Dela via


Kom igång med Microsoft Defender experter för XDR

Gäller för:

Tips

Onboarding-instruktioner finns i den här korta videon: https://www.youtube.com/watch?v=eLEXPZ1mUwQ

När Defender-experterna för XDR-teamet är redo att registrera din organisation får du ett välkomstmeddelande för att fortsätta installationen och komma igång.

Välj länken i välkomstmeddelandet för att starta inställningar för Defender-experter direkt i Microsoft Defender-portalen. Du kan också öppna den här konfigurationen genom att gå till Inställningar>Defender-experter och välja Kom igång.

Skärmbild av sidan Kom igång i steg-för-steg-guide för XDR-inställningar i Defender för experter.

Bevilja behörigheter till våra experter

Som standard kräver Defender-experter för XDR tjänstleverantörsåtkomst som gör att våra experter kan logga in på din klientorganisation och leverera tjänster baserat på tilldelade säkerhetsroller. Läs mer om åtkomst mellan klientorganisationer

Du måste också ge våra experter en eller båda av följande behörigheter:

  • Undersök incidenter och vägleda mina svar (standard) – Med det här alternativet kan våra experter proaktivt övervaka och undersöka incidenter och vägleda dig genom nödvändiga svarsåtgärder. (Åtkomstnivå: Säkerhetsläsare)
  • Svara direkt på aktiva hot (rekommenderas) – Med det här alternativet kan våra experter omedelbart begränsa och åtgärda aktiva hot samtidigt som de undersöker, vilket minskar hotets påverkan och förbättrar din övergripande svarseffektivitet. (Åtkomstnivå: Säkerhetsoperatör)

Skärmbild av alternativet hantera undantag när du konfigurerar Defender-experter för XDR.

Viktigt

Om du hoppar över att ge ytterligare behörigheter kommer våra experter inte att kunna vidta vissa svarsåtgärder för att skydda din organisation.

Även om våra experter beviljas dessa relativt kraftfulla behörigheter har de bara individuell åtkomst till specifika områden under en begränsad period. Läs mer om hur Defender-experter för XDR-behörigheter fungerar

Så här ger du våra experter behörigheter:

  1. I samma inställningar för Defender-experter går du till Behörigheter och väljer de åtkomstnivåer som du vill ge våra experter.
  2. Om du vill undanta enhets- och användargrupper i din organisation från reparationsåtgärder väljer du Hantera undantag.
  3. Välj Nästa för att lägga till kontaktpersoner eller grupper.

Om du vill redigera eller uppdatera behörigheter efter den första installationen går du till Inställningar>Defender-experters>behörigheter.

Undanta enheter från reparation

Med Defender-experter för XDR kan du exkludera enheter och användare från reparationsåtgärder som vidtas av våra experter och i stället få vägledning om reparation för dessa entiteter. Dessa undantag baseras på identifierade enhetsgrupper i Microsoft Defender för Endpoint.

Så här exkluderar du enhetsgrupper:

  1. I samma inställningar för Defender-experter går du till fliken Enhetsgrupper under Undantag.

  2. Välj + Lägg till enhetsgrupper, sök sedan efter och välj de enhetsgrupp(er) som du vill exkludera.

    Obs!

    På den här sidan visas endast befintliga enhetsgrupper. Om du vill skapa en ny enhetsgrupp måste du först gå till inställningarna för Defender för Endpoint i Microsoft Defender-portalen. Uppdatera sedan den här sidan för att söka efter och välja den nyskapade gruppen. Läs mer om att skapa enhetsgrupper

  3. Välj Lägg till enhetsgrupper.

  4. Gå tillbaka till fliken Enhetsgrupper och granska listan över undantagna enhetsgrupper. Om du vill ta bort en enhetsgrupp från undantagslistan väljer du den och väljer Sedan Ta bort enhetsgrupp.

  5. Välj Nästa för att bekräfta din undantagslista och fortsätt med att lägga till kontaktpersoner eller grupper. Annars väljer du Hoppa över så ignoreras alla dina tillagda undantag.

Skärmbild av alternativet att exkludera enhetsgrupper.

Berätta för oss vem vi ska kontakta för viktiga frågor

Med Defender-experter för XDR kan du fastställa vilka personer eller grupper i organisationen som behöver meddelas om det finns kritiska incidenter, tjänstuppdateringar, tillfälliga frågor och andra rekommendationer:

  • Incidentmeddelandekontakter – Dessa kontakter är personer eller team som vi kan meddela för hanterade svarsåtgärder eller all kommunikation som kräver omedelbar åtgärd. Med tanke på kommunikationens brådskande karaktär rekommenderar vi att dessa kontakter alltid är tillgängliga.
  • Kontakter för tjänstgranskning – Dessa kontakter är personer eller team som vi kan interagera med för pågående säkerhetsgenomgångar som utförs av vårt serviceleveransteam.

När de har identifierats får individerna eller grupperna ett e-postmeddelande som meddelar dem att de var som en kontakt för incidentmeddelande eller tjänstgranskning.

Skärmbild av sidan Incidentkontakter i steg-för-steg-guide för XDR-inställningar i Defender för experter.

Så här lägger du till meddelandekontakter:

  1. Under Kontakter i samma inställningar för Defender-experter söker du efter och lägger till din kontaktperson eller ditt team i det angivna textfältet.
  2. Lägg till ett telefonnummer (valfritt) som Defender-experter kan anropa för frågor som kräver omedelbar uppmärksamhet.
  3. Under listrutan Kontakt för väljer du Incidentavisering eller Tjänstgranskning.
  4. Välj Lägg till.
  5. Välj Nästa för att bekräfta kontaktlistan och gå vidare till att skapa en Teams-kanal där du även kan ta emot incidentaviseringar.

Om du vill redigera eller uppdatera dina meddelandekontakter efter den första installationen går du till Inställningar>Defender-experter>Meddelandekontakter.

Skärmbild av meddelandekontakter.

Ta emot hanterade svarsmeddelanden och uppdateringar i Microsoft Teams

Förutom e-post och chatt i portalen kan du även välja att använda Microsoft Teams för att få uppdateringar om hanterade svar och kommunicera med våra experter i realtid. När den här inställningen är aktiverad skapas ett nytt team med namnet Defender Experts team, där hanterade svarsmeddelanden relaterade till pågående incidenter skickas som nya inlägg i kanalen Hanterat svar . Läs mer om hur du använder Teams-chatt

Viktigt

Defender-experter kommer att ha åtkomst till alla meddelanden som publiceras på valfri kanal i det skapade Defender Experts-teamet. Om du vill förhindra att Defender-experter kommer åt meddelanden i det här teamet går du till Appar i Teams och går sedan till Hantera dina appar>Defender-experter>Ta bort. Det går inte att ångra den här borttagningsåtgärden.

Så här aktiverar du Teams-meddelanden och chattar:

  1. I samma inställningar för Defender-experter går du till Teams och markerar kryssrutan Kommunicera i Teams .
  2. Välj Nästa för att granska inställningarna.
  3. Välj Skicka. Steg för steg-guiden slutför sedan den första installationen.
  4. Välj Visa beredskapsutvärdering för att slutföra de åtgärder som krävs för att optimera din säkerhetsstatus.

Obs!

Om du vill konfigurera Defender Experts Teams-programmet måste du antingen ha tilldelats rollen Global administratör- eller säkerhetsadministratör och en Microsoft Teams-licens.

Om du vill aktivera Teams-meddelanden och chatta efter den första installationen går du till Inställningar>Defender Experts>Teams.

Skärmbild av alternativet för att aktivera Teams för att ta emot hanterat svar.

  • Du kan lägga till nya medlemmar i kanalen genom att gå till Defender-expertteamet>Fler alternativ (...)>Hantera team>Lägg till medlem.
  • Du kan begränsa vem som kan gå med i det här teamet genom att gå till Defender-expertteamet>Fler alternativ (...)>Inställningar>Redigera>Hantera team>Privat.

Förbereda din miljö för Defender Experts-tjänsten

Förutom leverans av onboarding-tjänster kan vår expertis om Microsoft Defender XDR produktsvit göra det möjligt för Defender-experter för XDR att låta dig köra en beredskapsutvärdering och hjälpa dig att få ut mesta möjliga av dina Microsoft-säkerhetsprodukter.

Beredskapsutvärderingen baseras på antalet skyddade enheter och identiteter i din miljö och Defender-experternas policyrekommendationer. Om du vill visa utvärderingen går du till Inställningar>Defender-experter i Microsoft Defender-portalen och väljer tjänststatus.

Skärmbild av beredskapsutvärderingsmiljön.

Beredskapsutvärderingen har två delar:

  • Åtgärder som behövs – Det här avsnittet visar antalet åtgärder eller säkerhetsinställningar som du behöver slutföra, pågår eller har slutförts. De här åtgärderna visas i en tabell längst ned på sidan.

    Listan beskriver de steg som krävs innan du påbörjar tjänsten. Prioritera de åtgärder som har statusen Slutför nu för att få igång Defender-experterna för XDR-tjänsten tidigare.

    Obs!

    Det kan ta upp till 24 timmar att få den senaste statusen för dina säkerhetsinställningar.

  • Skyddade tillgångar – Det här avsnittet visar det aktuella antalet skyddade enheter och identiteter jämfört med de som du fortfarande behöver skydda för att komma igång med Defender-experterna för XDR-tjänsten.

    Siffrorna baseras på dina Defender för Endpoint- och Defender for Identity-licenser. för att uppnå det här målantalet skyddade tillgångar registrerar du fler enheter i Defender för Endpoint eller installerar fler Defender for Identity-sensorer.

Viktigt

Defender-experter för XDR granskar din beredskapsutvärdering regelbundet, särskilt om det sker några ändringar i din miljö, till exempel tillägg av nya enheter och identiteter. Det är viktigt att du regelbundet övervakar och kör beredskapsutvärderingen utöver den första registreringen för att säkerställa att din miljö har en stark säkerhetsstatus för att minska risken.

När du har slutfört alla nödvändiga uppgifter och uppfyllt onboarding-målen i din beredskapsutvärdering, initierar din tjänstleveranshanterare (SDM) övervakningsfasen för Defender-experterna för XDR-tjänsten, där våra experter under några dagar börjar övervaka din miljö noggrant för att identifiera latenta hot, riskkällor och normal aktivitet. När vi får bättre förståelse för dina kritiska tillgångar kan vi effektivisera tjänsten och finjustera våra svar.

När våra experter börjar utföra omfattande svarsarbete åt dig börjar du få meddelanden om incidenter som kräver reparationssteg och riktade rekommendationer om kritiska incidenter. Du kan också chatta med våra experter eller dina SDM:er om viktiga frågor och regelbundna granskningar av affärs- och säkerhetsstatus. Dessutom kan du visa realtidsrapporter om antalet incidenter som vi har undersökt och löst för din räkning.

Nästa steg

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.