Rozpoczynanie korzystania z usługi Microsoft Defender Experts na potrzeby wyszukiwania zagrożeń

Dotyczy:

• Microsoft Defender XDR

Dołączanie

Jeśli dopiero jesteś nowym użytkownikami usług Microsoft Defender XDR i Defender Experts na potrzeby wyszukiwania zagrożeń:

1. Po otrzymaniu powitalnej wiadomości e-mail wybierz pozycję Zaloguj się do usługi Microsoft Defender XDR.
2. Zaloguj się, jeśli masz już konto Microsoft. Jeśli nie, utwórz go.
3. Przewodnik szybkiego przewodnika XDR usługi Microsoft Defender umożliwia zapoznanie się z pakietem zabezpieczeń, gdzie są dostępne możliwości i jak ważne są. Wybierz pozycję Weź krótki przewodnik.
4. Zapoznaj się z krótkimi opisami dotyczącymi usługi Microsoft Defender Experts i udostępnianych przez nią możliwości. Wybierz pozycję Dalej. Zostanie wyświetlona strona powitalna:

Otrzymywanie powiadomień ekspertów usługi Defender

Usługa powiadomień ekspertów usługi Defender obejmuje:

• Monitorowanie i analiza zagrożeń, skrócenie czasu przebywania i ryzyko dla twojej firmy
• Sztuczna inteligencja wytrenowana przez huntera do odkrywania i kierowania zarówno znanych ataków, jak i pojawiających się zagrożeń
• Identyfikacja najbardziej istotnych zagrożeń, pomagając soc zmaksymalizować ich skuteczność
• Pomoc w określaniu zakresu kompromisów i jak najwięcej kontekstu, który można szybko dostarczyć, aby umożliwić szybką reakcję SOC

Zapoznaj się z poniższym zrzutem ekranu, aby wyświetlić przykładowe powiadomienie ekspertów usługi Defender:

Gdzie znaleźć powiadomienia ekspertów usługi Defender

Powiadomienia ekspertów usługi Defender można otrzymywać od ekspertów usługi Defender za pośrednictwem następujących nośników:

• Strona Incydenty w portalu Microsoft Defender
• Strona Alerty portalu Microsoft Defender
• Interfejs API alertów OData i interfejs API REST
• Tabela DeviceAlertEvents w obszarze Zaawansowane wyszukiwanie zagrożeń
• Wiadomość e-mail w przypadku skonfigurowania reguły powiadomień e-mail

Filtruj, aby wyświetlić tylko powiadomienia ekspertów usługi Defender

Zdarzenia i alerty można filtrować, jeśli chcesz wyświetlać tylko powiadomienia ekspertów usługi Defender wśród wielu alertów. W tym celu:

1. W menu nawigacji przejdź do pozycji Incydenty & alerty>Zdarzenia> wybierz ikonę.
2. Przewiń w dół do obszaru Źródła usługi/wykrywania , a następnie zaznacz pola wyboru Eksperci usługi Microsoft Defender w obszarze Microsoft Defender for Endpoint i Microsoft Defender XDR.
3. Wybierz pozycję Zastosuj.

Konfigurowanie powiadomień e-mail ekspertów usługi Defender

Możesz skonfigurować usługę Microsoft Defender XDR, aby powiadomić Ciebie lub Twoich pracowników pocztą e-mail o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń, w tym o zdarzeniach obserwowanych przez ekspertów usługi Microsoft Defender. Dowiedz się więcej o otrzymywaniu powiadomień o zdarzeniach pocztą e-mail

1. W okienku nawigacji XDR usługi Microsoft Defender wybierz pozycję Ustawienia> Zdarzeniapowiadomień> e-mailusługi Microsoft Defender XDR>.
2. Zaktualizuj istniejące reguły powiadomień e-mail lub utwórz nowe. Aby uzyskać więcej informacji, zobacz Inspekcja.
3. Na stronie Ustawienia powiadomień reguły skonfiguruj następujące elementy:
   • Źródło — wybierz ekspertów usługi Microsoft Defender w obszarze Microsoft Defender XDR i Microsoft Defender for Endpoint
   • Ważność alertu — wybierz ważność alertu, która wyzwoli powiadomienie o zdarzeniu. Jeśli na przykład chcesz mieć tylko informacje o zdarzeniach o wysokiej ważności, wybierz pozycję Wysoki.

Generowanie przykładowych powiadomień ekspertów usługi Defender

Możesz wygenerować przykładowe powiadomienie ekspertów usługi Defender, aby rozpocząć doświadczanie usługi Defender Experts for Hunting bez konieczności oczekiwania na rzeczywiste krytyczne działanie w twoim środowisku. Generowanie przykładowego powiadomienia pozwala również przetestować powiadomienia e-mail , które mogły być wcześniej skonfigurowane w portalu usługi Microsoft Defender dla tej usługi, a także przetestować konfigurację podręczników (jeśli skonfigurowano dla takich powiadomień) i reguł w środowisku usługi Security Information and Event Management (SIEM).

Na stronie Zdarzenia zostanie wyświetlone przykładowe powiadomienie ekspertów usługi Defender z tytułem Defender Experts: Test Notification from Microsoft Defender Experts (Defender Experts: Test Notification from Microsoft Defender Experts). Zawartość powiadomienia to tekst zastępczy, podczas gdy inne elementy, takie jak alerty, są generowane losowo na podstawie zdarzeń znajdujących się w dzierżawie i w rzeczywistości nie mają na nie wpływu.

Aby wygenerować przykładowe powiadomienie:

1. W okienku nawigacji XDR usługi Microsoft Defender przejdź do pozycji Ustawienia>Eksperci usługi Defender , a następnie wybierz pozycję Przykładowe powiadomienia.
2. Wybierz pozycję Generuj przykładowe powiadomienie. Zostanie wyświetlony zielony komunikat o stanie potwierdzający, że przykładowe powiadomienie jest gotowe do przeglądu.
3. W obszarze Ostatnio wygenerowane powiadomienie ekspertów usługi Defender wybierz link z listy, aby wyświetlić odpowiednie wygenerowane przykładowe powiadomienie. Najnowszy przykład zostanie wyświetlony w górnej części listy. Wybranie linku przekierowuje Cię do strony Zdarzenia .

Następny krok

• Uzyskiwanie dostępu do powiadomień ekspertów usługi Defender przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.