kizárási listából, válassza ki, majd válassza az Eszközcsoport eltávolítása lehetőséget.
Válassza a Tovább gombot a kizárási lista megerősítéséhez, és folytassa a kapcsolattartók vagy csoportok hozzáadását. Ellenkező esetben válassza a Kihagyás lehetőséget, és az összes hozzáadott kizárás el lesz vetve.
Felhasználói csoportok kizárása:
Ugyanebben a Defender-szakértők beállításaiban, a Kizárások területen lépjen a Felhasználói csoportok lapra.
Válassza a + Felhasználói csoportok hozzáadása lehetőséget, majd keresse meg és válassza ki a kizárni kívánt felhasználói csoport(oka)t.
Megjegyzés
Ez a lap csak a meglévő felhasználói csoportokat listázza. Ha új felhasználói csoportot szeretne létrehozni, először globális rendszergazdaként kell bejelentkeznie a Microsoft Entra ID felügyeleti központba. Ezután frissítse ezt a lapot az újonnan létrehozott csoport megkereséséhez és kiválasztásához.
További információ a felhasználói csoportok létrehozásáról
Válassza a Felhasználói csoportok hozzáadása lehetőséget.
A Felhasználói csoportok lapra visszatérve tekintse át a kizárt felhasználói csoportok listáját. Ha el szeretne távolítani egy felhasználói csoportot a kizárási listából, válassza azt, majd válassza a Felhasználói csoport eltávolítása lehetőséget.
Válassza a Tovább gombot a kizárási lista megerősítéséhez, és folytassa a kapcsolattartók vagy csoportok hozzáadását. Ellenkező esetben válassza a Kihagyás lehetőséget, és az összes hozzáadott kizárás el lesz vetve.
Megjegyzés
A felhasználókat csak úgy zárhatja ki, ha hozzáadja őket egy Microsoft Entra ID biztonsági csoporthoz. Helyszíni Entra-azonosítót használó felhasználók jelenleg nem zárhatók ki.
Ha a kezdeti beállítás után szerkeszteni vagy frissíteni szeretné a kizárásokat, lépjen a Beállítások>Defender-szakértők>kizárásai területre, majd az Eszközcsoportok vagy a Felhasználói csoportok lapra.
Mondja el, hogy kihez forduljon fontos kérdésekben
Az XDR-hez készült Defender-szakértők segítségével meghatározhatja, hogy a szervezeten belül mely személyekről vagy csoportokról kell értesítést kapnia, ha kritikus incidensek, szolgáltatásfrissítések, alkalmi lekérdezések és egyéb javaslatok merülnek fel:
Incidensértesítési kapcsolattartók – Ezek a kapcsolattartók olyan személyek vagy csapatok, akikről értesíthetjük a felügyelt válaszműveleteket, vagy bármely olyan kommunikációt, amely azonnali választ igényel. A kommunikáció sürgős jellegéből adódóan azt javasoljuk, hogy ezek a kapcsolatok mindig elérhetők legyenek.
Szolgáltatásértékelési kapcsolattartók – Ezek a kapcsolattartók olyan személyek vagy csapatok, amelyekkel kapcsolatba léphetünk a szolgáltatáskézbesítési csapatunk által végzett folyamatos biztonsági eligazítások során.
Az azonosítást követően a személyek vagy csoportok e-mailt kapnak, amely értesíti őket arról, hogy kapcsolattartóként voltak incidensértesítési vagy szolgáltatás-felülvizsgálati célból.
Értesítési kapcsolattartók hozzáadása:
Ugyanebben a Defender Experts beállításban, a Névjegyek csoportban keresse meg és adja hozzá a partnerét vagy csapatát a megadott szövegmezőben.
Adjon hozzá egy telefonszámot (nem kötelező), amelyet a Defender szakértői azonnali beavatkozást igénylő ügyekhez hívhatnak meg.
A Kapcsolattartó legördülő listában válassza az Incidensértesítés vagy a Szolgáltatás áttekintése lehetőséget.
Válassza a Hozzáadás lehetőséget.
A Tovább gombra kattintva erősítse meg a partnerlistát, és hozzon létre egy Teams-csatornát , ahol incidensértesítéseket is fogadhat.
Ha az értesítési névjegyeket a kezdeti beállítás után szeretné szerkeszteni vagy frissíteni, lépjen a Beállítások>Defender-szakértők>értesítési névjegyei területre.
Felügyelt válaszértesítések és -frissítések fogadása a Microsoft Teamsben
Az e-mailes és a portálon belüli csevegésen kívül lehetősége van arra is, hogy a Microsoft Teams használatával megkapja a felügyelt válaszok frissítéseit, és valós időben kommunikáljon szakértőivel. Ha ez a beállítás be van kapcsolva, létrejön egy Defender Experts csapat nevű új csapat, ahol a folyamatban lévő incidensekkel kapcsolatos felügyelt válaszértesítések új bejegyzésként lesznek elküldve a felügyelt válaszcsatornában .
További információ a Teams-csevegés használatáról
Fontos
A Defender-szakértők hozzáférhetnek a létrehozott Defender-szakértők csapatának bármely csatornáján közzétett összes üzenethez. Ha meg szeretné akadályozni, hogy a Defender-szakértők hozzáférjenek a csapat üzeneteihez, lépjen az Alkalmazások a Teamsben területre, majd navigáljon az Alkalmazások> kezeléseDefender-szakértők>eltávolítása területre. Ez az eltávolítási művelet nem vonható vissza.
A Teams-értesítések és a csevegés bekapcsolása:
Ugyanebben a Defender Experts beállításban a Teams alatt jelölje be a Kommunikáció a Teamsben jelölőnégyzetet.
A beállítások áttekintéséhez válassza a Tovább gombot.
Válassza a Küldés lehetőséget. A részletes útmutató ezután befejezi a kezdeti telepítést.
A Defender Experts Teams alkalmazás beállításához globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel és Microsoft Teams-licenccel kell rendelkeznie.
Ha a kezdeti beállítás után szeretné bekapcsolni a Teams-értesítéseket és a csevegést, nyissa meg a Beállítások>Defender-szakértők>csoportjait.
Ha új tagokat szeretne felvenni a csatornába, lépjen a Defender-szakértők csapatának>További lehetőségek (...)> menüpontjára.Csapat> kezeléseTag hozzáadása.
Ha korlátozni szeretné, hogy ki csatlakozhat ehhez a csapathoz, lépjen a Defender-szakértők csapatához>További lehetőségek (...)>Beállítások>Szerkeszt>Csapat> kezeléseMagánjellegű.
A környezet előkészítése a Defender Experts szolgáltatáshoz
A szolgáltatásnyújtás előkészítésén kívül a Microsoft Defender XDR termékcsomaggal kapcsolatos szakértelmünk lehetővé teszi az XDR-hez készült Defender-szakértők számára, hogy készenlét-felmérést végezhessenek, és a lehető legtöbbet hozhassa ki a Microsoft biztonsági termékeiből.
A készültségi felmérés a környezetben található védett eszközök és identitások számán, valamint a Defender-szakértők szabályzatjavaslatán alapul. Az értékelés megtekintéséhez a Microsoft Defender portálon lépjen a Beállítások>Defender-szakértők területre, majd válassza a Szolgáltatás állapota lehetőséget.
A készültségi felmérés két részből áll:
Szükséges műveletek – Ez a szakasz a végrehajtandó, folyamatban lévő vagy befejezett műveletek vagy biztonsági beállítások számát mutatja. Ezek a műveletek a lap alsó részén található táblázatban vannak felsorolva.
A lista a szolgáltatás elindítása előtt szükséges lépéseket ismerteti. Rangsorolja azokat a műveleteket, amelyek Befejezve most állapottal rendelkeznek, hogy az XDR-hez készült Defender-szakértők szolgáltatás hamarabb elinduljon.
Megjegyzés
A biztonsági beállítások legfrissebb állapotának lekérése akár 24 órát is igénybe vehet.
Védett eszközök – Ez a szakasz a védett eszközök és identitások aktuális számát mutatja, szemben azokkal, amelyeket továbbra is védenie kell az XDR-hez készült Defender-szakértők szolgáltatás elindításához.
Az XDR-hez készült Defender-szakértők rendszeres időközönként ellenőrzik a készültségi értékelést, különösen akkor, ha a környezetben bármilyen változás történik, például új eszközök és identitások hozzáadása. Fontos, hogy a kezdeti előkészítésen túl rendszeresen monitorozza és futtassa a készültségi értékelést annak érdekében, hogy a környezet erős biztonsági állapottal rendelkezzen a kockázatok csökkentése érdekében.
Miután elvégezte az összes szükséges feladatot, és teljesítette az előkészítési célokat a készültségi felmérésben, a szolgáltatáskézbesítési vezető (SDM) megkezdi az XDR-hez készült Defender-szakértők monitorozási fázisát, ahol szakértőink néhány napig szorosan figyelik a környezetet a látens fenyegetések, a kockázatforrások és a normál tevékenység azonosítása érdekében. Amint jobban megértjük a kritikus fontosságú objektumokat, egyszerűsíthetjük a szolgáltatást, és finomhangolhatjuk a válaszainkat.
Amint szakértőink megkezdik az Átfogó reagálási munkát az Ön nevében, értesítéseket fog kapni azokról az incidensekről , amelyek javítási lépéseket és célzott javaslatokat igényelnek a kritikus incidensekkel kapcsolatban. Emellett cseveghet szakértőinkkel vagy az SDM-ekkel a fontos lekérdezésekkel és a rendszeres üzleti és biztonsági helyzetértékelésekkel kapcsolatban. Emellett valós idejű jelentéseket is megtekinthet az Ön nevében kivizsgált és megoldott incidensek számáról.
A Microsoft Applied Skills hitelesítő adatainak megszerzéséhez a tanulók bemutatják, hogy a Microsoft Defender XDR használatával képesek észlelni és reagálni a kibertámadásokra. A hitelesítő adatokra pályázóknak tisztában kell lenniük a végpontok elleni támadásokkal kapcsolatos bizonyítékok vizsgálatával és gyűjtésével. A Végponthoz készült Microsoft Defender és a Kusto lekérdezésnyelv (KQL) használatát is tapasztalatokkal kell rendelkezniük.