Introduzione a Microsoft Defender Experts per XDR

Si applica a:

Per istruzioni sull'onboarding, vedere questo breve video.

Quando il team di Defender Experts for XDR è pronto per l'onboarding dell'organizzazione, si riceverà un messaggio di posta elettronica di benvenuto per continuare la configurazione e iniziare.

Selezionare il collegamento nell'e-mail di benvenuto per avviare direttamente la configurazione delle impostazioni di Defender Experts nel portale di Microsoft Defender. È anche possibile aprire questa configurazione passando a Impostazioni>defender esperti e selezionando Introduzione.

Screenshot della pagina Introduzione alla guida dettagliata alle impostazioni XDR di Defender per esperti.

Concedere le autorizzazioni ai nostri esperti

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per impostazione predefinita, Defender Experts per XDR richiede l'accesso al provider di servizi che consente agli esperti di accedere al tenant e fornire servizi in base ai ruoli di sicurezza assegnati. Altre informazioni sull'accesso tra tenant

È anche necessario concedere ai nostri esperti una o entrambe le autorizzazioni seguenti:

  • Analizzare gli eventi imprevisti e guidare le risposte (impostazione predefinita): questa opzione consente ai nostri esperti di monitorare e analizzare in modo proattivo gli eventi imprevisti e di guidarvi attraverso le azioni di risposta necessarie. (Livello di accesso: Lettore di sicurezza)
  • Rispondere direttamente alle minacce attive (scelta consigliata): questa opzione consente ai nostri esperti di contenere e correggere immediatamente le minacce attive durante l'analisi, riducendo così l'impatto della minaccia e migliorando l'efficienza complessiva della risposta. (Livello di accesso: Operatore di sicurezza)

Screenshot dell'opzione gestisci esclusioni durante la configurazione di Defender Experts per XDR.

Importante

Se si ignorano le autorizzazioni aggiuntive, gli esperti non saranno in grado di intraprendere determinate azioni di risposta per proteggere l'organizzazione.

Anche se ai nostri esperti vengono concesse queste autorizzazioni relativamente potenti, avranno accesso individuale a aree specifiche solo per un periodo limitato. Altre informazioni sul funzionamento delle autorizzazioni di Defender Experts for XDR

Per concedere ai nostri esperti le autorizzazioni:

  1. Nella stessa configurazione delle impostazioni di Defender Experts, in Autorizzazioni scegliere i livelli di accesso che si desidera concedere agli esperti.

  2. Per escludere i gruppi di dispositivi e utenti nell'organizzazione dalle azioni di correzione, selezionare Gestisci esclusioni.

  3. Selezionare Avanti per aggiungere contatti o gruppi.

Per modificare o aggiornare le autorizzazioni dopo la configurazione iniziale, passare a Impostazioni Autorizzazioni>di Defender Experts>.

Escludere dispositivi e utenti dalla correzione

Defender Experts per XDR consente di escludere dispositivi e utenti dalle azioni correttive eseguite dai nostri esperti e di ottenere invece indicazioni di correzione per tali entità. Queste esclusioni si basano sui gruppi di dispositivi identificati in Microsoft Defender per endpoint e sui gruppi di utenti identificati in Microsoft Entra ID.

Per escludere i gruppi di dispositivi:

  1. Nella stessa configurazione delle impostazioni di Defender Experts, in Esclusioni passare alla scheda Gruppi di dispositivi .

  2. Selezionare + Aggiungi gruppi di dispositivi, quindi cercare e scegliere i gruppi di dispositivi da escludere.

    Nota

    Questa pagina elenca solo i gruppi di dispositivi esistenti. Se si vuole creare un nuovo gruppo di dispositivi, è prima necessario passare alle impostazioni di Defender per endpoint nel portale di Microsoft Defender. Aggiornare quindi questa pagina per cercare e scegliere il gruppo appena creato. Altre informazioni sulla creazione di gruppi di dispositivi

  3. Selezionare Aggiungi gruppi di dispositivi.

  4. Tornare alla scheda Gruppi di dispositivi , esaminare l'elenco dei gruppi di dispositivi esclusi. Se si vuole rimuovere un gruppo di dispositivi dall'elenco di esclusione, selezionarlo e quindi selezionare Rimuovi gruppo di dispositivi.

  5. Selezionare Avanti per confermare l'elenco di esclusione e procedere con l'aggiunta di contatti o gruppi. In caso contrario, selezionare Ignora e tutte le esclusioni aggiunte vengono eliminate.

Screenshot dell'opzione per escludere i gruppi di dispositivi.

Per escludere i gruppi di utenti:

  1. Nella stessa configurazione delle impostazioni di Defender Experts, in Esclusioni passare alla scheda Gruppi di utenti .

  2. Selezionare + Aggiungi gruppi di utenti, quindi cercare e scegliere i gruppi di utenti da escludere.

    Nota

    Questa pagina elenca solo i gruppi di utenti esistenti. Se si vuole creare un nuovo gruppo di utenti, è prima necessario accedere all'interfaccia di amministrazione di Microsoft Entra ID come amministratore globale. Aggiornare quindi questa pagina per cercare e scegliere il gruppo appena creato. Altre informazioni sulla creazione di gruppi di utenti

  3. Selezionare Aggiungi gruppi di utenti.

  4. Tornare alla scheda Gruppi di utenti, esaminare l'elenco dei gruppi di utenti esclusi. Se si vuole rimuovere un gruppo di utenti dall'elenco di esclusione, selezionarlo e quindi selezionare Rimuovi gruppo di utenti.

  5. Selezionare Avanti per confermare l'elenco di esclusione e procedere con l'aggiunta di contatti o gruppi. In caso contrario, selezionare Ignora e tutte le esclusioni aggiunte vengono eliminate.

Screenshot per escludere i gruppi di utenti in Defender Experts per XDR.

Nota

È possibile escludere gli utenti solo aggiungendoli a un gruppo di sicurezza Microsoft Entra ID. Al momento gli utenti di Entra ID locale non possono essere esclusi.

Per modificare o aggiornare le esclusioni dopo la configurazione iniziale, passare a Impostazioni Esclusioni>di Defender Experts>, quindi passare alla scheda Gruppi di dispositivi o Gruppi di utenti.

Dicci chi contattare per questioni importanti

Defender Experts per XDR consente di determinare gli utenti o i gruppi all'interno dell'organizzazione che devono ricevere notifiche in caso di eventi imprevisti critici, aggiornamenti del servizio, query occasionali e altri consigli:

  • Contatti di notifica degli eventi imprevisti : questi contatti sono persone o team che possono essere notificati per le azioni di risposta gestite o per qualsiasi comunicazione che richiede una risposta immediata. Data la natura urgente delle comunicazioni, abbiamo raccomandato che questi contatti siano sempre disponibili.
  • Contatti di revisione del servizio : questi contatti sono persone o team con cui possiamo interagire per i briefing sulla sicurezza in corso eseguiti dal nostro team di distribuzione del servizio.

Una volta identificati, gli utenti o i gruppi riceveranno un messaggio di posta elettronica che informa che erano come contatto per la notifica degli eventi imprevisti o per la revisione del servizio.

Screenshot della pagina dei contatti degli eventi imprevisti nella guida dettagliata alle impostazioni XDR di Defender per esperti.

Per aggiungere contatti di notifica:

  1. Nella stessa configurazione delle impostazioni di Defender Experts, in Contatti cercare e aggiungere il contatto o il team nel campo di testo specificato.

  2. Aggiungere un numero di telefono (facoltativo) che Defender Experts può chiamare per questioni che richiedono un'attenzione immediata.

  3. Nella casella a discesa Contatta per scegliere Notifica evento imprevisto o Revisione del servizio.

  4. Selezionare Aggiungi.

  5. Selezionare Avanti per confermare l'elenco di contatti e procedere alla creazione di un canale di Teams in cui è anche possibile ricevere notifiche degli eventi imprevisti.

Per modificare o aggiornare i contatti di notifica dopo la configurazione iniziale, passare a Impostazioni Contatti>di notificadegli esperti> di Defender.

Screenshot dei contatti di notifica.

Ricevere notifiche di risposta gestita e aggiornamenti in Microsoft Teams

Oltre alla posta elettronica e alla chat nel portale, è anche necessario scegliere di usare Microsoft Teams per ricevere aggiornamenti sulle risposte gestite e comunicare con i nostri esperti in tempo reale. Quando questa impostazione è attivata, viene creato un nuovo team denominato Defender Experts team , in cui le notifiche di risposta gestita relative agli eventi imprevisti in corso vengono inviate come nuovi post nel canale di risposta gestita . Altre informazioni sull'uso della chat di Teams

Importante

Defender Experts avrà accesso a tutti i messaggi pubblicati su qualsiasi canale nel team di Defender Experts creato. Per impedire a Defender Experts di accedere ai messaggi in questo team, passare ad App in Teams e quindi passare a Gestire le app>Defender Experts>Remove. Questa azione di rimozione non può essere invertita.

Per attivare le notifiche e la chat di Teams:

  1. Nella stessa configurazione delle impostazioni di Defender Experts, in Teams selezionare la casella di controllo Comunica in Teams .

  2. Selezionare Avanti per esaminare le impostazioni.

  3. Selezionare Invia. La guida dettagliata completa quindi la configurazione iniziale.

  4. Selezionare Visualizza valutazione dell'idoneità per completare le azioni necessarie per ottimizzare il comportamento di sicurezza.

Nota

Per configurare l'applicazione Defender Experts Teams, è necessario avere il ruolo Amministratore globale o Amministratore della sicurezza assegnato e una licenza di Microsoft Teams.

Per attivare le notifiche e la chat di Teams dopo la configurazione iniziale, passare a Impostazioni>Defender Experts>Teams.

Screenshot dell'opzione per attivare Teams per la ricezione della risposta gestita.

  • È possibile aggiungere nuovi membri al canale passando al team >di Defender ExpertsAltre opzioni (...)>Gestire il team>Aggiungere un membro.
  • È possibile limitare chi può entrare a far parte di questo team passando al team >di Defender ExpertsAltre opzioni (...)>Impostazioni>Redigere>Gestire il team>Privato.

Preparare l'ambiente per il servizio Defender Experts

Oltre alla distribuzione del servizio di onboarding, la nostra esperienza nella suite di prodotti Microsoft Defender XDR consente a Defender Experts for XDR di eseguire una valutazione della conformità e di sfruttare al meglio i prodotti microsoft per la sicurezza.

La valutazione dell'idoneità si basa sul numero di dispositivi e identità protetti nell'ambiente e sulle raccomandazioni dei criteri di Defender Experts. Per visualizzare la valutazione, nel portale di Microsoft Defender passare a Impostazioni>Defender Experts e quindi selezionare Stato del servizio.

Screenshot dell'ambiente di valutazione della conformità.

La valutazione dell'idoneità è costituita da due parti:

  • Azioni necessarie : questa sezione mostra il numero di azioni o impostazioni di sicurezza che è necessario completare, sono in corso o sono state completate. Queste azioni sono elencate in una tabella nella parte inferiore della pagina.

    L'elenco descrive i passaggi necessari da eseguire prima di avviare il servizio. Assegnare priorità alle azioni con stato Completa ora per iniziare prima il servizio Defender Experts for XDR.

    Nota

    Per ottenere lo stato più recente delle impostazioni di sicurezza possono essere necessari fino a 24 ore.

  • Asset protetti : questa sezione mostra il numero corrente di dispositivi e identità protetti rispetto a quelli che è ancora necessario proteggere per avviare il servizio Defender Experts for XDR.

    Le cifre si basano sulle licenze di Defender per Endpoint e Defender per identità; per ottenere questo numero di asset protetti di destinazione, eseguire l'onboarding di più dispositivi in Defender per endpoint o installare più sensori Defender per identità.

Importante

Defender Experts per XDR esamina periodicamente la valutazione di conformità, in particolare se sono presenti modifiche all'ambiente, ad esempio l'aggiunta di nuovi dispositivi e identità. È importante monitorare ed eseguire regolarmente la valutazione di idoneità oltre l'onboarding iniziale per garantire che l'ambiente abbia un comportamento di sicurezza solido per ridurre i rischi.

Dopo aver completato tutte le attività necessarie e aver soddisfatto gli obiettivi di onboarding nella valutazione dell'idoneità, il service delivery manager (SDM) avvia la fase di monitoraggio del servizio Defender Experts for XDR, in cui, per alcuni giorni, gli esperti iniziano a monitorare attentamente l'ambiente per identificare le minacce latenti, le fonti di rischio e le normali attività. Man mano che si comprende meglio gli asset critici, è possibile semplificare il servizio e ottimizzare le risposte.

Una volta che i nostri esperti iniziano a eseguire un lavoro di risposta completo per conto dell'utente, si inizierà a ricevere notifiche sugli eventi imprevisti che richiedono passaggi di correzione e raccomandazioni mirate sugli eventi imprevisti critici. Puoi anche chattare con i nostri esperti o i tuoi SDM in merito a query importanti e revisioni regolari del comportamento aziendale e di sicurezza. È anche possibile visualizzare report in tempo reale sul numero di eventi imprevisti che sono stati esaminati e risolti per conto dell'utente.

Passaggio successivo

Vedere anche

Suggerimento

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.