Инструкции по подключению см. в этом коротком видео.
Когда команда экспертов Defender для XDR будет готова подключиться к вашей организации, вы получите приветственное электронное письмо, чтобы продолжить настройку и начать работу.
Щелкните ссылку в приветственном сообщении электронной почты, чтобы напрямую запустить настройку параметров экспертов Defender на портале Microsoft Defender. Вы также можете открыть эту настройку, перейдя в раздел Параметры Эксперты>Defender и выбрав Начало работы.
Предоставление разрешений нашим экспертам
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
По умолчанию экспертам Defender для XDR требуется доступ к поставщику услуг , который позволяет нашим экспертам входить в клиент и предоставлять службы на основе назначенных ролей безопасности.
Дополнительные сведения о межтенантном доступе
Вам также необходимо предоставить нашим экспертам одно или оба из следующих разрешений:
Исследовать инциденты и направлять мои ответы (по умолчанию) — этот параметр позволяет нашим специалистам активно отслеживать и исследовать инциденты, а также направлять вас по всем необходимым действиям по реагированию. (Уровень доступа: средство чтения безопасности)
Непосредственное реагирование на активные угрозы (рекомендуется) — этот параметр позволяет нашим экспертам немедленно сдерживать и устранять активные угрозы во время исследования, тем самым уменьшая влияние угрозы и повышая общую эффективность реагирования. (Уровень доступа: оператор безопасности)
Важно!
Если вы пропустите предоставление дополнительных разрешений, наши эксперты не смогут предпринять определенные действия для защиты вашей организации.
Чтобы изменить или обновить разрешения после начальной настройки, перейдите в раздел Параметры Разрешения>экспертов> Defender.
Исключение устройств и пользователей из исправлений
Эксперты Defender для XDR позволяют исключить устройства и пользователей из действий по исправлению, выполняемых нашими экспертами, а вместо этого получить рекомендации по исправлению для этих сущностей. Эти исключения основаны на определенных группах устройств в Microsoft Defender для конечной точки и определенных группах пользователей в идентификаторе Microsoft Entra.
Чтобы исключить группы устройств, выполните следующие действия.
В той же настройке параметров Эксперты Defender в разделе Исключения перейдите на вкладку Группы устройств .
Выберите + Добавить группы устройств, а затем найдите и выберите группы устройств, которые нужно исключить.
Примечание
На этой странице перечислены только существующие группы устройств. Если вы хотите создать новую группу устройств, сначала необходимо перейти к параметрам Defender для конечной точки на портале Microsoft Defender. Затем обновите эту страницу, чтобы найти и выбрать только что созданную группу.
Дополнительные сведения о создании групп устройств
Выберите Добавить группы устройств.
Вернитесь на вкладку Группы устройств и просмотрите список исключенных групп устройств. Если вы хотите удалить группу устройств из списка исключений, выберите ее, а затем выберите Удалить группу устройств.
Нажмите кнопку Далее , чтобы подтвердить список исключений и перейти к добавлению контактных лиц или групп. В противном случае выберите Пропустить, и все добавленные исключения будут отменены.
Чтобы исключить группы пользователей, выполните следующие действия:
В той же настройке параметров экспертов Defender в разделе Исключения перейдите на вкладку Группы пользователей .
Выберите + Добавить группы пользователей, а затем найдите и выберите группы пользователей, которые нужно исключить.
Примечание
На этой странице перечислены только существующие группы пользователей. Если вы хотите создать новую группу пользователей, сначала необходимо войти в Центр администрирования Microsoft Entra ID в качестве глобального администратора. Затем обновите эту страницу, чтобы найти и выбрать только что созданную группу.
Дополнительные сведения о создании групп пользователей
Выберите Добавить группы пользователей.
Вернитесь на вкладку Группы пользователей и просмотрите список исключенных групп пользователей. Если вы хотите удалить группу пользователей из списка исключений, выберите ее, а затем выберите Удалить группу пользователей.
Нажмите кнопку Далее , чтобы подтвердить список исключений и перейти к добавлению контактных лиц или групп. В противном случае выберите Пропустить, и все добавленные исключения будут отменены.
Примечание
Вы можете исключить пользователей, только добавив их в группу безопасности Microsoft Entra ID. Пользователи с локальными идентификаторами Entra в настоящее время не могут быть исключены.
Чтобы изменить или обновить исключения после начальной настройки, перейдите в раздел Параметры Эксперты>>DefenderИсключения, а затем перейдите на вкладку Группы устройств или Группы пользователей.
Расскажите нам, с кем следует связаться по важным вопросам
Эксперты Defender для XDR позволяют определить пользователей или группы в организации, которые должны быть уведомлены о критических инцидентах, обновлениях служб, случайных запросах и других рекомендациях:
Контакты с уведомлением об инцидентах . Это лица или команды, которые мы можем уведомить об управляемых действиях реагирования или любых сообщениях, требующих немедленного реагирования. Учитывая срочный характер сообщений, мы рекомендовали, чтобы эти контакты всегда были доступны.
Контакты по проверке служб — это лица или команды, с которыми мы можем взаимодействовать для проведения текущих брифингов по безопасности, проводимых нашей группой по доставке услуг.
После идентификации лица или группы получат электронное письмо с уведомлением о том, что они были контактами для уведомления об инциденте или проверки службы.
Чтобы добавить контакты уведомлений, выполните следующие действия:
В той же настройке параметров Эксперты Defender в разделе Контакты найдите и добавьте контактного лица или команду в указанном текстовом поле.
Добавьте номер телефона (необязательно), который эксперты Defender могут вызывать для вопросов, требующих немедленного внимания.
В раскрывающемся списке Контакт для выберите Уведомление об инциденте или Проверка службы.
Нажмите Добавить.
Нажмите кнопку Далее , чтобы подтвердить список контактов и перейти к созданию канала Teams , где вы также можете получать уведомления об инцидентах.
Чтобы изменить или обновить контакты уведомлений после начальной настройки, перейдите в раздел Параметры Эксперты>Защитника>Уведомления контакты.
Получение уведомлений об управляемых ответах и обновлений в Microsoft Teams
Помимо электронной почты и чата на портале, вы также можете использовать Microsoft Teams для получения обновлений об управляемых ответах и общения с нашими экспертами в режиме реального времени. Если этот параметр включен, создается новая группа экспертов Defender , где уведомления об управляемом ответе, связанные с текущими инцидентами, отправляются в виде новых записей в канале управляемого ответа .
Дополнительные сведения об использовании чата Teams
Важно!
Эксперты Defender получат доступ ко всем сообщениям, размещенным на любом канале в созданной команде экспертов Defender. Чтобы запретить экспертам Defender доступ к сообщениям в этой команде, перейдите в раздел Приложения в Teams, а затем перейдите в раздел Управление приложениями>Эксперты> DefenderУдалить. Это действие удаления не может быть отменено.
Чтобы включить уведомления Teams и чат, выполните приведенные ниже действия.
В той же настройке параметров экспертов Defender в разделе Teams установите флажок Общаться в Teams .
Нажмите кнопку Далее , чтобы просмотреть параметры.
Выберите Отправить. Затем пошаговые инструкции завершают начальную настройку.
Чтобы настроить приложение Defender Experts Teams, необходимо назначить роль глобального администратора или администратора безопасности , а также лицензию Microsoft Teams.
Чтобы включить уведомления Teams и чат после начальной настройки, перейдите в раздел Параметры Эксперты>>DefenderTeams.
Вы можете добавить новых участников в канал, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Управление командой>Добавить участника.
Вы можете ограничить пользователей, которые могут присоединиться к этой команде, перейдя в команду >экспертов DefenderДополнительные параметры (...)>Параметры>Редактировать>Управление командой>Частный.
Подготовка среды для службы экспертов Defender
Помимо адаптации к доставке служб, наш опыт в наборе продуктов XDR в Microsoft Defender позволяет экспертам Defender для XDR выполнять оценку готовности и помогать вам максимально эффективно использовать ваши продукты безопасности Майкрософт.
Оценка готовности основана на количестве защищенных устройств и удостоверений в вашей среде, а также на рекомендациях по политике экспертов Defender. Чтобы просмотреть оценку, на портале Microsoft Defender перейдите в раздел Параметры Эксперты>Защитника , а затем выберите Состояние службы.
Оценка готовности состоит из двух частей:
Необходимые действия . В этом разделе показано количество действий или параметров безопасности, которые необходимо выполнить, выполняются или были завершены. Эти действия перечислены в таблице в нижней части страницы.
В списке перечислены необходимые действия, которые необходимо выполнить перед запуском службы. Приорите приоритет действиям, имеющим состояние "Завершить сейчас ", чтобы быстрее начать работу службы экспертов Defender для XDR.
Примечание
Получение последнего состояния параметров безопасности может занять до 24 часов.
Защищенные ресурсы . В этом разделе показано текущее количество защищенных устройств и удостоверений, а также тех, которые по-прежнему необходимо защитить для запуска службы экспертов Defender для XDR.
Эксперты Defender для XDR периодически проверяют вашу оценку готовности, особенно если в вашей среде есть какие-либо изменения, например добавление новых устройств и удостоверений. Важно регулярно отслеживать и выполнять оценку готовности после первоначального подключения, чтобы убедиться, что ваша среда имеет надежную безопасность для снижения риска.
После выполнения всех необходимых задач и достижения целевых показателей адаптации в оценке готовности ваш менеджер по доставке услуг (SDM) инициирует этап мониторинга службы экспертов Defender для XDR, где в течение нескольких дней наши эксперты начинают внимательно следить за вашей средой для выявления скрытых угроз, источников риска и нормальной активности. По мере того как мы лучше поймем ваши критически важные ресурсы, мы можем оптимизировать обслуживание и точно настроить наши ответы.
После того как наши эксперты начнут выполнять комплексную работу по реагированию от вашего имени, вы начнете получать уведомления об инцидентах , требующих действий по исправлению, и целевые рекомендации по критическим инцидентам. Вы также можете пообщаться с нашими экспертами или вашими SDM по важным запросам и регулярным проверкам состояния бизнеса и безопасности. Кроме того, вы также можете просматривать отчеты в режиме реального времени о количестве инцидентов, которые мы изучили и устранили от вашего имени.
Чтобы заработать эти учетные данные Microsoft Applied Skills, учащиеся демонстрируют возможность использовать XDR в Microsoft Defender для обнаружения и реагирования на киберугрозы. Кандидаты на эти учетные данные должны быть знакомы с исследованием и сбором доказательств о атаках на конечные точки. Они также должны иметь опыт использования Microsoft Defender для конечной точки и язык запросов Kusto (KQL).