Les på engelsk

Del via


Kom i gang med Microsoft Defender Experts for XDR

Gjelder for:

Hvis du vil ha instruksjoner om pålasting, kan du se denne korte videoen.

Når Defender Experts for XDR-teamet er klar til å starte organisasjonen, får du en velkomst-e-post for å fortsette konfigurasjonen og komme i gang.

Velg koblingen i velkomst-e-postmeldingen for å starte konfigurasjonen av Defender Experts-innstillingene direkte i Microsoft Defender-portalen. Du kan også åpne dette oppsettet ved å gå til Innstillinger>Defender-eksperter og velge Kom i gang.

Skjermbilde av Kom i gang-siden i Defender for Eksperter XDR-innstillinger trinnvis veiledning.

Gi tillatelser til ekspertene våre

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Som standard krever Defender-eksperter for XDR tjenesteleverandørtilgang som lar våre eksperter logge seg på leieren din og levere tjenester basert på tilordnede sikkerhetsroller. Finn ut mer om tilgang på tvers av leier

Du må også gi ekspertene våre én eller begge av følgende tillatelser:

  • Undersøk hendelser og veilede svarene mine (standard) – Med dette alternativet kan ekspertene våre proaktivt overvåke og undersøke hendelser og veilede deg gjennom eventuelle nødvendige responshandlinger. (Tilgangsnivå: Sikkerhetsleser)
  • Svar direkte på aktive trusler (anbefales ) – Dette alternativet lar våre eksperter inneholde og utbedre aktive trusler umiddelbart mens de undersøker, og dermed redusere trusselens innvirkning og forbedre den generelle responseffektiviteten. (Tilgangsnivå: Sikkerhetsoperator)

Skjermbilde av alternativet Behandle utelatelser mens du konfigurerer Defender Experts for XDR.

Viktig

Hvis du hopper over å gi flere tillatelser, kan ikke ekspertene våre utføre bestemte svarhandlinger for å sikre organisasjonen.

Selv om våre eksperter får disse relativt kraftige tillatelsene, vil de bare ha individuell tilgang til bestemte områder i en begrenset periode. Finn ut mer om hvordan Defender-eksperter for XDR-tillatelser fungerer

Slik gir du ekspertene våre tillatelser:

  1. Velg tilgangsnivået(e) du vil gi ekspertene våre, under Tillatelser i det samme konfigurasjonsoppsettet for Defender-eksperter.

  2. Hvis du vil utelate enhets- og brukergrupper i organisasjonen fra utbedringshandlinger, velger du Administrer utelatelser.

  3. Velg Neste for å legge til kontaktpersoner eller grupper.

Hvis du vil redigere eller oppdatere tillatelser etter den første konfigurasjonen, kan du gå tilTillatelser for Innstillinger>Defender-eksperter>.

Utelat enheter og brukere fra utbedring

Defender Experts for XDR lar deg ekskludere enheter og brukere fra utbedringshandlinger som er utført av ekspertene våre, og i stedet få utbedringsveiledning for disse enhetene. Disse utelukkelsene er basert på identifiserte enhetsgrupper i Microsoft Defender for Endpoint og identifiserte brukergrupper i Microsoft Entra ID.

Slik utelater du enhetsgrupper:

  1. Gå til Enhetsgrupper-fanen under Utelatelser i det samme konfigurasjonsoppsettet for Defender-eksperter.

  2. Velg + Legg til enhetsgrupper, og søk deretter etter og velg enhetsgruppen(e) du vil utelate.

    Obs!

    Denne siden viser bare eksisterende enhetsgrupper. Hvis du vil opprette en ny enhetsgruppe, må du først gå til Defender for Endpoint-innstillingene i Microsoft Defender-portalen. Deretter oppdaterer du denne siden for å søke etter og velger den nyopprettede gruppen. Finn ut mer om hvordan du oppretter enhetsgrupper

  3. Velg Legg til enhetsgrupper.

  4. Se gjennom listen over ekskluderte enhetsgrupper på Enhetsgrupper-fanen . Hvis du vil fjerne en enhetsgruppe fra utelatelseslisten, velger du den og deretter Fjern enhetsgruppe.

  5. Velg Neste for å bekrefte utelatelseslisten og fortsette med å legge til kontaktpersoner eller grupper. Ellers velger du Hopp over, og alle de ekstra utelukkelsene forkastes.

Skjermbilde av alternativet for å utelate enhetsgrupper.

Slik utelater du brukergrupper:

  1. Gå til Brukergrupper-fanen under Utelatelser i det samme konfigurasjonsoppsettet for Defender-eksperter.

  2. Velg + Legg til brukergrupper, og søk deretter etter og velg brukergruppen(e) du vil utelate.

    Obs!

    Denne siden viser bare eksisterende brukergrupper. Hvis du vil opprette en ny brukergruppe, må du først logge på administrasjonssenteret for Microsoft Entra ID som global administrator. Deretter oppdaterer du denne siden for å søke etter og velger den nyopprettede gruppen. Finn ut mer om hvordan du oppretter brukergrupper

  3. Velg Legg til brukergrupper.

  4. Gå tilbake til Brukergrupper-fanen , og se gjennom listen over utelatte brukergrupper. Hvis du vil fjerne en brukergruppe fra utelatelseslisten, velger du den og deretter Fjern brukergruppe.

  5. Velg Neste for å bekrefte utelatelseslisten og fortsette med å legge til kontaktpersoner eller grupper. Ellers velger du Hopp over, og alle de ekstra utelukkelsene forkastes.

Skjermbilde for å utelate brukergrupper i Defender Experts for XDR.

Obs!

Du kan bare utelate brukere ved å legge dem til i en sikkerhetsgruppe for Microsoft Entra ID. On-prem Entra ID-brukere kan ikke utelates på dette tidspunktet.

Hvis du vil redigere eller oppdatere utelatelser etter den første konfigurasjonen, går du til Innstillinger>Defender Experts>Exclusions, og deretter går du til fanen Enhetsgrupper eller Brukergrupper .

Fortell oss hvem vi skal kontakte for viktige saker

Defender Experts for XDR lar deg bestemme enkeltpersoner eller grupper i organisasjonen som må varsles hvis det er kritiske hendelser, tjenesteoppdateringer, sporadiske spørringer og andre anbefalinger:

  • Kontakter for hendelsesvarsler – disse kontaktene er personer eller team som vi kan varsle om for administrerte responshandlinger eller kommunikasjon som krever umiddelbar respons. Gitt kommunikasjonens presserende karakter, anbefalte vi at disse kontaktene alltid er tilgjengelige.
  • Kontakter for gjennomgang av tjenester – disse kontaktene er personer eller team som vi kan kommunisere med for kontinuerlige sikkerhetsorienteringer gjort av tjenesteleveringsteamet vårt.

Når de er identifisert, vil enkeltpersoner eller grupper motta en e-postmelding som varsler dem om at de var som kontakt for hendelsesvarsling eller tjenestegjennomgangsformål.

Skjermbilde av siden Hendelseskontakter i Defender for Eksperter XDR-innstillinger trinnvis veiledning.

Slik legger du til varslingskontakter:

  1. Søk etter og legg til kontaktpersonen eller teamet i tekstfeltet under Kontakter i det samme konfigurasjonsoppsettet for Defender-eksperter.

  2. Legg til et telefonnummer (valgfritt) som Defender-eksperter kan kalle for saker som krever umiddelbar oppmerksomhet.

  3. Velg Hendelsesvarsel eller Tjenestegjennomgang under boksen Kontakt for rullegardinliste.

  4. Velg Legg til.

  5. Velg Neste for å bekrefte kontaktlisten og fortsette å opprette en Teams-kanal der du også kan motta hendelsesvarsler.

Hvis du vil redigere eller oppdatere varslingskontaktene etter den første installasjonen, kan du gå til Kontakter for Innstillinger>Defender Experts>Notification.

Skjermbilde av varslingskontakter.

Motta varsler og oppdateringer om administrert svar i Microsoft Teams

Bortsett fra e-post og portalchat, må du også velge å bruke Microsoft Teams til å motta oppdateringer om administrerte svar og kommunisere med ekspertene våre i sanntid. Når denne innstillingen er aktivert, opprettes et nytt team med navnet Defender Experts-teamet , der varsler om administrert respons relatert til pågående hendelser sendes som nye innlegg i administrert respons-kanalen . Finn ut mer om hvordan du bruker Teams-chat

Viktig

Defender-eksperter vil ha tilgang til alle meldinger som er lagt ut på en kanal i det opprettede Defender Experts-teamet. Hvis du vil hindre at Defender-eksperter får tilgang til meldinger i dette teamet, kan du gå til Apper i Teams og deretter navigere til Administrere appene>Defender Experts>Remove. Denne fjerningshandlingen kan ikke reverseres.

Slik aktiverer du Teams-varsler og -chat:

  1. Merk av for Kommuniser på Teams under Teams i det samme konfigurasjonsoppsettet for Defender-eksperter.

  2. Velg Neste for å se gjennom innstillingene.

  3. Velg Send. Den trinnvise veiledningen fullfører deretter det første oppsettet.

  4. Velg Vis klargjøringsvurdering for å fullføre de nødvendige handlingene som kreves for å optimalisere sikkerhetsstillingen din.

Obs!

Hvis du vil konfigurere Defender Experts Teams-programmet, må du ha enten global administrator - eller sikkerhetsadministratorrolle tilordnet, og en Microsoft Teams-lisens.

Hvis du vil aktivere Teams-varsler og chat etter den første konfigurasjonen, kan du gå til Innstillinger>Defender Experts>Teams.

Skjermbilde av alternativet for å aktivere Teams for å motta administrert svar.

  • Du kan legge til nye medlemmer i kanalen ved å navigere til Defender Experts-teamet>Flere alternativer (...)>Administrer team>Legg til medlem.
  • Du kan begrense hvem som kan bli med i dette teamet ved å navigere til Defender Experts-teamet>Flere alternativer (...)>Innstillinger>Redigere>Administrer team>Privat.

Klargjøre miljøet for Defender Experts-tjenesten

Bortsett fra levering av pålastingstjenester, kan vår ekspertise på Microsoft Defender XDR-produktserien gjøre det mulig for Defender Experts for XDR å la deg kjøre en klargjøringsvurdering og hjelpe deg med å få mest mulig ut av Microsofts sikkerhetsprodukter.

Klargjøringsvurderingen er basert på antall beskyttede enheter og identiteter i miljøet ditt, og Defender Experts' policyanbefalinger. Hvis du vil vise vurderingen, går du til Innstillinger>Defender-eksperter i Microsoft Defender-portalen og velger tjenestestatus.

Skjermbilde av klargjøringsvurderingsmiljøet.

Klargjøringsvurderingen har to deler:

  • Nødvendige handlinger – Denne delen viser antall handlinger eller sikkerhetsinnstillinger som du må fullføre, pågår eller er fullført. Disse handlingene er oppført i en tabell nederst på siden.

    Listen beskriver de nødvendige trinnene du må utføre før du starter tjenesten. Prioriter handlingene som har statusen Fullfør nå for å få Defender Experts for XDR-tjenesten i gang tidligere.

    Obs!

    Det kan ta opptil 24 timer å få den nyeste statusen for sikkerhetsinnstillingene.

  • Beskyttede ressurser – Denne delen viser gjeldende antall beskyttede enheter og identiteter kontra de du fremdeles må beskytte for å få Defender Experts for XDR-tjenesten i gang.

    Tallene er basert på Defender for Endpoint- og Defender for Identity-lisenser. for å oppnå dette målantallet beskyttede ressurser, kan du ta med flere enheter til Defender for Endpoint eller installere flere Defender for Identity-sensorer.

Viktig

Defender Experts for XDR gjennomgår din klargjøringsvurdering med jevne mellomrom, spesielt hvis det er endringer i miljøet ditt, for eksempel tillegg av nye enheter og identiteter. Det er viktig at du regelmessig overvåker og kjører klargjøringsvurderingen utover den første pålastingen for å sikre at miljøet ditt har sterk sikkerhetsstilling for å redusere risikoen.

Når du har fullført alle de nødvendige oppgavene og nådd målene for pålasting i klargjøringsvurderingen, starter tjenesteleveringssjefen (SDM) overvåkingsfasen av Defender Experts for XDR-tjenesten, der ekspertene våre i noen dager begynner å overvåke miljøet nøye for å identifisere latenttrusler, risikokilder og normal aktivitet. Etter hvert som vi får bedre forståelse av de kritiske ressursene dine, kan vi effektivisere tjenesten og finjustere svarene våre.

Når ekspertene våre begynner å utføre omfattende responsarbeid på dine vegne, vil du begynne å motta varsler om hendelser som krever utbedringstrinn og målrettede anbefalinger om kritiske hendelser. Du kan også chatte med våre eksperter eller dine SDM-er angående viktige spørringer og vanlige vurderinger av forretnings- og sikkerhetsstillinger. I tillegg kan du også vise sanntidsrapporter om antall hendelser vi har undersøkt og løst på dine vegne.

Neste trinn:

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.