Delen via


Defender Experts voor XDR-service gebruiken

Van toepassing op:

Nadat u de onboardingstappen en gereedheidscontroles voor Microsoft Defender Experts voor XDR hebt voltooid, gaan onze experts uw omgeving bewaken om de service te stroomlijnen, zodat we uitgebreide service namens u kunnen uitvoeren. Tijdens deze fase identificeren onze experts latente bedreigingen, risicobronnen en normale activiteiten.

Zodra onze experts uitgebreide reactiewerkzaamheden namens u uitvoeren, ontvangt u meldingen over incidenten waarvoor herstelstappen en gerichte aanbevelingen voor kritieke incidenten nodig zijn. U kunt ook chatten met onze experts of uw serviceleveringsmanagers (SDM's) over belangrijke query's en regelmatige beoordelingen van bedrijfs- en beveiligingspostuur en realtime rapporten bekijken over het aantal incidenten dat we namens u hebben onderzocht en opgelost.

Beheerde detectie en reactie

Door middel van een combinatie van automatisering en menselijke expertise worden Microsoft Defender XDR-incidenten door Defender Experts for XDR gesorteerd, worden deze namens u gepriorteerd, worden de ruis gefilterd, worden gedetailleerde onderzoeken uitgevoerd en kunnen uw SOC-teams (Security Operations Center) op actie worden gereageerd.

Incidentupdates

Zodra onze experts een incident onderzoeken, worden de velden Toegewezen aan en Status van het incident bijgewerkt naar respectievelijk Defender-experts en In uitvoering.

Wanneer onze experts hun onderzoek naar een incident afronden, wordt het veld Classificatie van het incident bijgewerkt naar een van de volgende, afhankelijk van de bevindingen van de experts:

  • Waar positief
  • Fout-positief
  • Informatieve, verwachte activiteit

Het veld Bepaling dat overeenkomt met elke classificatie wordt ook bijgewerkt om meer inzicht te geven in de bevindingen die onze experts ertoe hebben gebracht om de genoemde classificatie te bepalen.

Schermopname van de pagina Incidenten met de velden Tags, Status, Toegewezen aan, Classificatie en Bepaling.

Als een incident is geclassificeerd als Fout-positief of Informatief, Verwachte activiteit, wordt het veld Status van het incident bijgewerkt naar Opgelost. Onze experts ronden vervolgens hun werk aan dit incident af en het veld Toegewezen aan wordt bijgewerkt naar Niet toegewezen. Onze experts kunnen updates van hun onderzoek en hun conclusie delen bij het oplossen van een incident. Deze updates worden geplaatst in het flyoutvenster Opmerkingen en geschiedenis van het incident.

Opmerking

Incidentopmerkingen zijn eenrichtingsberichten. Defender-experts kunnen niet reageren op opmerkingen of vragen die u toevoegt in het deelvenster Opmerkingen en geschiedenis . Zie Communiceren met experts in de Microsoft Defender Experts voor XDR-service voor meer informatie over het corresponderen met onze experts.

Als een incident anders wordt geclassificeerd als Waar positief, identificeren onze experts de vereiste reactieacties die moeten worden uitgevoerd. De methode waarin de acties worden uitgevoerd, is afhankelijk van de machtigingen en toegangsniveaus die u aan de Defender-experts voor XDR-service hebt gegeven. Meer informatie over het verlenen van machtigingen aan onze experts.

  • Als u Defender Experts voor XDR de aanbevolen toegangsmachtigingen voor beveiligingsoperator hebt verleend, kunnen onze experts namens u de vereiste reactieacties uitvoeren op het incident. Deze acties, samen met een overzicht van onderzoek, worden weergegeven in het flyoutvenster Beheerde reactie van het incident in uw Microsoft Defender-portal, zodat u of uw SOC-team deze kunt controleren. Alle acties die zijn voltooid door Defender Experts voor XDR, worden weergegeven in de sectie Voltooide acties . Alle in behandeling zijnde acties waarvoor u of uw SOC-team moet voltooien, worden vermeld in de sectie Acties in behandeling . Zie de sectie Acties voor meer informatie. Zodra onze experts alle benodigde acties voor het incident hebben uitgevoerd, wordt het veld Status bijgewerkt naar Opgelost en wordt het veld Toegewezen aan bijgewerkt naar Niet toegewezen.

  • Als u Defender Experts voor XDR toegang hebt verleend tot de standaardbeveiligingslezer, worden de vereiste reactieacties, samen met een samenvatting van onderzoek, weergegeven in het flyoutvenster Beheerde reactie van het incident onder de sectie Acties in behandeling in uw Microsoft Defender-portal, zodat u of uw SOC-team deze kunnen uitvoeren. Zie de sectie Acties voor meer informatie. Om deze overdracht te identificeren, wordt het veld Status van het incident bijgewerkt naar Actie klant in afwachting en wordt het veld Toegewezen aan bijgewerkt naar Klant.

U kunt het aantal incidenten dat uw actie vereist controleren in de banner Defender-experts bovenaan de startpagina van Microsoft Defender.

Schermopname van de kaart Defender Experts in de Microsoft Defender-portal met het aantal incidenten dat wacht op actie van de klant.

Als u de incidenten wilt bekijken die onze experts hebben onderzocht of momenteel onderzoeken, filtert u de incidentwachtrij in uw Microsoft Defender-portal met behulp van de tag Defender-experts .

Schermopname van de wachtrij Incidenten in de Microsoft Defender-portal die is gefilterd om alleen die met de tag Defender Experts weer te geven.

Beheerde respons gebruiken in Microsoft Defender XDR

In de Microsoft Defender-portal heeft een incident dat uw aandacht vereist met behulp van een beheerd antwoord, het veld Toegewezen aan ingesteld op Klant en een taakkaart boven op het deelvenster Incidenten . Uw aangewezen contactpersonen voor incidenten ontvangen ook een bijbehorende e-mailmelding met een koppeling naar de Defender-portal om het incident te bekijken. Meer informatie over contactpersonen voor meldingen.

Selecteer Beheerd antwoord weergeven op de taakkaart of boven aan de portalpagina (tabblad Beheerd antwoord ) om een flyoutvenster te openen waarin u het onderzoeksoverzicht van onze experts kunt lezen, in behandeling zijnde acties kunt voltooien die door onze experts zijn geïdentificeerd of met hen kunt communiceren via chat.

Onderzoekssamenvatting

De sectie Onderzoekoverzicht biedt u meer context over het incident dat door onze experts is geanalyseerd om u inzicht te geven in de ernst en mogelijke gevolgen als deze niet onmiddellijk worden aangepakt. Dit kan de tijdlijn van het apparaat, indicatoren van aanvallen en indicatoren van het waargenomen inbreuk (IOC's) en andere details omvatten.

Schermopname van de samenvatting van het onderzoek van beheerde antwoorden.

Acties

Op het tabblad Acties worden taakkaarten weergegeven die reactieacties bevatten die door onze experts zijn aanbevolen.

Defender Experts voor XDR ondersteunt momenteel de volgende beheerde antwoordacties met één klik:

Actie Beschrijving
Apparaat isoleren Hiermee wordt een apparaat geïsoleerd, waardoor een aanvaller het niet kan beheren en verdere activiteiten kan uitvoeren, zoals gegevensexfiltratie en laterale verplaatsing. Het geïsoleerde apparaat is nog steeds verbonden met Microsoft Defender for Endpoint.
Bestand in quarantaine plaatsen Stopt de uitvoering van processen, plaatst de bestanden in quarantaine en verwijdert permanente gegevens, zoals registersleutels.
Het uitvoeren van apps beperken Hiermee wordt de uitvoering van mogelijk schadelijke programma's beperkt en het apparaat vergrendeld om verdere pogingen te voorkomen.
Losmaken van isolatie De isolatie van een apparaat ongedaan maken.
App-beperking verwijderen Loskoppelen van isolatie ongedaan maken.

Afgezien van deze acties met één klik, kunt u ook beheerde antwoorden van onze experts ontvangen die u handmatig moet uitvoeren.

Opmerking

Voordat u een van de aanbevolen beheerde antwoordacties uitvoert, moet u ervoor zorgen dat deze niet al worden aangepakt door uw geautomatiseerde onderzoek- en antwoordconfiguraties. Meer informatie over mogelijkheden voor geautomatiseerd onderzoek en respons in Microsoft Defender XDR.

Ga als volgt te werk om de beheerde antwoordacties weer te geven en uit te voeren:

  1. Selecteer de pijlknoppen op een actiekaart om deze uit te vouwen en lees meer informatie over de vereiste actie.

    Schermopname van de actie beheerde reactie om de prod-server van het apparaat te isoleren.

  2. Selecteer de vereiste actie voor kaarten met één klik-actie. De actiestatus op de kaart verandert in Wordt uitgevoerd en vervolgens in Mislukt of Voltooid, afhankelijk van het resultaat van de actie.

    Schermopname van de beheerde antwoordactie die wordt weergegeven in uitvoering om de prod-server van het apparaat te isoleren.

    Tip

    U kunt ook de status van antwoordacties in de portal bewaken in het Actiecentrum. Als een reactieactie mislukt, probeert u dit opnieuw te doen vanaf de pagina Apparaatdetails weergeven of start u een chatgesprek met Defender-experts.

  3. Voor kaarten met vereiste acties die u handmatig moet uitvoeren, selecteert u Ik heb deze actie voltooid nadat u deze hebt uitgevoerd en selecteert u vervolgens Ja, ik heb het gedaan in het bevestigingsdialoogvenster dat wordt weergegeven.

    Schermopname van de actie Beheerd antwoord om de voltooiing van de actie te bevestigen.

  4. Als u een vereiste actie niet meteen wilt voltooien, selecteert u Overslaan en selecteert u vervolgens Ja, deze actie overslaan in het bevestigingsdialoogvenster dat wordt weergegeven.

Belangrijk

Als u merkt dat een van de knoppen op de actiekaarten grijs wordt weergegeven, kan dit erop wijzen dat u niet over de benodigde machtigingen beschikt om de actie uit te voeren. Zorg ervoor dat u bent aangemeld bij de Microsoft Defender XDR-portal met de juiste machtigingen. Voor de meeste beheerde reactieacties moet u ten minste toegang hebben tot de beveiligingsoperator.

Als u dit probleem nog steeds ondervindt, zelfs met de juiste machtigingen, gaat u naar Apparaatdetails weergeven en voert u de stappen uit.

Inzicht krijgen in Defender Experts-onderzoeken in uw SIEM- of ITSM-toepassing

Als Defender Experts voor XDR incidenten onderzoeken en herstelacties bedenken, kunt u inzicht krijgen in hun werk aan incidenten in uw SIEM-toepassingen (Security Information and Event Management) en IT Service Management (ITSM), inclusief toepassingen die direct beschikbaar zijn.

Microsoft Sentinel

U kunt zichtbaarheid van incidenten krijgen in Microsoft Sentinel door de kant-en-klare Microsoft Defender XDR-gegevensconnector in te schakelen. Meer informatie.

Zodra u de connector hebt ingeschakeld, worden updates van Defender-experts naar de velden Status, Toegewezen aan, Classificatie en Bepaling in Microsoft Defender XDR weergegeven in de bijbehorende velden Status, Eigenaar en Reden voor het sluiten in Sentinel.

Opmerking

De status van incidenten die door Defender-experts in Microsoft Defender XDR zijn onderzocht, gaat doorgaans van Actief naar In uitvoering naar Wachtende klantactie naar Opgelost, terwijl in Sentinel het pad Nieuw naar Actief naar Opgelost volgt. De actie Microsoft Defender XDR-status in afwachting van klant heeft geen equivalent veld in Sentinel. In plaats daarvan wordt het weergegeven als een tag in een incident in Sentinel.

In de volgende sectie wordt beschreven hoe een incident dat door onze experts wordt verwerkt, wordt bijgewerkt in Sentinel naarmate het verdergaat met het onderzoek:

  1. Een incident dat door onze experts wordt onderzocht, heeft de statusActief en de Eigenaar vermeld als Defender-experts.
  2. Een incident dat onze experts hebben bevestigd als een true positive , heeft een beheerd antwoord gepost in Microsoft Defender XDR, en een tagwacht op klantactie en de eigenaar wordt vermeld als klant. U moet reageren op het incident op basis van het gebruik van het opgegeven beheerde antwoord.
  3. Zodra onze experts hun onderzoek hebben afgerond en een incident hebben gesloten als fout-positief of informatief, verwachte activiteit, wordt de status van het incident bijgewerkt naar Opgelost, wordt de eigenaar bijgewerkt naar Niet-toegewezen en wordt een reden voor het sluiten opgegeven.

Schermopname van Microsoft Sentinel-incidenten.

Andere toepassingen

U kunt inzicht krijgen in incidenten in uw SIEM- of ITSM-toepassing met behulp van de Microsoft Defender XDR-API of connectors in Sentinel.

Nadat u een connector hebt geconfigureerd, kunnen de updates door Defender Experts naar de velden Status, Toegewezen aan, Classificatie en Bepaling van een incident in Microsoft Defender XDR worden gesynchroniseerd met de SIEM- of ITSM-toepassingen van derden, afhankelijk van hoe de veldtoewijzing is geïmplementeerd. Ter illustratie kunt u de connector bekijken die beschikbaar is van Sentinel naar ServiceNow.

Realtime zichtbaarheid krijgen met Defender Experts voor XDR-rapporten

Defender Experts voor XDR bevat een interactief rapport op aanvraag met een duidelijk overzicht van het werk dat onze deskundige analisten namens u doen, geaggregeerde informatie over uw incidentenlandschap en gedetailleerde details over specifieke incidenten. Uw serviceleveringsmanager (SDM) gebruikt het rapport ook om u meer context te bieden met betrekking tot de service tijdens een maandelijkse zakelijke beoordeling.

Schermopname van het rapport Defender Experts voor XDR.

Elke sectie van het rapport is ontworpen om meer inzicht te geven in de incidenten die onze experts in realtime in uw omgeving hebben onderzocht en opgelost. U kunt ook het datumbereik selecteren om gedetailleerde informatie over incidenten op te halen op basis van ernst, categorie en inzicht te krijgen in de tijd die nodig is om een incident gedurende een specifieke periode te onderzoeken en op te lossen.

Het rapport Defender Experts for XDR begrijpen

De bovenste sectie van het rapport Defender Experts for XDR bevat het percentage incidenten dat we in uw omgeving hebben opgelost, waardoor u transparantie krijgt in onze activiteiten. Dit percentage is afgeleid van de volgende cijfers, die ook in het rapport worden weergegeven:

  • Onderzocht : het aantal actieve bedreigingen en andere incidenten uit uw incidentwachtrij dat we hebben gesortioneerd, onderzocht of momenteel onderzoeken binnen ons bereik.
  • Opgelost : het totale aantal onderzochte incidenten dat is gesloten.
  • Direct opgelost : het aantal onderzochte incidenten dat we rechtstreeks namens u hebben kunnen sluiten.
  • Opgelost met uw hulp : het aantal onderzochte incidenten dat is opgelost vanwege uw actie op een of meer beheerde antwoordtaken.

In de sectie Gemiddelde tijd om incidenten op te lossen wordt een staafdiagram weergegeven met de gemiddelde tijd in minuten, waarin onze experts zijn besteed aan het onderzoeken en sluiten van incidenten in uw omgeving en de gemiddelde tijd die u hebt besteed aan het uitvoeren van de vereiste beheerde responsacties.

In de secties Incidenten per ernst, Incidenten per categorie en Incidenten per servicebron worden opgeloste incidenten onderverdeeld op respectievelijk ernst, aanvalstechniek en Microsoft-beveiligingsservicebron. In deze secties kunt u potentiële toegangspunten voor aanvallen en typen bedreigingen identificeren die in uw omgeving zijn gedetecteerd, de impact ervan beoordelen en strategieën ontwikkelen om deze te beperken en te voorkomen. Selecteer Incidenten weergeven om een gefilterde weergave van de incidentwachtrij te krijgen op basis van de selecties die u in elk van de twee secties hebt gemaakt.

In de sectie Meest beïnvloede assets ziet u de gebruikers en apparaten in uw omgeving die betrokken waren bij het meeste aantal incidenten tijdens het geselecteerde datumbereik. U kunt het aantal incidenten zien waarbij elke asset betrokken was. Selecteer een asset om een gefilterde weergave van de incidentwachtrij te krijgen op basis van de incidenten die de genoemde asset bevatten.

Proactieve beheerde opsporing

Defender Experts voor XDR bevat ook proactieve opsporing van bedreigingen die worden aangeboden door Microsoft Defender Experts for Hunting. Defender Experts for Hunting is gemaakt voor klanten die een robuust beveiligingscentrum hebben, maar willen dat Microsoft hen helpt proactief bedreigingen op te sporen met behulp van Microsoft Defender-gegevens. Deze proactieve service voor het opsporen van bedreigingen gaat verder dan het eindpunt om te zoeken naar eindpunten, Office 365, cloudtoepassingen en identiteiten. Onze experts onderzoeken alles wat ze vinden en geven vervolgens de contextuele waarschuwingsinformatie, samen met herstelinstructies, zodat u snel kunt reageren.

Geavanceerde bedreigingsexpertise op aanvraag aanvragen

Selecteer Defender-experts rechtstreeks in de Microsoft Defender XDR-portal vragen om snel en nauwkeurig antwoord te krijgen op al uw bedreigingsvragen. Experts kunnen inzichten bieden om meer inzicht te krijgen in de complexe bedreigingen die uw organisatie kan tegenkomen. Raadpleeg een expert om:

  • Verzamel aanvullende informatie over waarschuwingen en incidenten, waaronder hoofdoorzaken en bereik.
  • Krijg meer inzicht in verdachte apparaten, waarschuwingen of incidenten en krijg de volgende stappen als u te maken krijgt met een geavanceerde aanvaller.
  • Bepaal risico's en beschikbare beveiligingen met betrekking tot activiteitengroepen, campagnes of opkomende aanvallertechnieken.

Opmerking

Vraag Defender Experts is geen service voor het reageren op beveiligingsincidenten. Het is bedoeld om meer inzicht te krijgen in complexe bedreigingen die van invloed zijn op uw organisatie. Neem contact op met uw eigen reactieteam voor beveiligingsincidenten om problemen met het reageren op beveiligingsincidenten op te lossen. Als u geen eigen reactieteam voor beveiligingsincidenten hebt en hulp van Microsoft wilt, maakt u een ondersteuningsaanvraag in de Premier Services Hub.

De optie Defender-experts vragen is beschikbaar op de pagina's met incidenten en waarschuwingen, zodat u contextuele vragen kunt stellen over een specifiek incident of waarschuwing:

  • Flyoutmenu waarschuwingenpagina:

Schermopname van de menuoptie Defender Experts vragen in het flyoutmenu van de pagina Waarschuwingen in de Microsoft Defender-portal.

  • Menu Voor paginaacties voor incidenten:

IScreenshot van de menuoptie Vraag het Defender-experts in het menu Acties van de pagina Incidenten in de Microsoft Defender-portal.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.