Megosztás a következőn keresztül:

Ismerkedés az XDR-hez készült Microsoft Defender-szakértőkkel

  • Cikk

Érintett szolgáltatás:

Az előkészítési utasításokért tekintse meg ezt a rövid videót.

Miután az XDR-hez készült Defender-szakértők csapata készen áll a szervezet előkészítésére, üdvözlő e-mailt fog kapni a beállítás folytatásához és az első lépésekhez.

Az üdvözlő e-mailben található hivatkozásra kattintva közvetlenül elindíthatja a Defender-szakértők beállításainak beállítását a Microsoft Defender portálon. Ezt a beállítást úgy is megnyithatja, hogy a Beállítások>Defender-szakértők területen az Első lépések lehetőséget választja.

Képernyőkép a Defender for Experts XDR beállításainak Első lépések oldaláról lépésről lépésre.

Engedélyek megadása szakértőinknek

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Alapértelmezés szerint az XDR-hez készült Defender-szakértőknek szolgáltatói hozzáférésre van szükségük, amely lehetővé teszi, hogy a szakértőink bejelentkezhessenek a bérlőbe, és a hozzárendelt biztonsági szerepkörök alapján nyújtsanak szolgáltatásokat. További információ a bérlők közötti hozzáférésről

Emellett meg kell adnia szakértőinknek az alábbi engedélyek egyikét vagy mindkettőt:

  • Incidensek kivizsgálása és a válaszok útmutatója (alapértelmezett) – Ezzel a beállítással szakértőink proaktívan figyelik és kivizsgálják az incidenseket, és végigvezetik Önt a szükséges reagálási műveleteken. (Hozzáférési szint: Biztonsági olvasó)
  • Közvetlen reagálás aktív fenyegetésekre (ajánlott) – Ez a lehetőség lehetővé teszi, hogy szakértőink azonnal tartalmazzák és orvosolják az aktív fenyegetéseket a vizsgálat során, ezáltal csökkentve a fenyegetés hatását, és javítva az általános válaszhatékonyságot. (Hozzáférési szint: Biztonsági operátor)

Képernyőkép a Kizárások kezelése lehetőségről az XDR-hez készült Defender-szakértők beállításakor.

Fontos

Ha kihagyja a további engedélyek megadását, a szakértőink nem fognak tudni bizonyos válaszműveleteket végrehajtani a szervezet biztonsága érdekében.

Annak ellenére, hogy szakértőink megkapják ezeket a viszonylag hatékony engedélyeket, csak korlátozott ideig lesznek egyéni hozzáférésük bizonyos területekhez. További információ az XDR-engedélyekhez készült Defender-szakértők működéséről

Szakértőink engedélyeinek megadása:

  1. Ugyanebben a Defender-szakértők beállításaiban, az Engedélyek területen válassza ki a szakértőinknek biztosítani kívánt hozzáférési szintet(ok).

  2. Ha ki szeretné zárni a szervezet eszköz- és felhasználói csoportjait a szervizelési műveletekből, válassza a Kizárások kezelése lehetőséget.

  3. A Tovább gombra kattintva felvehet partnereket vagy csoportokat.

Az engedélyek kezdeti beállítás utáni szerkesztéséhez vagy frissítéséhez lépjen a BeállításokDefender-szakértők>engedélyei> területre.

Eszközök és felhasználók kizárása a szervizelésből

Az XDR-hez készült Defender-szakértők segítségével kizárhatja az eszközöket és a felhasználókat a szakértőink által végrehajtott szervizelési műveletekből, és ehelyett szervizelési útmutatást kaphat ezekhez az entitásokhoz. Ezek a kizárások a Végponthoz készült Microsoft Defenderben azonosított eszközcsoportokon és a Microsoft Entra ID-ban azonosított felhasználói csoportokon alapulnak.

Eszközcsoportok kizárása:

  1. Ugyanebben a Defender-szakértők beállításaiban, a Kizárások területen lépjen az Eszközcsoportok lapra.

  2. Válassza a + Eszközcsoportok hozzáadása lehetőséget, majd keresse meg és válassza ki a kizárni kívánt eszközcsoport(oka)t.

    Megjegyzés:

    Ez a lap csak a meglévő eszközcsoportokat listázza. Ha új eszközcsoportot szeretne létrehozni, először meg kell keresnie a Végponthoz készült Defender beállításait a Microsoft Defender portálon. Ezután frissítse ezt a lapot az újonnan létrehozott csoport megkereséséhez és kiválasztásához. További információ az eszközcsoportok létrehozásáról

  3. Válassza az Eszközcsoportok hozzáadása lehetőséget.

  4. Az Eszközcsoportok lapra visszatérve tekintse át a kizárt eszközcsoportok listáját. Ha el szeretne távolítani egy eszközcsoportot a kizárási listából, válassza ki, majd válassza az Eszközcsoport eltávolítása lehetőséget.

  5. Válassza a Tovább gombot a kizárási lista megerősítéséhez, és folytassa a kapcsolattartók vagy csoportok hozzáadását. Ellenkező esetben válassza a Kihagyás lehetőséget, és az összes hozzáadott kizárás el lesz vetve.

Képernyőkép az eszközcsoportok kizárásának lehetőségéről.

Felhasználói csoportok kizárása:

  1. Ugyanebben a Defender-szakértők beállításaiban, a Kizárások területen lépjen a Felhasználói csoportok lapra.

  2. Válassza a + Felhasználói csoportok hozzáadása lehetőséget, majd keresse meg és válassza ki a kizárni kívánt felhasználói csoport(oka)t.

    Megjegyzés:

    Ez a lap csak a meglévő felhasználói csoportokat listázza. Ha új felhasználói csoportot szeretne létrehozni, először globális rendszergazdaként kell bejelentkeznie a Microsoft Entra ID felügyeleti központba. Ezután frissítse ezt a lapot az újonnan létrehozott csoport megkereséséhez és kiválasztásához. További információ a felhasználói csoportok létrehozásáról

  3. Válassza a Felhasználói csoportok hozzáadása lehetőséget.

  4. A Felhasználói csoportok lapra visszatérve tekintse át a kizárt felhasználói csoportok listáját. Ha el szeretne távolítani egy felhasználói csoportot a kizárási listából, válassza azt, majd válassza a Felhasználói csoport eltávolítása lehetőséget.

  5. Válassza a Tovább gombot a kizárási lista megerősítéséhez, és folytassa a kapcsolattartók vagy csoportok hozzáadását. Ellenkező esetben válassza a Kihagyás lehetőséget, és az összes hozzáadott kizárás el lesz vetve.

Képernyőkép a felhasználói csoportok kizárásához az XDR-hez készült Defender-szakértőkben.

Megjegyzés:

A felhasználókat csak úgy zárhatja ki, ha hozzáadja őket egy Microsoft Entra ID biztonsági csoporthoz. Helyszíni Entra-azonosítót használó felhasználók jelenleg nem zárhatók ki.

Ha a kezdeti beállítás után szerkeszteni vagy frissíteni szeretné a kizárásokat, lépjen a Beállítások>Defender-szakértők>kizárásai területre, majd az Eszközcsoportok vagy a Felhasználói csoportok lapra.

Mondja el, hogy kihez forduljon fontos kérdésekben

Az XDR-hez készült Defender-szakértők segítségével meghatározhatja, hogy a szervezeten belül mely személyekről vagy csoportokról kell értesítést kapnia, ha kritikus incidensek, szolgáltatásfrissítések, alkalmi lekérdezések és egyéb javaslatok merülnek fel:

  • Incidensértesítési kapcsolattartók – Ezek a kapcsolattartók olyan személyek vagy csapatok, akikről értesíthetjük a felügyelt válaszműveleteket, vagy bármely olyan kommunikációt, amely azonnali választ igényel. A kommunikáció sürgős jellegéből adódóan azt javasoljuk, hogy ezek a kapcsolatok mindig elérhetők legyenek.
  • Szolgáltatásértékelési kapcsolattartók – Ezek a kapcsolattartók olyan személyek vagy csapatok, amelyekkel kapcsolatba léphetünk a szolgáltatáskézbesítési csapatunk által végzett folyamatos biztonsági eligazítások során.

Az azonosítást követően a személyek vagy csoportok e-mailt kapnak, amely értesíti őket arról, hogy kapcsolattartóként voltak incidensértesítési vagy szolgáltatás-felülvizsgálati célból.

Képernyőkép a Defender for Experts XDR beállításainak incidenskapcsolati oldaláról lépésenkénti útmutatóban.

Értesítési kapcsolattartók hozzáadása:

  1. Ugyanebben a Defender Experts beállításban, a Névjegyek csoportban keresse meg és adja hozzá a partnerét vagy csapatát a megadott szövegmezőben.

  2. Adjon hozzá egy telefonszámot (nem kötelező), amelyet a Defender szakértői azonnali beavatkozást igénylő ügyekhez hívhatnak meg.

  3. A Kapcsolattartó legördülő listában válassza az Incidensértesítés vagy a Szolgáltatás áttekintése lehetőséget.

  4. Válassza a Hozzáadás lehetőséget.

  5. A Tovább gombra kattintva erősítse meg a partnerlistát, és hozzon létre egy Teams-csatornát , ahol incidensértesítéseket is fogadhat.

Ha az értesítési névjegyeket a kezdeti beállítás után szeretné szerkeszteni vagy frissíteni, lépjen a Beállítások>Defender-szakértők>értesítési névjegyei területre.

Képernyőkép az értesítési partnerekről.

Felügyelt válaszértesítések és -frissítések fogadása a Microsoft Teamsben

Az e-mailes és a portálon belüli csevegésen kívül lehetősége van arra is, hogy a Microsoft Teams használatával megkapja a felügyelt válaszok frissítéseit, és valós időben kommunikáljon szakértőivel. Ha ez a beállítás be van kapcsolva, létrejön egy Defender Experts csapat nevű új csapat, ahol a folyamatban lévő incidensekkel kapcsolatos felügyelt válaszértesítések új bejegyzésként lesznek elküldve a felügyelt válaszcsatornában . További információ a Teams-csevegés használatáról

Fontos

A Defender-szakértők hozzáférhetnek a létrehozott Defender-szakértők csapatának bármely csatornáján közzétett összes üzenethez. Ha meg szeretné akadályozni, hogy a Defender-szakértők hozzáférjenek a csapat üzeneteihez, lépjen az Alkalmazások a Teamsben területre, majd navigáljon az Alkalmazások> kezeléseDefender-szakértők>eltávolítása területre. Ez az eltávolítási művelet nem vonható vissza.

A Teams-értesítések és a csevegés bekapcsolása:

  1. Ugyanebben a Defender Experts beállításban a Teams alatt jelölje be a Kommunikáció a Teamsben jelölőnégyzetet.

  2. A beállítások áttekintéséhez válassza a Tovább gombot.

  3. Válassza a Küldés lehetőséget. A részletes útmutató ezután befejezi a kezdeti telepítést.

  4. Válassza a Készültségi felmérés megtekintése lehetőséget a biztonsági állapot optimalizálásához szükséges műveletek elvégzéséhez.

Megjegyzés:

A Defender Experts Teams alkalmazás beállításához globális rendszergazdai vagy biztonsági rendszergazdai szerepkörrel és Microsoft Teams-licenccel kell rendelkeznie.

Ha a kezdeti beállítás után szeretné bekapcsolni a Teams-értesítéseket és a csevegést, nyissa meg a Beállítások>Defender-szakértők>csoportjait.

Képernyőkép a Teams aktiválásának lehetőségéről a felügyelt válasz fogadásához.

  • Ha új tagokat szeretne felvenni a csatornába, lépjen a Defender-szakértők csapatának>További lehetőségek (...)> menüpontjára.Csapat> kezeléseTag hozzáadása.
  • Ha korlátozni szeretné, hogy ki csatlakozhat ehhez a csapathoz, lépjen a Defender-szakértők csapatához>További lehetőségek (...)>Beállítások>Szerkeszt>Csapat> kezeléseMagánjellegű.

A környezet előkészítése a Defender Experts szolgáltatáshoz

A szolgáltatásnyújtás előkészítésén kívül a Microsoft Defender XDR termékcsomaggal kapcsolatos szakértelmünk lehetővé teszi az XDR-hez készült Defender-szakértők számára, hogy készenlét-felmérést végezhessenek, és a lehető legtöbbet hozhassa ki a Microsoft biztonsági termékeiből.

A készültségi felmérés a környezetben található védett eszközök és identitások számán, valamint a Defender-szakértők szabályzatjavaslatán alapul. Az értékelés megtekintéséhez a Microsoft Defender portálon lépjen a Beállítások>Defender-szakértők területre, majd válassza a Szolgáltatás állapota lehetőséget.

A készültségi felmérési környezet képernyőképe.

A készültségi felmérés két részből áll:

  • Szükséges műveletek – Ez a szakasz a végrehajtandó, folyamatban lévő vagy befejezett műveletek vagy biztonsági beállítások számát mutatja. Ezek a műveletek a lap alsó részén található táblázatban vannak felsorolva.

    A lista a szolgáltatás elindítása előtt szükséges lépéseket ismerteti. Rangsorolja azokat a műveleteket, amelyek Befejezve most állapottal rendelkeznek, hogy az XDR-hez készült Defender-szakértők szolgáltatás hamarabb elinduljon.

    Megjegyzés:

    A biztonsági beállítások legfrissebb állapotának lekérése akár 24 órát is igénybe vehet.

  • Védett eszközök – Ez a szakasz a védett eszközök és identitások aktuális számát mutatja, szemben azokkal, amelyeket továbbra is védenie kell az XDR-hez készült Defender-szakértők szolgáltatás elindításához.

    Az adatok a Végponthoz készült Defender és a Defender for Identity licencén alapulnak; a védett objektumok ezen célszámának eléréséhez , több eszköz előkészítéséhez a Végponthoz készült Defenderbe, vagy telepítsen több Defender for Identity-érzékelőt.

Fontos

Az XDR-hez készült Defender-szakértők rendszeres időközönként ellenőrzik a készültségi értékelést, különösen akkor, ha a környezetben bármilyen változás történik, például új eszközök és identitások hozzáadása. Fontos, hogy a kezdeti előkészítésen túl rendszeresen monitorozza és futtassa a készültségi értékelést annak érdekében, hogy a környezet erős biztonsági állapottal rendelkezzen a kockázatok csökkentése érdekében.

Miután elvégezte az összes szükséges feladatot, és teljesítette az előkészítési célokat a készültségi felmérésben, a szolgáltatáskézbesítési vezető (SDM) megkezdi az XDR-hez készült Defender-szakértők monitorozási fázisát, ahol szakértőink néhány napig szorosan figyelik a környezetet a látens fenyegetések, a kockázatforrások és a normál tevékenység azonosítása érdekében. Amint jobban megértjük a kritikus fontosságú objektumokat, egyszerűsíthetjük a szolgáltatást, és finomhangolhatjuk a válaszainkat.

Amint szakértőink megkezdik az Átfogó reagálási munkát az Ön nevében, értesítéseket fog kapni azokról az incidensekről , amelyek javítási lépéseket és célzott javaslatokat igényelnek a kritikus incidensekkel kapcsolatban. Emellett cseveghet szakértőinkkel vagy az SDM-ekkel a fontos lekérdezésekkel és a rendszeres üzleti és biztonsági helyzetértékelésekkel kapcsolatban. Emellett valós idejű jelentéseket is megtekinthet az Ön nevében kivizsgált és megoldott incidensek számáról.

További lépés

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.