Introdução aos Especialistas do Microsoft Defender para XDR
Aplica-se a:
Para obter instruções de integração, veja este breve vídeo.
Assim que a equipa de Especialistas em Defender para XDR estiver pronta para integrar a sua organização, receberá um e-mail de boas-vindas para continuar a configuração e começar.
Selecione a ligação no e-mail de boas-vindas para iniciar diretamente a configuração das definições de Especialistas do Defender no portal do Microsoft Defender. Também pode abrir esta configuração acedendo a Definições Especialistas>do Defender e selecionando Começar.
Conceder permissões aos nossos especialistas
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Por predefinição, os Especialistas do Defender para XDR necessitam de acesso ao Fornecedor de serviços que permite que os nossos especialistas iniciem sessão no seu inquilino e forneçam serviços com base nas funções de segurança atribuídas. Saiba mais sobre o acesso entre inquilinos
Também tem de conceder aos nossos especialistas uma ou ambas as seguintes permissões:
- Investigar incidentes e orientar as minhas respostas (predefinição) – esta opção permite que os nossos especialistas monitorizem e investiguem proativamente incidentes e o guiem através de quaisquer ações de resposta necessárias. (Nível de acesso: Leitor de Segurança)
- Responder diretamente a ameaças ativas (recomendado) – esta opção permite aos nossos especialistas conter e remediar ameaças ativas imediatamente enquanto investigam, reduzindo assim o impacto da ameaça e melhorando a eficiência geral da resposta. (Nível de acesso: Operador de Segurança)
Importante
Se ignorar a disponibilização de permissões adicionais, os nossos especialistas não poderão tomar determinadas ações de resposta para proteger a sua organização.
Embora os nossos especialistas tenham estas permissões relativamente poderosas, só terão acesso individual a áreas específicas durante um período limitado. Saiba mais sobre como funcionam os Especialistas em Defender para permissões XDR
Para conceder permissões aos nossos especialistas:
Na mesma configuração de definições de Especialistas em Defender, em Permissões, selecione os níveis de acesso que pretende conceder aos nossos especialistas.
Se pretender excluir grupos de dispositivos e utilizadores na sua organização das ações de remediação, selecione Gerir exclusões.
Selecione Seguinte para adicionar pessoas ou grupos de contactos.
Para editar ou atualizar permissões após a configuração inicial, aceda a Definições PermissõesdeEspecialistas>do> Defender.
Excluir dispositivos e utilizadores da remediação
Os Especialistas em Defender para XDR permitem-lhe excluir dispositivos e utilizadores das ações de remediação executadas pelos nossos especialistas e, em vez disso, obter orientações de remediação para essas entidades. Estas exclusões baseiam-se em grupos de dispositivos identificados no Microsoft Defender para Endpoint e grupos de utilizadores identificados no Microsoft Entra ID.
Para excluir grupos de dispositivos:
Na mesma configuração de definições de Especialistas em Defender, em Exclusões, aceda ao separador Grupos de dispositivos.
Selecione + Adicionar grupos de dispositivos e, em seguida, procure e escolha os grupos de dispositivos que pretende excluir.
Observação
Esta página lista apenas os grupos de dispositivos existentes. Se quiser criar um novo grupo de dispositivos, primeiro tem de aceder às definições do Defender para Endpoint no portal do Microsoft Defender. Em seguida, atualize esta página para procurar e escolha o grupo criado recentemente. Saiba mais sobre a criação de grupos de dispositivos
Selecione Adicionar grupos de dispositivos.
Novamente no separador Grupos de dispositivos , reveja a lista de grupos de dispositivos excluídos. Se quiser remover um grupo de dispositivos da lista de exclusão, selecione-o e, em seguida, selecione Remover grupo de dispositivos.
Selecione Seguinte para confirmar a sua lista de exclusão e continuar a adicionar pessoas ou grupos de contactos. Caso contrário, selecione Ignorar e todas as exclusões adicionadas são eliminadas.
Para excluir grupos de utilizadores:
Na mesma configuração de definições de Especialistas em Defender, em Exclusões, aceda ao separador Grupos de utilizadores .
Selecione + Adicionar grupos de utilizadores e, em seguida, procure e selecione os grupos de utilizadores que pretende excluir.
Observação
Esta página lista apenas os grupos de utilizadores existentes. Se quiser criar um novo grupo de utilizadores, primeiro tem de iniciar sessão no centro de administração do Microsoft Entra ID como Administrador Global. Em seguida, atualize esta página para procurar e escolha o grupo criado recentemente. Saiba mais sobre a criação de grupos de utilizadores
Selecione Adicionar grupos de utilizadores.
Novamente no separador Grupos de utilizadores , reveja a lista de grupos de utilizadores excluídos. Se quiser remover um grupo de utilizadores da lista de exclusão, selecione-o e, em seguida, selecione Remover grupo de utilizadores.
Selecione Seguinte para confirmar a sua lista de exclusão e continuar a adicionar pessoas ou grupos de contactos. Caso contrário, selecione Ignorar e todas as exclusões adicionadas são eliminadas.
Observação
Só pode excluir utilizadores ao adicioná-los a um grupo de segurança do Microsoft Entra ID. De momento, os utilizadores do ID de Entra no local não podem ser excluídos.
Para editar ou atualizar exclusões após a configuração inicial, aceda a Definições ExclusõesdeEspecialistas>do Defendere, em > seguida, aceda ao separador Grupos de dispositivos ou Grupos de utilizadores.
Diga-nos quem contactar para assuntos importantes
Os Especialistas em Defender para XDR permitem-lhe determinar os indivíduos ou grupos na sua organização que precisam de ser notificados se existirem incidentes críticos, atualizações de serviço, consultas ocasionais e outras recomendações:
- Contactos de notificação de incidentes – estes contactos são pessoas ou equipas que podemos notificar relativamente a ações de resposta geridas ou qualquer comunicação que necessite de resposta imediata. Dada a natureza urgente das comunicações, recomendamos que estes contactos estejam sempre disponíveis.
- Contactos de revisão de serviço – estes contactos são pessoas ou equipas com as quais podemos interagir para obter instruções de segurança em curso efetuadas pela nossa equipa de entrega de serviços.
Depois de identificados, os indivíduos ou grupos receberão um e-mail a notificá-los de que se encontravam como um contacto para fins de notificação de incidente ou revisão do serviço.
Para adicionar contactos de notificação:
Nas mesmas definições de Especialistas do Defender, em Contactos, procure e adicione a sua Pessoa de contacto ou equipa no campo de texto fornecido.
Adicione um Número de telefone (opcional) que os Especialistas do Defender podem chamar para assuntos que requerem atenção imediata.
Na caixa pendente Contacto para , selecione Notificação de incidente ou Revisão do serviço.
Selecione Adicionar.
Selecione Seguinte para confirmar a sua lista de contactos e continuar a criar um canal do Teams onde também pode receber notificações de incidentes.
Para editar ou atualizar os seus contactos de notificação após a configuração inicial, aceda a Definições Contactos> denotificaçãode Especialistas do> Defender.
Receber notificações e atualizações de resposta gerida no Microsoft Teams
Além do e-mail e do chat no portal, também tem de optar por utilizar o Microsoft Teams para receber atualizações sobre respostas geridas e comunicar com os nossos especialistas em tempo real. Quando esta definição está ativada, é criada uma nova equipa denominada Equipa de Especialistas em Defender , onde as notificações de resposta geridas relacionadas com incidentes em curso são enviadas como novas publicações no canal de resposta gerida . Saiba mais sobre como utilizar o chat do Teams
Importante
Os Especialistas em Defender terão acesso a todas as mensagens publicadas em qualquer canal na equipa de Especialistas em Defender criada. Para impedir que os Especialistas do Defender acedam a mensagens nesta equipa, aceda a Aplicações no Teams e, em seguida, navegue para Gerir as suas aplicações>Remover Especialistas do> Defender. Esta ação de remoção não pode ser invertida.
Para ativar as notificações e o chat do Teams:
Na mesma configuração de definições de Especialistas do Defender, em Teams, selecione a caixa de verificação Comunicar no Teams .
Selecione Seguinte para rever as suas definições.
Selecione Enviar. Em seguida, o guia passo a passo conclui a configuração inicial.
Selecione Ver avaliação de preparação para concluir as ações necessárias necessárias para otimizar a postura de segurança.
Observação
Para configurar a aplicação Teams de Especialistas em Defender, tem de ter atribuída a função administrador global ou Administrador de segurança e uma licença do Microsoft Teams.
Para ativar as notificações e o chat do Teams após a configuração inicial, aceda a DefiniçõesEquipas de Especialistas> do > Defender.
- Pode adicionar novos membros ao canal ao navegar para a equipa >de Especialistas em DefenderMais opções (...)>Gerir equipa>Adicionar membro.
- Pode limitar quem pode aderir a esta equipa ao navegar para a equipa >de Especialistas em DefenderMais opções (...)>Configurações>Editar>Gerir equipa>Privado.
Preparar o seu ambiente para o serviço Defender Experts
Para além da integração da entrega de serviços, a nossa experiência no conjunto de produtos Microsoft Defender XDR permite que os Especialistas do Defender para XDR lhe permitam executar uma avaliação de preparação e ajudá-lo a tirar o máximo partido dos seus produtos de segurança da Microsoft.
A avaliação de preparação baseia-se no número de dispositivos e identidades protegidos no seu ambiente e nas recomendações de política dos Especialistas em Defender. Para ver a avaliação, no portal do Microsoft Defender, aceda a Definições Especialistas>do Defender e, em seguida, selecione Estado do serviço.
A avaliação de preparação tem duas partes:
Ações necessárias – esta secção mostra o número de ações ou definições de segurança que precisa de concluir, que estão em curso ou foram concluídas. Estas ações estão listadas numa tabela na parte inferior da página.
A lista descreve os passos necessários que tem de seguir antes de iniciar o serviço. Priorize as ações que têm o estado Concluir agora para que o serviço Defender Experts for XDR seja iniciado mais cedo.
Observação
Pode demorar até 24 horas para obter o estado mais recente das suas definições de segurança.
Recursos protegidos – esta secção mostra o número atual de dispositivos e identidades protegidos em comparação com os que ainda precisa de proteger para iniciar o serviço Defender Experts for XDR.
Os números baseiam-se nas licenças do Defender para Endpoint e do Defender para Identidade; para alcançar este número de recursos protegidos de destino, integre mais dispositivos no Defender para Endpoint ou instale mais sensores do Defender para Identidade.
Importante
Os Especialistas em Defender para XDR analisam periodicamente a sua avaliação de preparação, especialmente se existirem alterações ao seu ambiente, como a adição de novos dispositivos e identidades. É importante que monitorize e execute regularmente a avaliação de preparação para além da integração inicial para garantir que o seu ambiente tem uma postura de segurança forte para reduzir o risco.
Depois de concluir todas as tarefas necessárias e cumprir os objetivos de integração na avaliação de preparação, o gestor de entrega de serviços (SDM) inicia a fase de monitorização do serviço Defender Experts for XDR, onde, durante alguns dias, os nossos especialistas começam a monitorizar o seu ambiente de perto para identificar ameaças latentes, origens de risco e atividade normal. À medida que compreendemos melhor os seus recursos críticos, podemos simplificar o serviço e ajustar as nossas respostas.
Assim que os nossos especialistas começarem a realizar um trabalho de resposta abrangente em seu nome, começará a receber notificações sobre incidentes que requerem passos de remediação e recomendações direcionadas sobre incidentes críticos. Também pode conversar com os nossos especialistas ou os seus SDMs sobre consultas importantes e revisões regulares da postura empresarial e de segurança. Além disso, também pode ver relatórios em tempo real sobre o número de incidentes que investigámos e resolvemos em seu nome.
Próxima etapa
- Detecção e resposta gerenciadas
- Obter visibilidade em tempo real com os especialistas do Defender para relatórios XDR
- Comunicar com especialistas no serviço Microsoft Defender Experts for XDR
Confira também
- Informações gerais sobre especialistas do Defender para o serviço XDR
- Como funcionam os Especialistas do Microsoft Defender para permissões XDR
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.