Поделиться через

Начало использования экспертов Microsoft Defender для охоты

  • Статья

Область применения:

Адаптация

Если вы не знакомы с Microsoft Defender XDR и экспертами Defender по охоте:

  1. Получив приветственное сообщение электронной почты, выберите Войти в XDR в Microsoft Defender.
  2. Войдите, если у вас уже есть учетная запись Майкрософт. Если нет, создайте его.
  3. Краткий обзор XDR в Microsoft Defender позволяет ознакомиться с набором средств безопасности, где находятся возможности и насколько они важны. Выберите Пункт Быстрый обзор.
  4. Ознакомьтесь с краткими описаниями о службе экспертов Microsoft Defender и ее возможностях. Нажмите кнопку Далее. Вы увидите страницу приветствия:

Снимок экрана: страница приветствия XDR в Microsoft Defender с карточкой для службы экспертов Defender для охоты.

Получение уведомлений экспертов Defender

Служба уведомлений экспертов Defender включает в себя:

  • Мониторинг и анализ угроз, сокращение времени ожидания и риска для бизнеса
  • Искусственный интеллект, обученный Хантером, позволяет обнаруживать и нацеливать как на известные атаки, так и на новые угрозы
  • Выявление наиболее важных рисков, помогающих SOC повысить их эффективность
  • Помощь в области компромиссов и столько контекста, сколько можно быстро предоставить, чтобы обеспечить быстрое реагирование SOC

См. следующий снимок экрана, чтобы увидеть пример уведомления экспертов Defender:

Снимок экрана: уведомление экспертов Defender в XDR в Microsoft Defender. Уведомление эксперта Defender содержит заголовок, в котором описывается наблюдаемая угроза или действие, сводка и список рекомендаций.

Где найти уведомления экспертов Defender

Уведомления экспертов Defender от экспертов Defender можно получать на следующих носителях:

Фильтр для просмотра только уведомлений экспертов Defender

Вы можете отфильтровать инциденты и оповещения, если хотите видеть только уведомления экспертов Defender среди множества оповещений. Для этого:

  1. В меню навигации перейдите в раздел Инциденты & оповещения Инциденты>> щелкните значок фильтра.
  2. Прокрутите вниз до пункта Источники службы и обнаружения , а затем установите флажки Эксперты Microsoft Defenderв разделе Microsoft Defender для конечной точки и Microsoft Defender XDR.
  3. Нажмите Применить.

Настройка уведомлений по электронной почте экспертов в Defender

Вы можете настроить XDR в Microsoft Defender, чтобы уведомлять вас или ваших сотрудников по электронной почте о новых инцидентах или обновлениях существующих инцидентов, в том числе об инцидентах, наблюдаемых экспертами Microsoft Defender. Дополнительные сведения о получении уведомлений об инцидентах по электронной почте

  1. В области навигации XDR в Microsoft Defender выберите Параметры>Уведомления электронной почты Microsoft Defender XDR>Инциденты>.
  2. Обновите существующие правила уведомлений по электронной почте или создайте новые. Дополнительные сведения см. в разделе Аудит.
  3. На странице параметров уведомлений правила настройте следующее:
    • Источник — выберите экспертов Microsoft Defender в разделе Microsoft Defender XDR и Microsoft Defender для конечной точки.
    • Серьезность оповещений — выберите уровни серьезности оповещений, которые будут активировать уведомление об инциденте. Например, если вы хотите получать информацию только о инцидентах с высокой степенью серьезности, выберите "Высокая".

Создание примеров уведомлений экспертов Defender

Вы можете создать пример уведомления экспертов Defender, чтобы начать работу со службой экспертов Defender для охоты, не дожидаясь фактического критического действия в вашей среде. Создание примера уведомления также позволяет протестировать уведомления по электронной почте , которые вы ранее настроили на портале Microsoft Defender для этой службы, а также проверить конфигурацию сборников схем (если они настроены для таких уведомлений) и правил в среде управления информационной безопасностью и событиями безопасности (SIEM).

Пример уведомления экспертов Defender отображается на странице инцидентов с заголовком Эксперты Defender: тестовое уведомление от экспертов Microsoft Defender. Содержимое уведомления является текстом-заполнителем, в то время как другие элементы, такие как оповещения, создаются случайным образом из событий, присутствующих в клиенте, и фактически не затрагиваются.

Снимок экрана: пример DEN в Defender Experts for Hunting.

Чтобы создать пример уведомления, выполните приведенные ниже действия.

  1. В области навигации XDR в Microsoft Defender перейдите в раздел Параметры Эксперты>Защитника , а затем выберите Примеры уведомлений.
  2. Выберите Создать пример уведомления. Появится зеленое сообщение о состоянии, подтверждающее, что пример уведомления готов к проверке.
  3. В разделе Недавно созданное уведомление экспертов Defender выберите ссылку из списка, чтобы просмотреть соответствующий созданный пример уведомления. Последний пример отображается в верхней части списка. Если щелкнуть ссылку, вы будете перенаправлены на страницу Инциденты.

Снимок экрана: пример ссылок DEN.

Следующее действие

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.