Udostępnij za pośrednictwem

Rozpoczynanie korzystania z usługi Defender Experts dla usługi XDR

  • Artykuł

Dotyczy:

Po zakończeniu kroków dołączania i sprawdzania gotowości ekspertów usługi Microsoft Defender dla XDR nasi eksperci rozpoczną monitorowanie środowiska, aby usprawnić usługę, abyśmy mogli wykonywać kompleksową usługę w Twoim imieniu. Na tym etapie nasi eksperci identyfikują ukryte zagrożenia, źródła ryzyka i normalną aktywność.

Gdy nasi eksperci zaczną wykonywać kompleksową pracę reagowania w Twoim imieniu, zaczniesz otrzymywać powiadomienia o zdarzeniach wymagających kroków korygowania i ukierunkowanych zaleceniach dotyczących krytycznych zdarzeń. Możesz również porozmawiać z naszymi ekspertami lub menedżerami dostarczania usług (SDM) dotyczące ważnych zapytań oraz regularnych przeglądów kondycji biznesowej i bezpieczeństwa oraz wyświetlać raporty w czasie rzeczywistym dotyczące liczby zdarzeń, które zbadaliśmy i rozwiązaliśmy w Twoim imieniu.

Wykrywanie zarządzane i reagowanie

Dzięki połączeniu automatyzacji i ludzkiej wiedzy eksperci usługi Defender for XDR klasyfikowają zdarzenia XDR usługi Microsoft Defender, ustalają ich priorytety w Twoim imieniu, filtrują szum, przeprowadzają szczegółowe badania i udostępniają zarządzaną reakcję z możliwością działania zespołom centrum operacji zabezpieczeń (SOC).

Aktualizacje zdarzeń

Gdy nasi eksperci rozpoczną badanie incydentu, pola Przypisane do zdarzenia i Stan zostaną zaktualizowane odpowiednio do ekspertów usługi Defender i w toku.

Gdy nasi eksperci zakończą dochodzenie w sprawie incydentu, pole Klasyfikacja incydentu zostanie zaktualizowane do jednego z następujących, w zależności od ustaleń ekspertów:

  • Prawdziwie dodatnie
  • Wynik fałszywie dodatni
  • Działanie informacyjne, oczekiwane

Pole Determinacja odpowiadające każdej klasyfikacji jest również aktualizowane, aby zapewnić więcej szczegółowych informacji na temat ustaleń, które doprowadziły naszych ekspertów do określenia wspomnianej klasyfikacji.

Zrzut ekranu przedstawiający stronę Zdarzenia z polami Tagi, Stan, Przypisane do, Klasyfikacja i Określanie.

Jeśli zdarzenie jest klasyfikowane jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, pole Stan zdarzenia zostanie zaktualizowane do rozwiązanego. Następnie nasi eksperci kończą pracę nad tym incydentem, a pole Przypisane do zostaje zaktualizowane do nieprzypisanych. Nasi eksperci mogą udostępniać aktualizacje z badania i ich wnioski podczas rozwiązywania incydentu. Te aktualizacje są publikowane w panelu wysuwanym Komentarze i historia zdarzenia.

Uwaga

Komentarze do incydentów to wpisy jednokierunkowe. Eksperci usługi Defender nie mogą odpowiedzieć na żadne komentarze ani pytania dodane w panelu Komentarze i historia . Aby uzyskać więcej informacji o tym, jak odpowiadać naszym ekspertom, zobacz Komunikacja z ekspertami w usłudze Microsoft Defender Experts for XDR.

W przeciwnym razie, jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, nasi eksperci zidentyfikują wymagane akcje reagowania, które należy wykonać. Metoda, w której są wykonywane akcje, zależy od uprawnień i poziomów dostępu udzielonych usłudze Defender Experts for XDR. Dowiedz się więcej na temat udzielania uprawnień naszym ekspertom.

  • Jeśli udzielono ekspertom usługi Defender dla XDR zalecanych uprawnień dostępu operatora zabezpieczeń, nasi eksperci mogą wykonać wymagane akcje reagowania na zdarzenie w Twoim imieniu. Te akcje wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w portalu usługi Microsoft Defender, który należy przejrzeć dla Ciebie lub Twojego zespołu SOC. Wszystkie akcje, które są wykonywane przez ekspertów usługi Defender dla XDR, są wyświetlane w sekcji Ukończone akcje . Wszystkie oczekujące akcje, które wymagają ukończenia przez Ciebie lub Ciebie zespołu SOC, są wymienione w sekcji Oczekujące akcje . Aby uzyskać więcej informacji, zobacz sekcję Akcje . Gdy nasi eksperci wykonali wszystkie niezbędne akcje dotyczące zdarzenia, jego pole Stan zostanie zaktualizowane do pozycji Rozwiązano , a pole Przypisane do zostanie zaktualizowane do wartości Nieprzypisane.

  • Jeśli przyznano ekspertom usługi Defender dla XDR domyślny dostęp czytelnika zabezpieczeń, wymagane akcje odpowiedzi wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w sekcji Oczekujące akcje w portalu usługi Microsoft Defender, aby wykonać to ty lub twój zespół SOC. Aby uzyskać więcej informacji, zobacz sekcję Akcje . Aby zidentyfikować to przekazanie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta , a pole Przypisane do zostanie zaktualizowane do klienta.

Liczbę zdarzeń, które wymagają akcji, możesz sprawdzić na banerze Defender Experts w górnej części strony głównej usługi Microsoft Defender.

Zrzut ekranu przedstawiający kartę Eksperci usługi Defender w portalu usługi Microsoft Defender pokazującą liczbę zdarzeń oczekujących na działanie klienta.

Aby wyświetlić zdarzenia, które nasi eksperci zbadali lub obecnie badają, przefiltruj kolejkę zdarzeń w portalu usługi Microsoft Defender przy użyciu tagu Defender Experts .

Zrzut ekranu przedstawiający kolejkę zdarzeń w portalu usługi Microsoft Defender odfiltrowanym w celu wyświetlenia tylko tych z tagiem Defender Experts.

Jak używać odpowiedzi zarządzanej w usłudze Microsoft Defender XDR

W portalu usługi Microsoft Defender zdarzenie wymagające uwagi przy użyciu odpowiedzi zarządzanej ma pole Przypisane do ustawione na Klienta i kartę zadania w okienku Zdarzenia . Wyznaczone kontakty dotyczące incydentów otrzymują również odpowiednie powiadomienie e-mail z linkiem do portalu usługi Defender w celu wyświetlenia zdarzenia. Dowiedz się więcej o kontaktach powiadomień.

Wybierz pozycję Wyświetl odpowiedź zarządzaną na karcie zadania lub w górnej części strony portalu (karta Zarządzana odpowiedź ), aby otworzyć panel wysuwany, w którym możesz przeczytać podsumowanie badania naszych ekspertów, ukończyć oczekujące akcje zidentyfikowane przez naszych ekspertów lub skontaktować się z nimi za pośrednictwem czatu.

Podsumowanie badania

Sekcja Podsumowanie badania zawiera więcej kontekstu dotyczącego incydentu analizowanego przez naszych ekspertów w celu zapewnienia wglądu w jego ważność i potencjalny wpływ, jeśli nie zostanie rozwiązany natychmiast. Może ona obejmować oś czasu urządzenia, wskaźniki ataku i wskaźniki zaobserwowanego naruszenia zabezpieczeń (IOC) oraz inne szczegóły.

Zrzut ekranu przedstawiający podsumowanie badania zarządzanej odpowiedzi.

Akcje

Na karcie Akcje są wyświetlane karty zadań zawierające akcje odpowiedzi zalecane przez naszych ekspertów.

Usługa Defender Experts for XDR obsługuje obecnie następujące akcje odpowiedzi zarządzanej jednym kliknięciem:

Akcja Opis
Izolowanie urządzenia Izoluje urządzenie, co pomaga uniemożliwić osobie atakującej kontrolowanie go i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne. Izolowane urządzenie nadal będzie połączone z usługą Microsoft Defender for Endpoint.
Plik kwarantanny Zatrzymuje uruchamianie procesów, kwarantannę plików i usuwa trwałe dane, takie jak klucze rejestru.
Ogranicz wykonanie aplikacji Ogranicza wykonywanie potencjalnie złośliwych programów i blokuje urządzenie, aby zapobiec dalszym próbom.
Zwolnienie z izolacji Cofa izolację urządzenia.
Usuń restrykcję aplikacji Cofa zwolnienie z izolacji.

Oprócz tych akcji jednym kliknięciem możesz również otrzymywać zarządzane odpowiedzi od naszych ekspertów, które należy wykonać ręcznie.

Uwaga

Przed wykonaniem dowolnej z zalecanych zarządzanych akcji odpowiedzi upewnij się, że nie są one jeszcze rozwiązywane przez konfiguracje zautomatyzowanego badania i odpowiedzi. Dowiedz się więcej o możliwościach zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR.

Aby wyświetlić i wykonać akcje odpowiedzi zarządzanej:

  1. Wybierz przyciski strzałek na karcie akcji, aby ją rozwinąć i przeczytać więcej informacji o wymaganej akcji.

    Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi w celu odizolowania serwera prod urządzenia.

  2. W przypadku kart z akcjami odpowiedzi jednym kliknięciem wybierz wymaganą akcję. Stan akcji na karcie zmienia się na W toku, a następnie na Wartość Niepowodzenie lub Ukończono, w zależności od wyniku akcji.

    Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi pokazującą postęp izolowania serwera prod urządzenia.

    Porada

    Możesz również monitorować stan akcji odpowiedzi w portalu w Centrum akcji. Jeśli akcja odpowiedzi zakończy się niepowodzeniem, spróbuj zrobić to ponownie na stronie Wyświetl szczegóły urządzenia lub zainicjuj czat z ekspertami usługi Defender.

  3. W przypadku kart z wymaganymi akcjami, które należy wykonać ręcznie, wybierz pozycję Zakończono tę akcję po ich wykonaniu, a następnie wybierz pozycję Tak, zrobiłem to w wyświetlonym oknie dialogowym potwierdzenia.

    Zrzut ekranu przedstawiający akcję zarządzanej odpowiedzi w celu potwierdzenia ukończenia akcji.

  4. Jeśli nie chcesz od razu ukończyć wymaganej akcji, wybierz pozycję Pomiń, a następnie wybierz pozycję Tak, pomiń tę akcję w wyświetlonym oknie dialogowym potwierdzenia.

Ważna

Jeśli zauważysz, że którykolwiek z przycisków na kartach akcji jest wyszarzona, może to oznaczać, że nie masz uprawnień niezbędnych do wykonania akcji. Upewnij się, że zalogowano się do portalu XDR usługi Microsoft Defender z odpowiednimi uprawnieniami. Większość zarządzanych akcji reagowania wymaga co najmniej dostępu operatora zabezpieczeń.

Jeśli ten problem nadal występuje nawet z odpowiednimi uprawnieniami, przejdź do pozycji Wyświetl szczegóły urządzenia i wykonaj kroki z tego miejsca.

Uzyskiwanie wglądu w badania ekspertów usługi Defender w aplikacji SIEM lub ITSM

Ponieważ eksperci usługi Defender dla XDR badają zdarzenia i wykonują akcje korygowania, możesz mieć wgląd w ich pracę nad zdarzeniami w aplikacjach do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz zarządzania usługami IT (ITSM), w tym aplikacjami, które są dostępne od samego końca.

Microsoft Sentinel

Możesz uzyskać wgląd w zdarzenia w usłudze Microsoft Sentinel, włączając jego wbudowany łącznik danych XDR usługi Microsoft Defender. Dowiedz się więcej.

Po włączeniu łącznika aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR będą wyświetlane w odpowiednich polach Stan, Właściciel i Przyczyna zamknięcia w usłudze Sentinel.

Uwaga

Stan zdarzeń badanych przez ekspertów usługi Defender w usłudze Microsoft Defender XDR zwykle przechodzi z aktywnego do w toku do oczekującego działania klienta na rozwiązane, podczas gdy w usłudze Sentinel jest on zgodny ze ścieżką Nowy do aktywnego do rozwiązania . Akcja Microsoft Defender XDR Status Awaiting Customer Action nie ma równoważnego pola w usłudze Sentinel. Zamiast tego jest on wyświetlany jako tag w zdarzeniu w usłudze Sentinel.

W poniższej sekcji opisano, jak zdarzenie obsługiwane przez naszych ekspertów jest aktualizowane w usłudze Sentinel w miarę postępów w drodze do badania:

  1. Zdarzenie badane przez naszych ekspertów ma stan wymieniony jako Aktywny i Właściciel wymieniony jako Eksperci usługi Defender.
  2. Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne , ma zarządzaną odpowiedź opublikowaną w usłudze Microsoft Defender XDR, a tagOczekujący na działanie klienta i właściciel jest wymieniony jako Klient. Należy podjąć działania w oparciu o zdarzenie w oparciu o podaną odpowiedź zarządzaną.
  3. Gdy nasi eksperci zakończą dochodzenie i zamkną zdarzenie jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, stan zdarzenia zostanie zaktualizowany do rozwiązanego, właściciel zostanie zaktualizowany do nieprzypisanego i zostanie podany powód zamknięcia .

Zrzut ekranu przedstawiający zdarzenia usługi Microsoft Sentinel.

Inne aplikacje

Możesz uzyskać wgląd w zdarzenia w aplikacji SIEM lub ITSM przy użyciu interfejsu API XDR usługi Microsoft Defender lub łączników w usłudze Sentinel.

Po skonfigurowaniu łącznika można zsynchronizować aktualizacje pól Status, Assigned to, Classification i Determination w usłudze Microsoft Defender XDR z aplikacjami SIEM lub ITSM innych firm w zależności od sposobu zaimplementowania mapowania pól. Aby to zilustrować, możesz zapoznać się z łącznikiem dostępnym od usługi Sentinel do usługi ServiceNow.

Uzyskiwanie wglądu w czasie rzeczywistym za pomocą raportów usługi Defender Experts for XDR

Usługa Defender Experts for XDR zawiera interaktywny raport na żądanie, który zawiera jasne podsumowanie pracy wykonywanej przez naszych ekspertów analityków w Twoim imieniu, zagregowane informacje o krajobrazie incydentów oraz szczegółowe informacje o konkretnych zdarzeniach. Menedżer dostarczania usług (SDM) używa również raportu, aby zapewnić więcej kontekstu dotyczącego usługi podczas comiesięcznego przeglądu biznesowego.

Zrzut ekranu przedstawiający raport Defender Experts for XDR.

Każda sekcja raportu ma na celu zapewnienie większej ilości szczegółowych informacji o zdarzeniach, które nasi eksperci zbadali i rozwiązali w Twoim środowisku w czasie rzeczywistym. Możesz również wybrać zakres dat , aby uzyskać szczegółowe informacje o zdarzeniach na podstawie ważności, kategorii i zrozumieć czas potrzebny na zbadanie i rozwiązanie zdarzenia w określonym okresie.

Omówienie raportu Defender Experts for XDR

Najwyższa sekcja raportu Defender Experts for XDR zawiera procent zdarzeń rozwiązanych w Twoim środowisku, zapewniając przejrzystość naszych operacji. Ten procent pochodzi z następujących danych liczbowych, które są również przedstawione w raporcie:

  • Zbadano — liczba aktywnych zagrożeń i innych zdarzeń z kolejki zdarzeń, które sklasyfikowaliśmy, zbadaliśmy lub obecnie badamy w naszym zakresie.
  • Rozwiązano — całkowita liczba zbadanych zdarzeń, które zostały zamknięte.
  • Rozwiązano bezpośrednio — liczba zbadanych zdarzeń, które można było zamknąć bezpośrednio w Twoim imieniu.
  • Rozwiązano problem za pomocą twojej pomocy — liczba zbadanych zdarzeń, które zostały rozwiązane z powodu akcji wykonywanej w jednym lub kilku zarządzanych zadaniach reagowania.

W sekcji Średni czas rozwiązywania zdarzeń jest wyświetlany wykres słupkowy średniego czasu, w minutach nasi eksperci spędzili na badaniu i zamykaniu zdarzeń w twoim środowisku oraz średni czas spędzony na wykonywaniu wymaganych zarządzanych akcji reagowania.

Sekcje Zdarzenia według ważności, Incydenty według kategorii i Zdarzenia według źródła usługi rozkładają rozpoznane zdarzenia odpowiednio według ważności, techniki ataku i źródła usługi zabezpieczeń firmy Microsoft. Te sekcje umożliwiają identyfikowanie potencjalnych punktów wejścia do ataku i typów zagrożeń wykrytych w środowisku, ocenę ich wpływu i opracowywanie strategii eliminowania i zapobiegania im. Wybierz pozycję Wyświetl zdarzenia , aby uzyskać filtrowany widok kolejki zdarzeń na podstawie wyborów dokonanych w każdej z dwóch sekcji.

Sekcja Zasoby o największym wpływie przedstawia użytkowników i urządzenia w twoim środowisku, które brały udział w największej liczbie zdarzeń w wybranym zakresie dat. Możesz zobaczyć liczbę zdarzeń, w które brał udział każdy zasób. Wybierz zasób, aby uzyskać filtrowany widok kolejki zdarzeń na podstawie zdarzeń, które obejmowały ten zasób.

Proaktywne wyszukiwanie zarządzanych zagrożeń

Defender Experts for XDR obejmuje również proaktywne wyszukiwanie zagrożeń oferowane przez ekspertów usługi Microsoft Defender do wyszukiwania zagrożeń. Usługa Defender Experts for Hunting została utworzona dla klientów, którzy mają niezawodne centrum operacji zabezpieczeń, ale chcą, aby firma Microsoft pomagała im aktywnie polować na zagrożenia przy użyciu danych usługi Microsoft Defender. Ta proaktywna usługa wyszukiwania zagrożeń wykracza poza punkt końcowy, aby wyszukiwać punkty końcowe, usługę Office 365, aplikacje w chmurze i tożsamość. Nasi eksperci badają wszystko, co znaleźli, a następnie przekazują kontekstowe informacje o alertach wraz z instrukcjami korygowania, dzięki czemu możesz szybko zareagować.

Żądanie zaawansowanej wiedzy na temat zagrożeń na żądanie

Wybierz pozycję Zapytaj ekspertów usługi Defender bezpośrednio w portalu XDR usługi Microsoft Defender, aby uzyskać szybkie i dokładne odpowiedzi na wszystkie pytania dotyczące zagrożeń. Eksperci mogą dostarczyć szczegółowych informacji, aby lepiej zrozumieć złożone zagrożenia, z którymi może się zmierzyć Twoja organizacja. Skonsultuj się z ekspertem, aby:

  • Zbierz dodatkowe informacje na temat alertów i zdarzeń, w tym główne przyczyny i zakres.
  • Uzyskaj przejrzystość podejrzanych urządzeń, alertów lub zdarzeń i wykonaj kolejne kroki w przypadku wystąpienia zaawansowanej osoby atakującej.
  • Określanie zagrożeń i dostępnych zabezpieczeń związanych z grupami działań, kampaniami lub nowymi technikami atakującymi.

Uwaga

Usługa Ask Defender Experts nie jest usługą reagowania na zdarzenia zabezpieczeń. Jego celem jest lepsze zrozumienie złożonych zagrożeń wpływających na organizację. Skontaktuj się z własnym zespołem reagowania na zdarzenia związane z zabezpieczeniami, aby rozwiązać pilne problemy z reagowaniem na zdarzenia związane z bezpieczeństwem. Jeśli nie masz własnego zespołu reagowania na zdarzenia dotyczące zabezpieczeń i chcesz uzyskać pomoc firmy Microsoft, utwórz wniosek o pomoc techniczną w Centrum usług Premier Services Hub.

Opcja Zapytaj ekspertów usługi Defender jest dostępna na stronach zdarzeń i alertów w celu zadawania pytań kontekstowych dotyczących określonego zdarzenia lub alertu:

  • Menu wysuwane strony alertów:

Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów usługi Defender w menu wysuwnym strony Alerty w portalu usługi Microsoft Defender.

  • Menu akcji strony zdarzeń:

Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów usługi Defender w menu Akcje strony Zdarzenia w portalu usługi Microsoft Defender.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.