Поделиться через

Начало использования службы Эксперты по Defender для XDR

Область применения:

После завершения шагов по подключению и проверки готовности для Эксперты по Microsoft Defender для XDR наши эксперты начнут отслеживать вашу среду, чтобы упростить службу, чтобы мы могли выполнять комплексное обслуживание от вашего имени. На этом этапе наши специалисты выявляют скрытые угрозы, источники риска и нормальную активность.

После того как наши эксперты начнут выполнять комплексную работу по реагированию от вашего имени, вы начнете получать уведомления об инцидентах, требующих действий по исправлению, и целевые рекомендации по критическим инцидентам. Вы также можете общаться с нашими экспертами или менеджерами по доставке услуг (SDM) о важных запросах и регулярных проверках состояния бизнеса и безопасности, а также просматривать отчеты в режиме реального времени о количестве инцидентов, которые мы исследовали и устранили от вашего имени.

Управляемое обнаружение и реагирование

Благодаря сочетанию автоматизации и человеческого опыта Эксперты по Defender для XDR рассмотрение Microsoft Defender XDR инцидентов, приоритезирование их от вашего имени, фильтрация шума, проведение подробных расследований и предоставление практических мер управляемого реагирования для команд центра управления безопасностью (SOC).

Обновления инцидентов

После того как наши эксперты приступить к расследованию инцидента, поля "Назначено " и "Состояние инцидента" обновляются до "Эксперты Defender" и "Выполняется" соответственно.

Когда наши эксперты завершают расследование инцидента, поле классификации инцидента обновляется до одного из следующих значений в зависимости от выводов экспертов:

  • Истинно положительный результат
  • Ложное срабатывание
  • Информационное, ожидаемое действие

Поле Определения , соответствующее каждой классификации, также обновляется, чтобы предоставить более подробную информацию о выводах, которые привели наших экспертов к определению указанной классификации.

Снимок экрана: страница

Если инцидент классифицируется как ложноположительный результат или информационное ожидаемое действие, поле состояние инцидента обновляется на Разрешено. Затем наши эксперты завершают свою работу над этим инцидентом, и поле Назначено будет обновлено на Unassigned. Наши эксперты могут поделиться обновлениями из своего расследования и выводами при разрешении инцидента. Эти обновления размещаются на всплывающей панели примечаний и журнала инцидента.

Примечание.

Комментарии к инциденту — это односторонние публикации. Эксперты Defender не могут отвечать на комментарии или вопросы, добавленные на панели "Комментарии и журнал ". Дополнительные сведения о том, как взаимодействовать с нашими экспертами, см. в разделе Общение с экспертами в службе Эксперты по Microsoft Defender для XDR.

В противном случае, если инцидент классифицируется как True Positive, наши эксперты определяют необходимые действия реагирования, которые необходимо выполнить. Метод, в котором выполняются действия, зависит от разрешений и уровней доступа, предоставленных службе Эксперты по Defender для XDR. Узнайте больше о предоставлении разрешений нашим экспертам.

  • Если вы предоставили Эксперты по Defender для XDR рекомендуемые разрешения на доступ к оператору безопасности, наши эксперты могут выполнить необходимые действия реагирования на инцидент от вашего имени. Эти действия, а также сводка по расследованию, отображаются на всплывающей панели управляемого реагирования инцидента на портале Microsoft Defender для вас или вашей команды SOC для просмотра. Все действия, выполненные Эксперты по Defender для XDR отображаются в разделе Завершенные действия. Все ожидающие действия, которые требуют выполнения от вас или команды SOC, перечислены в разделе Ожидающие действия . Дополнительные сведения см. в разделе Действия . После того как наши специалисты предоставили все необходимые меры по инциденту, его поле Состояние обновляется до "Разрешено ", а поле "Назначено " — на Неназначенные.

  • Если вы предоставили Эксперты по Defender для XDR доступ к средству чтения безопасности по умолчанию, необходимые действия реагирования, а также сводка по расследованию отображаются на всплывающей панели управляемого ответа инцидента в разделе Ожидающие действия на портале Microsoft Defender для выполнения вами или вашей командой SOC. Дополнительные сведения см. в разделе Действия . Чтобы определить эту передачу, поле Состояние инцидента обновляется на Ожидание действия клиента , а поле Назначено — для клиента.

Количество инцидентов, требующих действий, можно проверка на баннере экспертов Defender в верхней части домашней страницы Microsoft Defender.

Снимок экрана: карта экспертов Defender на портале Microsoft Defender с количеством инцидентов, ожидающих действий клиента.

Чтобы просмотреть инциденты, которые наши эксперты изучили или расследуют в настоящее время, отфильтруйте очередь инцидентов на портале Microsoft Defender с помощью тега Эксперты Defender.

Снимок экрана: очередь инцидентов на портале Microsoft Defender, отфильтрованной для отображения только тех, кто содержит тег экспертов Defender.

Использование управляемого ответа в Microsoft Defender XDR

На портале Microsoft Defender для инцидента, требующего вашего внимания с помощью управляемого ответа, в поле Назначено задано значение Клиент, а в области Инциденты карта задача. Назначенные контакты по инциденту также получают соответствующее уведомление по электронной почте со ссылкой на портал Defender для просмотра инцидента. Дополнительные сведения о контактах с уведомлениями.

Выберите Просмотр управляемого ответа на карта задачи или в верхней части страницы портала (вкладка Управляемый ответ), чтобы открыть всплывающий элемент, где можно прочитать сводку исследования наших экспертов, выполнить ожидающие действия, выявленные нашими экспертами, или взаимодействовать с ними в чате.

Сводка по расследованию

В разделе Сводка по расследованию вы дается дополнительный контекст об инциденте, проанализированном нашими экспертами, и вы можете получить представление о его серьезности и потенциальном воздействии, если вы не будете немедленно рассмотрены. Он может включать в себя временная шкала устройства, индикаторы атаки и индикаторы компрометации (IOCs), а также другие сведения.

Снимок экрана: сводка по исследованию управляемого ответа.

Действия

На вкладке Действия отображаются карточки задач, содержащие действия ответа, рекомендованные нашими экспертами.

Эксперты по Defender для XDR в настоящее время поддерживает следующие действия управляемого ответа одним щелчком:

Действие Описание
Изоляция устройства Изолирует устройство, что помогает предотвратить его управление злоумышленником и выполнение дальнейших действий, таких как кража данных и боковое перемещение. Изолированное устройство по-прежнему будет подключено к Microsoft Defender для конечной точки.
Файл карантина Останавливает выполнение процессов, помещает файлы в карантин и удаляет постоянные данные, такие как разделы реестра.
Ограничить выполнение приложения Ограничивает выполнение потенциально вредоносных программ и блокирует устройство, чтобы предотвратить дальнейшие попытки.
Освобождение от изоляции Отменяет изоляцию устройства.
Удалить ограничение приложения Отмена освобождения от изоляции.

Помимо этих действий одним щелчком, вы также можете получать управляемые ответы от наших экспертов, которые необходимо выполнить вручную.

Примечание.

Прежде чем выполнять какие-либо из рекомендуемых действий управляемого ответа, убедитесь, что они еще не устранены в конфигурациях автоматического исследования и реагирования. Узнайте больше об автоматизированных исследованиях и возможностях реагирования в Microsoft Defender XDR.

Чтобы просмотреть и выполнить действия управляемого ответа, выполните следующие действия:

  1. Нажмите кнопки со стрелками в действии карта, чтобы развернуть его и прочитать дополнительные сведения о требуемом действии.

    Снимок экрана: действие управляемого ответа для изоляции сервера устройства prod.

  2. Для карточек с действиями ответа одним щелчком выберите требуемое действие. Состояние действия в карта изменяется на Выполняется, а затем на Сбой или Завершено в зависимости от результата действия.

    Снимок экрана: действие управляемого ответа, показывающее выполнение изоляции сервера prod устройства.

    Совет

    Вы также можете отслеживать состояние действий ответа на портале в центре уведомлений. Если действие ответа завершается сбоем, попробуйте выполнить его еще раз на странице Просмотр сведений об устройстве или начать чат с экспертами Defender.

  3. Для карточек с обязательными действиями, которые необходимо выполнить вручную, выберите Я выполнил это действие после их выполнения, а затем выберите Да, я сделал это в появившемся диалоговом окне подтверждения.

    Снимок экрана: действие управляемого ответа для подтверждения завершения действия.

  4. Если вы не хотите сразу выполнять требуемое действие, выберите Пропустить, а затем — Да, пропустите это действие в появившемся диалоговом окне подтверждения.

Важно!

Если вы заметили, что какие-либо кнопки на карточках действий неактивны, это может означать, что у вас нет необходимых разрешений для выполнения действия. Убедитесь, что вы вошли на портал Microsoft Defender XDR с соответствующими разрешениями. Для большинства управляемых действий реагирования требуется по крайней мере доступ к оператору безопасности.

Если вы по-прежнему сталкиваетесь с этой проблемой, даже с соответствующими разрешениями, перейдите в раздел Просмотр сведений об устройстве и выполните действия.

Получение сведений о исследованиях экспертов Defender в приложении SIEM или ITSM

По мере того как Эксперты по Defender для XDR исследовать инциденты и придумывать действия по исправлению, вы можете видеть их работу над инцидентами в приложениях управления информационной безопасностью и событиями безопасности (SIEM) и управления ИТ-службами (ITSM), включая приложения, которые доступны готовы.

Microsoft Sentinel

Вы можете получить видимость инцидентов в Microsoft Sentinel, включив встроенный соединитель данных Microsoft Defender XDR данных. Подробнее.

После включения соединителя в соответствующие поляСостояние,Владелец и Причина закрытия в Sentinel появятся обновления экспертами Defender для полей Состояние, Назначено, Классификация и Определение в Microsoft Defender XDR.

Примечание.

Состояние инцидентов, расследованных экспертами Defender в Microsoft Defender XDR, как правило, переходит с активного на Выполняется на Ожидание действия клиента на Разрешено, а в Sentinel оно следует по пути "От нового до активного на разрешенное". Microsoft Defender XDR Состояние ожидает действия клиента не имеет эквивалентного поля в Sentinel. Вместо этого оно отображается в виде тега в инциденте в Sentinel.

В следующем разделе описывается, как инцидент, обрабатываемый нашими экспертами, обновляется в Sentinel по мере его продвижения в ходе расследования.

  1. Для инцидента, расследуемого нашими экспертами, указано состояние"Активный" и "Владелец""Эксперты Defender".
  2. Инцидент, который наши эксперты подтвердили как True Positive, имеет управляемый ответ, размещенный в Microsoft Defender XDR, а тегожидает действия клиента, а владелец указан как клиент. Необходимо действовать в случае инцидента на основе предоставленного управляемого ответа.
  3. После того как наши эксперты завершили расследование и закрыли инцидент как ложноположительные или информационныеожидаемые действия, состояние инцидента обновляется на "Разрешено", владелец обновляется на Неназначенные и предоставляется причина закрытия .

Снимок экрана: инциденты Microsoft Sentinel.

Другие приложения

Вы можете получить видимость инцидентов в приложении SIEM или ITSM с помощью API Microsoft Defender XDR или соединителей в Sentinel.

После настройки соединителя обновления экспертами Defender для полей Состояния инцидента, Назначено, Классификация и Определение в Microsoft Defender XDR могут быть синхронизированы со сторонними приложениями SIEM или ITSM в зависимости от того, как было реализовано сопоставление полей. Чтобы проиллюстрировать, можно просмотреть соединитель, доступный из Sentinel в ServiceNow.

Получение видимости в режиме реального времени с помощью Эксперты по Defender для XDR отчетов

Эксперты по Defender для XDR включает в себя интерактивный отчет по запросу, который содержит четкое резюме работы, которую наши экспертные аналитики выполняют от вашего имени, агрегированную информацию о вашем ландшафте инцидентов и подробные сведения о конкретных инцидентах. Ваш менеджер по доставке служб (SDM) также использует отчет, чтобы предоставить вам дополнительный контекст в отношении службы во время ежемесячной бизнес-проверки.

Снимок экрана: отчет Эксперты по Defender для XDR.

Каждый раздел отчета предназначен для предоставления дополнительных сведений об инцидентах, которые наши эксперты исследовали и разрешали в вашей среде в режиме реального времени. Вы также можете выбрать диапазон дат , чтобы получить подробные сведения об инцидентах на основе серьезности, категории и понять время, затраченное на расследование и разрешение инцидента в течение определенного периода.

Общие сведения об Эксперты по Defender для XDR отчете

Самый верхний раздел отчета Эксперты по Defender для XDR содержит процент инцидентов, которые мы устранили в вашей среде, обеспечивая прозрачность наших операций. Этот процент является производным от следующих цифр, которые также представлены в отчете:

  • Расследованное — количество активных угроз и других инцидентов из очереди инцидентов, которые мы изучили, изучили или в настоящее время исследуют в рамках нашей область.
  • Устранено — общее количество расследованных инцидентов, которые были закрыты.
  • Устранено напрямую — количество расследованных инцидентов, которые мы смогли закрыть непосредственно от вашего имени.
  • Устранено с вашей помощью — количество расследованных инцидентов, которые были разрешены из-за действий над одной или несколькими задачами управляемого реагирования.

В разделе Среднее время для разрешения инцидентов отображается линейчатая диаграмма среднего времени (в минутах), затраченного нашими экспертами на расследование и закрытие инцидентов в вашей среде, а также среднее время, затраченное на выполнение необходимых действий управляемого реагирования.

Разделы Инциденты по серьезности, Инциденты по категориям и Инциденты по источнику службы разбивают разрешенные инциденты по серьезности, методу атаки и источнику службы безопасности Майкрософт соответственно. Эти разделы позволяют определить потенциальные точки входа атак и типы угроз, обнаруженных в вашей среде, оценить их влияние и разработать стратегии их устранения и предотвращения. Выберите Просмотреть инциденты , чтобы получить отфильтрованное представление очереди инцидентов на основе выбранных вариантов в каждом из двух разделов.

В разделе Наиболее затронутые ресурсы отображаются пользователи и устройства в вашей среде, которые были вовлечены в наибольшее количество инцидентов в течение выбранного диапазона дат. Вы можете увидеть объем инцидентов, в которых участвовал каждый ресурс. Выберите ресурс, чтобы получить отфильтрованное представление очереди инцидентов на основе инцидентов, которые включали указанный ресурс.

Упреждающая управляемая охота

Эксперты по Defender для XDR также включает упреждающее охоту на угрозы, предлагаемое Эксперты Microsoft Defender по охоте на угрозы. Эксперты Defender по охоте на угрозы был создан для клиентов, у которых есть надежный центр управления безопасностью, но корпорация Майкрософт помогает им заблаговременно искать угрозы с помощью Microsoft Defender данных. Эта упреждающая служба охоты на угрозы выходит за рамки конечной точки для поиска между конечными точками, Office 365, облачными приложениями и удостоверениями. Наши специалисты исследуют все, что они находят, а затем передают контекстную информацию об оповещениях вместе с инструкциями по исправлению, чтобы вы могли быстро ответить.

Запрос расширенных экспертных знаний по угрозам по запросу

Выберите Задать вопросы экспертам Defender непосредственно на портале Microsoft Defender XDR, чтобы получить быстрые и точные ответы на все вопросы об угрозах. Эксперты могут предоставить аналитические сведения, чтобы лучше понять сложные угрозы, с которыми может столкнуться ваша организация. Обратитесь к эксперту, чтобы:

  • Соберите дополнительные сведения об оповещениях и инцидентах, включая первопричины и область.
  • Получите ясность в подозрительных устройствах, оповещениях или инцидентах и получите дальнейшие действия, если вы столкнулись с продвинутым злоумышленником.
  • Определите риски и доступные средства защиты, связанные с группами действий, кампаниями или новыми методами злоумышленников.

Примечание.

Ask Defender Experts не является службой реагирования на инциденты безопасности. Он предназначен для лучшего понимания сложных угроз, влияющих на вашу организацию. Engage с собственной группой реагирования на инциденты безопасности для решения срочных проблем реагирования на инциденты безопасности. Если у вас нет собственной группы реагирования на инциденты безопасности и вы хотите получить помощь майкрософт, создайте запрос на поддержку в Premier Services Hub.

На страницах инцидентов и оповещений можно задать контекстные вопросы о конкретном инциденте или оповещении:

  • Всплывающее меню страницы оповещений:

Снимок экрана: пункт меню

  • Меню действий страницы инцидентов:

IScreenshot of the Ask Defender Experts (Запрос экспертов Defender) в меню действий страницы Инциденты на портале Microsoft Defender.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.