Aan de slag met Microsoft Defender Experts voor XDR
Van toepassing op:
Bekijk deze korte video voor onboarding-instructies.
Zodra het Defender Experts for XDR-team klaar is om uw organisatie te onboarden, ontvangt u een welkomstbericht om door te gaan met de installatie en om aan de slag te gaan.
Selecteer de koppeling in de welkomst-e-mail om de instellingen voor Defender-experts rechtstreeks te starten in de Microsoft Defender-portal. U kunt deze instelling ook openen door naar Instellingen>Defender-experts te gaan en Aan de slag te selecteren.
Machtigingen verlenen aan onze experts
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Defender Experts voor XDR vereist standaard toegang van de serviceprovider waarmee onze experts zich kunnen aanmelden bij uw tenant en services kunnen leveren op basis van toegewezen beveiligingsrollen. Meer informatie over toegang tussen tenants
U moet onze experts ook een of beide van de volgende machtigingen verlenen:
- Incidenten onderzoeken en mijn reacties begeleiden (standaard): met deze optie kunnen onze experts proactief incidenten bewaken en onderzoeken en u begeleiden bij eventuele benodigde reactieacties. (Toegangsniveau: Beveiligingslezer)
- Rechtstreeks reageren op actieve bedreigingen (aanbevolen): met deze optie kunnen onze experts actieve bedreigingen onmiddellijk in de weg staan en herstellen tijdens het onderzoeken, waardoor de impact van de bedreiging wordt verminderd en uw algehele responsefficiëntie wordt verbeterd. (Toegangsniveau: Beveiligingsoperator)
Belangrijk
Als u het verstrekken van extra machtigingen overslaat, kunnen onze experts bepaalde reactieacties niet uitvoeren om uw organisatie te beveiligen.
Hoewel onze experts deze relatief krachtige machtigingen krijgen, hebben ze slechts gedurende een beperkte periode individuele toegang tot specifieke gebieden. Meer informatie over hoe Defender Experts voor XDR-machtigingen werken
Om onze experts machtigingen te verlenen:
Kies in dezelfde instellingen voor Defender Experts onder Machtigingen het toegangsniveau of de toegangsniveaus die u wilt verlenen aan onze experts.
Als u apparaat- en gebruikersgroepen in uw organisatie wilt uitsluiten van herstelacties, selecteert u Uitsluitingen beheren.
Selecteer Volgende om contactpersonen of groepen toe te voegen.
Als u machtigingen wilt bewerken of bijwerken na de eerste installatie, gaat u naar Instellingen>Machtigingen voor Defender-experts>.
Apparaten en gebruikers uitsluiten van herstel
Met Defender Experts voor XDR kunt u apparaten en gebruikers uitsluiten van herstelacties die door onze experts worden uitgevoerd en in plaats daarvan herstelrichtlijnen voor deze entiteiten krijgen. Deze uitsluitingen zijn gebaseerd op geïdentificeerde apparaatgroepen in Microsoft Defender voor Eindpunt en geïdentificeerde gebruikersgroepen in Microsoft Entra ID.
Apparaatgroepen uitsluiten:
Ga in dezelfde instellingen van Defender Experts onder Uitsluitingen naar het tabblad Apparaatgroepen .
Selecteer + Apparaatgroepen toevoegen, zoek en kies vervolgens de apparaatgroep(en) die u wilt uitsluiten.
Opmerking
Op deze pagina worden alleen bestaande apparaatgroepen vermeld. Als u een nieuwe apparaatgroep wilt maken, moet u eerst naar de defender voor eindpuntinstellingen in uw Microsoft Defender-portal gaan. Vernieuw vervolgens deze pagina om de zojuist gemaakte groep te zoeken en te kiezen. Meer informatie over het maken van apparaatgroepen
Selecteer Apparaatgroepen toevoegen.
Ga terug naar het tabblad Apparaatgroepen en bekijk de lijst met uitgesloten apparaatgroepen. Als u een apparaatgroep uit de uitsluitingslijst wilt verwijderen, kiest u deze en selecteert u Apparaatgroep verwijderen.
Selecteer Volgende om uw uitsluitingslijst te bevestigen en ga verder met het toevoegen van contactpersonen of groepen. Anders selecteert u Overslaan, waarna alle toegevoegde uitsluitingen worden verwijderd.
Gebruikersgroepen uitsluiten:
Ga in dezelfde instellingen van Defender Experts onder Uitsluitingen naar het tabblad Gebruikersgroepen .
Selecteer + Gebruikersgroepen toevoegen, zoek en kies de gebruikersgroep(en) die u wilt uitsluiten.
Opmerking
Op deze pagina worden alleen bestaande gebruikersgroepen vermeld. Als u een nieuwe gebruikersgroep wilt maken, moet u zich eerst aanmelden bij het Microsoft Entra ID-beheercentrum als globale beheerder. Vernieuw vervolgens deze pagina om de zojuist gemaakte groep te zoeken en te kiezen. Meer informatie over het maken van gebruikersgroepen
Selecteer Gebruikersgroepen toevoegen.
Ga terug naar het tabblad Gebruikersgroepen en bekijk de lijst met uitgesloten gebruikersgroepen. Als u een gebruikersgroep uit de uitsluitingslijst wilt verwijderen, kiest u deze en selecteert u Vervolgens Gebruikersgroep verwijderen.
Selecteer Volgende om uw uitsluitingslijst te bevestigen en ga verder met het toevoegen van contactpersonen of groepen. Anders selecteert u Overslaan, waarna alle toegevoegde uitsluitingen worden verwijderd.
Opmerking
U kunt gebruikers alleen uitsluiten door ze toe te voegen aan een Microsoft Entra ID-beveiligingsgroep. On-premises Entra ID-gebruikers kunnen op dit moment niet worden uitgesloten.
Als u uitsluitingen wilt bewerken of bijwerken na de eerste installatie, gaat u naar Instellingen>Defender Experts-uitsluitingen> en gaat u vervolgens naar het tabblad Apparaatgroepen of Gebruikersgroepen.
Vertel ons met wie we contact moeten opnemen voor belangrijke zaken
Met Defender Experts voor XDR kunt u bepalen welke personen of groepen binnen uw organisatie op de hoogte moeten worden gesteld als er kritieke incidenten, service-updates, incidentele query's en andere aanbevelingen zijn:
- Contactpersonen voor melding van incidenten: deze contactpersonen zijn personen of teams die kunnen worden gewaarschuwd voor beheerde responsacties of communicatie waarvoor onmiddellijke reactie is vereist. Gezien de urgente aard van de communicatie, raden we aan dat deze contactpersonen altijd beschikbaar zijn.
- Contactpersonen voor servicebeoordeling : deze contactpersonen zijn personen of teams waarmee we contact kunnen opnemen voor doorlopende beveiligingsinstructies die worden uitgevoerd door ons serviceleveringsteam.
Zodra de personen of groepen zijn geïdentificeerd, ontvangen ze een e-mail met de melding dat ze een contactpersoon waren voor incidentmeldingen of servicebeoordelingsdoeleinden.
Contactpersonen voor meldingen toevoegen:
Zoek in dezelfde instellingen van Defender Experts onder Contactpersonen uw contactpersoon of team en voeg deze toe in het opgegeven tekstveld.
Voeg een telefoonnummer toe (optioneel) dat Defender-experts kunnen bellen voor zaken die onmiddellijke aandacht vereisen.
Kies in de vervolgkeuzelijst Contactpersoon voor de optie Incidentmelding of Servicebeoordeling.
Kies Toevoegen.
Selecteer Volgende om uw lijst met contactpersonen te bevestigen en ga verder met het maken van een Teams-kanaal waar u ook incidentmeldingen kunt ontvangen.
Als u uw contactpersonen voor meldingen wilt bewerken of bijwerken na de eerste installatie, gaat u naar Instellingen>Contactpersonen voor meldingen van Defender-experts>.
Meldingen en updates voor beheerde reacties ontvangen in Microsoft Teams
Naast e-mail en chat in de portal hebt u ook de mogelijkheid om Microsoft Teams te gebruiken om updates over beheerde antwoorden te ontvangen en in realtime te communiceren met onze experts. Wanneer deze instelling is ingeschakeld, wordt er een nieuw team met de naam Defender Experts-team gemaakt, waarbij beheerde responsmeldingen met betrekking tot lopende incidenten worden verzonden als nieuwe berichten in het kanaal Voor beheerde antwoorden . Meer informatie over het gebruik van Teams-chat
Belangrijk
Defender-experts hebben toegang tot alle berichten die zijn gepost op elk kanaal in het gemaakte Defender Experts-team. Als u wilt voorkomen dat Defender-experts toegang krijgen tot berichten in dit team, gaat u naar Apps in Teams en navigeert u naar Uw apps> beherenDefender-experts>verwijderen. Deze verwijderingsactie kan niet worden teruggedraaid.
Teams-meldingen en -chats inschakelen:
Schakel in dezelfde instellingen voor Defender Experts onder Teams het selectievakje Communiceren in Teams in .
Selecteer Volgende om uw instellingen te controleren.
Selecteer Verzenden. De stapsgewijze handleiding voltooit vervolgens de eerste installatie.
Selecteer Gereedheidsevaluatie weergeven om de benodigde acties te voltooien die nodig zijn om uw beveiligingspostuur te optimaliseren.
Opmerking
Als u de toepassing Defender Experts Teams wilt instellen, moet de rol Globale beheerder of Beveiligingsbeheerder zijn toegewezen en moet u een Microsoft Teams-licentie hebben.
Als u Teams-meldingen en chatten wilt inschakelen na de eerste installatie, gaat u naar Instellingen>Defender Experts>Teams.
- U kunt nieuwe leden toevoegen aan het kanaal door te navigeren naar het Defender Experts-team>Meer opties (...)>Team beheren>Lid toevoegen.
- U kunt beperken wie lid kan worden van dit team door te navigeren naar het Defender Experts-team>Meer opties (...)>Instellingen>Bewerken>Team beheren>Privé.
Uw omgeving voorbereiden voor de Defender Experts-service
Afgezien van het leveren van onboarding-services, kunnen Defender Experts voor XDR dankzij onze expertise over de Microsoft Defender XDR-productsuite een gereedheidsevaluatie uitvoeren en u helpen het meeste uit uw Microsoft-beveiligingsproducten te halen.
De gereedheidsevaluatie is gebaseerd op het aantal beveiligde apparaten en identiteiten in uw omgeving en de beleidsaanbeveling van Defender-experts. Als u de evaluatie wilt bekijken, gaat u in uw Microsoft Defender-portal naar Instellingen>Defender-experts en selecteert u Vervolgens Servicestatus.
De gereedheidsevaluatie bestaat uit twee onderdelen:
Benodigde acties : in deze sectie ziet u het aantal acties of beveiligingsinstellingen dat u moet voltooien, wordt uitgevoerd of dat is voltooid. Deze acties worden weergegeven in een tabel onderaan de pagina.
De lijst geeft een overzicht van de vereiste stappen die u moet uitvoeren voordat u de service start. Geef prioriteit aan de acties met de status Nu voltooid om de Defender Experts voor XDR-service eerder te starten.
Opmerking
Het kan tot 24 uur duren voordat de meest recente status van uw beveiligingsinstellingen wordt opgehaald.
Beveiligde assets : in deze sectie ziet u het huidige aantal beveiligde apparaten en identiteiten ten opzichte van de apparaten die u nog moet beveiligen om de Defender Experts voor XDR-service te starten.
De cijfers zijn gebaseerd op uw Defender for Endpoint- en Defender for Identity-licenties; om dit doelaantal beveiligde assets te bereiken, moet u meer apparaten onboarden bij Defender voor Eindpunt of meer Defender for Identity-sensoren installeren.
Belangrijk
Defender Experts voor XDR beoordeelt uw gereedheidsevaluatie periodiek, met name als er wijzigingen in uw omgeving zijn, zoals het toevoegen van nieuwe apparaten en identiteiten. Het is belangrijk dat u de gereedheidsevaluatie na de eerste onboarding regelmatig bewaakt en uitvoert om ervoor te zorgen dat uw omgeving een sterke beveiligingspostuur heeft om risico's te verminderen.
Nadat u alle vereiste taken hebt voltooid en de onboardingdoelen in uw gereedheidsevaluatie hebt bereikt, start uw Service Delivery Manager (SDM) de bewakingsfase van de Defender Experts for XDR-service, waarbij onze experts gedurende een paar dagen uw omgeving nauwlettend in de gaten houden om latente bedreigingen, risicobronnen en normale activiteiten te identificeren. Naarmate we meer inzicht krijgen in uw kritieke assets, kunnen we de service stroomlijnen en onze reacties verfijnen.
Zodra onze experts uitgebreide reactiewerkzaamheden namens u uitvoeren, ontvangt u meldingen over incidenten waarvoor herstelstappen en gerichte aanbevelingen voor kritieke incidenten nodig zijn. U kunt ook chatten met onze experts of uw SDMs over belangrijke query's en regelmatige bedrijfs- en beveiligingspostuurbeoordelingen. Daarnaast kunt u ook realtime rapporten bekijken over het aantal incidenten dat we namens u hebben onderzocht en opgelost.
Volgende stap
- Beheerde detectie en reactie
- Realtime zichtbaarheid krijgen met Defender Experts voor XDR-rapporten
- Communiceren met experts in de Microsoft Defender Experts for XDR-service
Zie ook
- Algemene informatie over Defender Experts voor XDR-service
- Hoe Microsoft Defender Experts voor XDR-machtigingen werken
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.