Начало использования экспертов Microsoft Defender для охоты
Область применения:
Адаптация
Если вы не знакомы с Microsoft Defender XDR и экспертами Defender по охоте:
- Получив приветственное сообщение электронной почты, выберите Войти в XDR в Microsoft Defender.
- Войдите, если у вас уже есть учетная запись Майкрософт. Если нет, создайте его.
- Краткий обзор XDR в Microsoft Defender позволяет ознакомиться с набором средств безопасности, где находятся возможности и насколько они важны. Выберите Пункт Быстрый обзор.
- Ознакомьтесь с краткими описаниями о службе экспертов Microsoft Defender и ее возможностях. Нажмите кнопку Далее. Вы увидите страницу приветствия:
Получение уведомлений экспертов Defender
Служба уведомлений экспертов Defender включает в себя:
- Мониторинг и анализ угроз, сокращение времени ожидания и риска для бизнеса
- Искусственный интеллект, обученный Хантером, позволяет обнаруживать и нацеливать как на известные атаки, так и на новые угрозы
- Выявление наиболее важных рисков, помогающих SOC повысить их эффективность
- Помощь в области компромиссов и столько контекста, сколько можно быстро предоставить, чтобы обеспечить быстрое реагирование SOC
См. следующий снимок экрана, чтобы увидеть пример уведомления экспертов Defender:
Где найти уведомления экспертов Defender
Уведомления экспертов Defender от экспертов Defender можно получать на следующих носителях:
- Страница инцидентов на портале Microsoft Defender
- Страница оповещений на портале Microsoft Defender
- API оповещений OData и REST API
- Таблица DeviceAlertEvents в расширенной охоте
- Ваш адрес электронной почты, если вы настроите правило уведомлений по электронной почте
Фильтр для просмотра только уведомлений экспертов Defender
Вы можете отфильтровать инциденты и оповещения, если хотите видеть только уведомления экспертов Defender среди множества оповещений. Для этого:
- В меню навигации перейдите в раздел Инциденты & оповещения Инциденты>> щелкните .
- Прокрутите вниз до пункта Источники службы и обнаружения , а затем установите флажки Эксперты Microsoft Defenderв разделе Microsoft Defender для конечной точки и Microsoft Defender XDR.
- Нажмите Применить.
Настройка уведомлений по электронной почте экспертов в Defender
Вы можете настроить XDR в Microsoft Defender, чтобы уведомлять вас или ваших сотрудников по электронной почте о новых инцидентах или обновлениях существующих инцидентов, в том числе об инцидентах, наблюдаемых экспертами Microsoft Defender. Дополнительные сведения о получении уведомлений об инцидентах по электронной почте
- В области навигации XDR в Microsoft Defender выберите Параметры>Уведомления электронной почты Microsoft Defender XDR>Инциденты>.
- Обновите существующие правила уведомлений по электронной почте или создайте новые. Дополнительные сведения см. в разделе Аудит.
- На странице параметров уведомлений правила настройте следующее:
- Источник — выберите экспертов Microsoft Defender в разделе Microsoft Defender XDR и Microsoft Defender для конечной точки.
- Серьезность оповещений — выберите уровни серьезности оповещений, которые будут активировать уведомление об инциденте. Например, если вы хотите получать информацию только о инцидентах с высокой степенью серьезности, выберите "Высокая".
Создание примеров уведомлений экспертов Defender
Вы можете создать пример уведомления экспертов Defender, чтобы начать работу со службой экспертов Defender для охоты, не дожидаясь фактического критического действия в вашей среде. Создание примера уведомления также позволяет протестировать уведомления по электронной почте , которые вы ранее настроили на портале Microsoft Defender для этой службы, а также проверить конфигурацию сборников схем (если они настроены для таких уведомлений) и правил в среде управления информационной безопасностью и событиями безопасности (SIEM).
Пример уведомления экспертов Defender отображается на странице инцидентов с заголовком Эксперты Defender: тестовое уведомление от экспертов Microsoft Defender. Содержимое уведомления является текстом-заполнителем, в то время как другие элементы, такие как оповещения, создаются случайным образом из событий, присутствующих в клиенте, и фактически не затрагиваются.
Чтобы создать пример уведомления, выполните приведенные ниже действия.
- В области навигации XDR в Microsoft Defender перейдите в раздел Параметры Эксперты>Защитника , а затем выберите Примеры уведомлений.
- Выберите Создать пример уведомления. Появится зеленое сообщение о состоянии, подтверждающее, что пример уведомления готов к проверке.
- В разделе Недавно созданное уведомление экспертов Defender выберите ссылку из списка, чтобы просмотреть соответствующий созданный пример уведомления. Последний пример отображается в верхней части списка. Если щелкнуть ссылку, вы будете перенаправлены на страницу Инциденты.
Следующее действие
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.