Megosztás a következőn keresztül:

Az XDR-hez készült Defender-szakértők használatának megkezdése

  • Cikk

Érintett szolgáltatás:

Miután elvégezte az előkészítési lépéseket és az XDR-hez készült Microsoft Defender-szakértők felkészültségi ellenőrzését, szakértőink megkezdik a környezet monitorozását a szolgáltatás egyszerűsítése érdekében, hogy átfogó szolgáltatást hajthassunk végre az Ön nevében. Ebben a szakaszban szakértőink azonosítják a látens fenyegetéseket, a kockázatforrásokat és a normál tevékenységet.

Amint szakértőink megkezdik az Átfogó reagálási munkát az Ön nevében, értesítéseket fog kapni azokról az incidensekről, amelyek javítási lépéseket és célzott javaslatokat igényelnek a kritikus incidensekkel kapcsolatban. Emellett cseveghet szakértőinkkel vagy a szolgáltatáskézbesítési vezetőkkel (SDM-ekkel) a fontos lekérdezésekkel és a rendszeres üzleti és biztonsági helyzetértékelésekkel kapcsolatban, és valós idejű jelentéseket tekinthet meg az Ön nevében kivizsgált és megoldott incidensek számáról.

Felügyelt észlelés és válasz

Az automatizálás és az emberi szakértelem kombinációjával az XDR-hez készült Defender-szakértők osztályozják a Microsoft Defender XDR-incidenseket, rangsorolja őket az Ön nevében, kiszűri a zajt, részletes vizsgálatokat végez, és végrehajtható felügyelt választ biztosít a biztonsági üzemeltetési központ (SOC) csapatainak.

Incidensfrissítések

Amint szakértőink megkezdik az incidens kivizsgálását, az incidens hozzárendelt és állapotmezői frissülnek a Defender-szakértőkre , illetve a Folyamatban állapotra.

Amikor szakértőink lezárják az incidenssel kapcsolatos vizsgálatukat, az incidens besorolási mezője a szakértők megállapításaitól függően az alábbiak egyikére frissül:

  • Valódi pozitív
  • Hamis pozitív
  • Tájékoztató, várt tevékenység

Az egyes besorolásoknak megfelelő Determináció mező is frissül, hogy további megállapításokat nyújtson azokról az eredményekről, amelyek alapján szakértőink meghatározták az említett besorolást.

Képernyőkép az Incidensek lapról, amelyen a Címkék, az Állapot, a Hozzárendelt, a Besorolás és a Meghatározás mező látható.

Ha egy incidens hamis pozitív vagy tájékoztató, várt tevékenységként van besorolva, akkor az incidens Állapot mezőjét a Rendszer feloldva értékre frissíti. Szakértőink ezután befejezik az incidenssel kapcsolatos munkájukat, és a Hozzárendelt mező hozzárendelés nélküli állapotúra frissül. Szakértőink megoszthatják a vizsgálat során kapott frissítéseket és az incidensek megoldása során levont következtetéseket. Ezek a frissítések az incidens Megjegyzések és előzmények úszó paneljén jelennek meg.

Megjegyzés:

Az incidensekkel kapcsolatos megjegyzések egyirányú bejegyzések. A Defender szakértői nem válaszolhatnak a Megjegyzések és előzmények panelen hozzáadott megjegyzésekre és kérdésekre. További információ a szakértőkkel való kapcsolattartásról: Kommunikáció a Microsoft Defender szakértőivel az XDR-hez szolgáltatásban.

Ellenkező esetben, ha egy incidens igaz pozitívként van besorolva, a szakértőink azonosítják a szükséges válaszlépéseket, amelyeket végre kell hajtani. A műveletek végrehajtásának módja attól függ, hogy milyen engedélyeket és hozzáférési szinteket adott az XDR-hez készült Defender-szakértőknek. További információ az engedélyek szakértőknek való megadásáról.

  • Ha az XDR-hez biztosított Defender-szakértőknek az ajánlott biztonsági operátori hozzáférési engedélyeket, szakértőink az Ön nevében elvégezhetik a szükséges reagálási műveleteket az incidensen. Ezek a műveletek a Vizsgálat összegzésével együtt megjelennek az incidens Felügyelt válasz úszó paneljén a Microsoft Defender portálon, ahol Ön vagy az SOC csapata áttekintheti. Az XDR-hez készült Defender-szakértők által elvégzett összes művelet a Befejezett műveletek szakaszban jelenik meg. Azok a függőben lévő műveletek, amelyek végrehajtásához Ön vagy az SOC-csapat szükséges, a Függőben lévő műveletek szakaszban jelennek meg. További információt a Műveletek szakaszban talál. Miután szakértőink elvégezték az incidenssel kapcsolatos összes szükséges műveletet, az Állapot mező a Feloldva , a Hozzárendelve mező pedig a Hozzárendelés nélküli állapotra frissül.

  • Ha alapértelmezett biztonsági olvasói hozzáférést adott az XDR-hez készült Defender-szakértőknek, akkor a szükséges válaszműveletek és a vizsgálat összefoglalása megjelennek az incidens Felügyelt válasz úszó paneljén, a Microsoft Defender portál Függőben lévő műveletek szakaszában, ön vagy az SOC-csapat számára. További információt a Műveletek szakaszban talál. Az átadás azonosításához az incidens Állapot mezője az Ügyfélműveletre vár , a Hozzárendelt mező pedig az Ügyfélre frissül.

A műveletet igénylő incidensek számát a Microsoft Defender kezdőlapjának tetején található Defender-szakértők szalagcímen ellenőrizheti.

Képernyőkép a Microsoft Defender portálOn található Defender-szakértők kártyáról, amelyen az ügyfél beavatkozására váró incidensek száma látható.

A szakértőink által vizsgált vagy jelenleg vizsgált incidensek megtekintéséhez szűrje az incidenssort a Microsoft Defender portálon a Defender Experts címkével.

Képernyőkép a Microsoft Defender portál Incidensek üzenetsoráról, amely úgy van szűrve, hogy csak a Defender Experts címkével rendelkezőket jelenítse meg.

Felügyelt válasz használata a Microsoft Defender XDR-ben

A Microsoft Defender portálon egy felügyelt válasz használatával beavatkozást igénylő incidenshez az Ügyfélhezrendelve mező, az Incidensek panel tetején pedig egy feladatkártya van beállítva. A kijelölt incidens kapcsolattartói is kapnak egy megfelelő e-mail-értesítést, amely a Defender portálra mutató hivatkozást tartalmaz az incidens megtekintéséhez. További információ az értesítési kapcsolattartókról.

Válassza a Felügyelt válasz megtekintése lehetőséget a feladatkártyán vagy a portállap tetején (Felügyelt válasz lap) egy úszó panel megnyitásához, ahol elolvashatja szakértőink vizsgálatának összegzését, befejezheti a szakértők által azonosított függőben lévő műveleteket, vagy csevegésen keresztül kapcsolatba léphet velük.

Vizsgálat összefoglalása

A Vizsgálat összefoglalása szakasz további kontextust biztosít a szakértőink által elemzett incidenssel kapcsolatban, így áttekintheti annak súlyosságát és lehetséges hatását, ha nem foglalkozik azonnal. Ide tartozhat az eszköz idővonala, a támadás jelzői, a megfigyelt biztonsági rések (IOK- és egyéb adatok) jelzése.

Képernyőkép a felügyelt válasz vizsgálatának összefoglalásáról.

Műveletek

A Műveletek lapon a szakértők által javasolt válaszműveleteket tartalmazó feladatkártyák láthatók.

Az XDR-hez készült Defender-szakértők jelenleg a következő egykattintásos felügyelt válaszműveleteket támogatják:

Művelet Leírás
Eszköz elkülönítése Elkülönít egy eszközt, amely megakadályozza, hogy a támadók irányítják azt, és további tevékenységeket hajtanak végre, például adatkiszivárgást és oldalirányú mozgást. Az elkülönített eszköz továbbra is csatlakozik a Végponthoz készült Microsoft Defenderhez.
Karanténfájl Leállítja a folyamatok futtatását, karanténba helyezi a fájlokat, és törli az állandó adatokat, például a beállításkulcsokat.
Alkalmazásvégrehajtás korlátozása Korlátozza a potenciálisan rosszindulatú programok végrehajtását, és zárolja az eszközt a további kísérletek megelőzése érdekében.
Az elkülönítés alóli feloldás Visszavonja az eszköz elkülönítését.
Alkalmazáskorlátozás eltávolítása Visszavonja az elkülönítés alóli feloldást.

Ezeken az egykattintásos műveleteken kívül olyan felügyelt válaszokat is kaphat szakértőinktől, amelyeket manuálisan kell elvégeznie.

Megjegyzés:

Az ajánlott felügyelt válaszműveletek végrehajtása előtt győződjön meg arról, hogy az automatizált vizsgálat és válaszkonfigurációk még nem kezelik őket. További információ a Microsoft Defender XDR automatizált vizsgálati és válaszképességeiről.

A felügyelt válaszműveletek megtekintése és végrehajtása:

  1. A műveletkártyák nyílgombjaival kibonthatja azt, és további információkat olvashat a szükséges műveletről.

    Képernyőkép a felügyelt válaszműveletről az eszköz prod-kiszolgálójának elkülönítéséhez.

  2. Az egykattintásos válaszműveleteket tartalmazó kártyák esetében válassza ki a szükséges műveletet. A kártyán a Művelet állapotaFolyamatban, majd Sikertelen vagy Befejezve értékre változik a művelet eredményétől függően.

    Képernyőkép a felügyelt válaszműveletről, amely azt mutatja, hogy folyamatban van az eszköz prod-kiszolgálójának elkülönítése.

    Tipp

    A portálon belüli válaszműveletek állapotát a Műveletközpontban is figyelheti. Ha egy válaszművelet sikertelen, próbálkozzon újra az Eszköz részleteinek megtekintése lapon, vagy kezdeményezzen csevegést a Defender szakértőivel.

  3. Ha manuálisan kell elvégeznie a szükséges műveleteket tartalmazó kártyákat, jelölje be a Végrehajtottam ezt a műveletet , miután végrehajtotta őket, majd válassza az Igen, elvégeztem lehetőséget a megjelenő megerősítési párbeszédpanelen.

    Képernyőkép a művelet befejezésének megerősítésére irányuló felügyelt válaszműveletről.

  4. Ha nem szeretne azonnal végrehajtani egy szükséges műveletet, válassza a Kihagyás lehetőséget, majd válassza az Igen, kihagyom ezt a műveletet a megjelenő megerősítési párbeszédpanelen.

Fontos

Ha azt tapasztalja, hogy a műveletkártyákon lévő gombok bármelyike szürkén jelenik meg, az azt jelezheti, hogy nem rendelkezik a művelet végrehajtásához szükséges engedélyekkel. Győződjön meg arról, hogy a megfelelő engedélyekkel van bejelentkezve a Microsoft Defender XDR portálra. A legtöbb felügyelt válaszművelethez legalább biztonsági operátori hozzáféréssel kell rendelkeznie.

Ha a probléma továbbra is fennáll a megfelelő engedélyekkel, lépjen az Eszköz részleteinek megtekintése területre, és végezze el onnan a lépéseket.

Betekintés a Defender-szakértők vizsgálataiba az SIEM- vagy ITSM-alkalmazásban

Mivel az XDR-hez készült Defender-szakértők kivizsgálják az incidenseket, és javítási műveleteket végeznek, láthatják az incidensekkel kapcsolatos munkájukat a biztonsági információ- és eseménykezelési (SIEM) és az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokban, beleértve a beépített alkalmazásokat is.

Microsoft Sentinel

Az incidensek láthatóságát a Microsoft Sentinelben a beépített Microsoft Defender XDR-adatösszekötő bekapcsolásával érheti el. További információ.

Miután bekapcsolta az összekötőt, a Defender szakértői frissítik a Microsoft Defender XDR Állapot, Hozzárendelt, Besorolás és Meghatározás mezőit a Sentinel megfelelő Állapot, Tulajdonos és Ok mezőiben.

Megjegyzés:

A Microsoft Defender XDR-ben a Defender szakértői által vizsgált incidensek állapota általában aktívrólfolyamatban állapotúra vált az Ügyfélműveletre váró állapotról a Megoldva állapotra, míg a Sentinelben a New to Active to Resolved elérési utat követi. A Microsoft Defender XDR ügyfélműveletre váró állapota nem rendelkezik megfelelő mezővel a Sentinelben; ehelyett címkeként jelenik meg egy incidensben a Sentinelben.

A következő szakasz azt ismerteti, hogy a szakértők által kezelt incidensek hogyan frissülnek a Sentinelben a vizsgálati folyamat során:

  1. A szakértőink által vizsgált incidens állapotaAktív , a Tulajdonos pedig Defender-szakértők.
  2. Egy incidens, amelyet a szakértőink igaz pozitívként megerősítettek, egy felügyelt választ tettek közzé a Microsoft Defender XDR-ben, és egy Ügyfélre várócímkét, a tulajdonos pedig ügyfélként van felsorolva. A megadott felügyelt válasz alapján kell eljárnia az incidenssel kapcsolatban.
  3. Miután szakértőink lezárták a vizsgálatot, és hamis pozitív vagy tájékoztató, várt tevékenységként lezártak egy incidenst, az incidens állapotaMegoldva értékre frissül, a tulajdonos hozzárendelés nélkülire frissül, és meg van adva a lezárás oka .

Képernyőkép a Microsoft Sentinel-incidensekről.

Egyéb alkalmazások

A Microsoft Defender XDR API vagy a Sentinel összekötőinek használatával betekintést nyerhet az SIEM- vagy ITSM-alkalmazás incidenseibe.

Az összekötő konfigurálása után a Defender szakértői által az incidens állapotának, hozzárendelt, besorolási és meghatározási mezőinek Frissítései a Microsoft Defender XDR-ben szinkronizálhatók a külső SIEM- vagy ITSM-alkalmazásokkal a mezőleképezés implementálásától függően. Ennek szemléltetéséhez tekintse meg a Sentinelből a ServiceNow-ba elérhető összekötőt.

Valós idejű láthatóság az XDR-jelentésekhez készült Defender-szakértőkkel

Az XDR-hez készült Defender-szakértők interaktív, igény szerinti jelentést tartalmaznak, amely világosan összefoglalja a szakértői elemzőink által az Ön nevében végzett munkát, összesített információkat az incidensek környezetéről, valamint részletes részleteket az egyes incidensekről. A szolgáltatáskézbesítési vezető (SDM) a jelentést arra is felhasználja, hogy több kontextust biztosítson a szolgáltatással kapcsolatban egy havi üzleti felülvizsgálat során.

Képernyőkép az XDR-hez készült Defender-szakértők jelentéséről.

A jelentés minden egyes szakasza úgy van kialakítva, hogy több betekintést nyújtson a szakértőink által az Ön környezetében megvizsgált és megoldott incidensekbe valós időben. A Dátumtartomány kiválasztásával részletes információkat kaphat az incidensekről a súlyosság és a kategória alapján, valamint megismerheti az incidensek adott időszakban történő kivizsgálásához és megoldásához szükséges időt.

Az XDR-hez készült Defender-szakértők jelentésének ismertetése

Az XDR-hez készült Defender-szakértők jelentés legfelső szakasza a környezetében megoldott incidensek százalékos arányát tartalmazza, és átláthatóságot biztosít a műveletekben. Ez a százalékos arány a következő, a jelentésben is bemutatott adatokból származik:

  • Kivizsgálva – Azon aktív fenyegetések és egyéb incidensek száma az incidenssorból, amelyeket osztályozottunk, kivizsgáltunk vagy jelenleg vizsgálunk a hatókörünkön belül.
  • Feloldva – A lezárt incidensek teljes száma.
  • Közvetlenül megoldva – Azon kivizsgált incidensek száma, amelyeket közvetlenül az Ön nevében tudtunk lezárni.
  • Megoldva a segítségével – Az egy vagy több felügyelt válaszfeladaton végzett művelet miatt megoldott kivizsgált incidensek száma.

Az Incidensek megoldásának átlagos ideje szakasz sávdiagramot jelenít meg az átlagos időről, percekben, a környezet incidenseinek vizsgálatával és bezárásával foglalkozó szakértőink, valamint a szükséges felügyelt válaszműveletek végrehajtásával töltött átlagos időről.

Az Incidensek súlyosság szerint, az Incidensek kategória szerint és az Incidensek szolgáltatásforrás szerint szakasz súlyosság, támadási technika és Microsoft biztonsági szolgáltatásforrás szerint bontja fel a megoldott incidenseket. Ezek a szakaszok lehetővé teszik a környezetben észlelt potenciális támadási belépési pontok és fenyegetéstípusok azonosítását, hatásuk felmérését, valamint a kockázat csökkentésére és megelőzésére szolgáló stratégiák kidolgozását. Válassza az Incidensek megtekintése lehetőséget, hogy szűrt nézetet kapjon az incidenssorról az egyes szakaszokban megadott beállítások alapján.

A Leginkább érintett eszközök szakasz azokat a felhasználókat és eszközöket mutatja be a környezetben, akik a kiválasztott dátumtartományban a legtöbb incidensben részt vettek. Láthatja az egyes objektumok által érintett incidensek mennyiségét. Válasszon ki egy objektumot az incidenssor szűrt nézetének lekéréséhez az adott objektumot tartalmazó incidensek alapján.

Proaktív felügyelt veszélyforrás-keresés

Az XDR-hez készült Defender-szakértők a Microsoft Defender veszélyforrás-kereséssel foglalkozó szakértői által kínált proaktív veszélyforrás-kereséseket is tartalmazzák. A Defender veszélyforrás-keresési szakértőit olyan ügyfelek számára hozták létre, akik robusztus biztonsági üzemeltetési központtal rendelkeznek, de azt szeretnék, hogy a Microsoft segítse őket a fenyegetések proaktív keresésében a Microsoft Defender adataival. Ez a proaktív veszélyforrás-keresési szolgáltatás túlmutat a végponton a végpontok, az Office 365, a felhőalkalmazások és az identitások közötti kereséshez. Szakértőink mindent megvizsgálnak, amit találnak, majd átadják a környezeti riasztási információkat és a javítási utasításokat, hogy gyorsan válaszolhassunk.

Speciális veszélyforrás-szakértelem kérése igény szerint

Válassza a Defender-szakértők megkérdezése lehetőséget közvetlenül a Microsoft Defender XDR portálon, hogy gyorsan és pontosan választ kapjon az összes fenyegetéssel kapcsolatos kérdésére. A szakértők betekintést nyújthatnak a szervezet által esetlegesen felmerülő összetett fenyegetések jobb megértéséhez. Forduljon egy szakértőhöz a következő műveletet illetően:

  • Gyűjtsön további információkat a riasztásokról és incidensekről, beleértve a kiváltó okokat és a hatókört.
  • Megismerheti a gyanús eszközöket, riasztásokat vagy incidenseket, és a következő lépéseket is megtudhatja, ha tapasztalt támadóval szembesül.
  • Határozza meg a tevékenységcsoportokhoz, kampányokhoz vagy feltörekvő támadó technikákhoz kapcsolódó kockázatokat és az elérhető védelmet.

Megjegyzés:

A Szakértők válaszolnak nem biztonsági incidensmegoldási szolgáltatás. Célja, hogy jobban megértse a szervezetet érintő összetett fenyegetéseket. Lépjen kapcsolatba saját biztonsági incidensmegoldási csapatával a sürgős biztonsági incidensmegoldási problémák megoldásához. Ha nem rendelkezik saját biztonsági incidensmegoldási csapattal, és a Microsoft segítségére van szüksége, hozzon létre egy támogatási kérést a Premier services központban.

A Defender-szakértők megkérdezése lehetőség az incidensek és riasztások oldalán érhető el, hogy környezeti kérdéseket tegyen fel egy adott incidenssel vagy riasztással kapcsolatban:

  • Riasztások lap úszó menüje:

Képernyőkép a Microsoft Defender portál Riasztások lapjának úszó menüjében található Szakértők megkérdezése menüről.

  • Incidensek lapműveletek menüje:

IScreenshot of the Ask Defender Experts menu option in the Incidents page actions menu in the Microsoft Defender portal.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.