Onboarding-instruktioner finns i den här korta videon.
När Defender-experterna för XDR-teamet är redo att registrera din organisation får du ett välkomstmeddelande för att fortsätta installationen och komma igång.
Välj länken i välkomstmeddelandet för att starta inställningar för Defender-experter direkt i Microsoft Defender-portalen. Du kan också öppna den här konfigurationen genom att gå till Inställningar>Defender-experter och välja Kom igång.
Bevilja behörigheter till våra experter
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Som standard kräver Defender-experter för XDR tjänstleverantörsåtkomst som gör att våra experter kan logga in på din klientorganisation och leverera tjänster baserat på tilldelade säkerhetsroller.
Läs mer om åtkomst mellan klientorganisationer
Du måste också ge våra experter en eller båda av följande behörigheter:
Undersök incidenter och vägleda mina svar (standard) – Med det här alternativet kan våra experter proaktivt övervaka och undersöka incidenter och vägleda dig genom nödvändiga svarsåtgärder. (Åtkomstnivå: Säkerhetsläsare)
Svara direkt på aktiva hot (rekommenderas) – Med det här alternativet kan våra experter omedelbart begränsa och åtgärda aktiva hot samtidigt som de undersöker, vilket minskar hotets påverkan och förbättrar din övergripande svarseffektivitet. (Åtkomstnivå: Säkerhetsoperatör)
Viktigt
Om du hoppar över att ge ytterligare behörigheter kommer våra experter inte att kunna vidta vissa svarsåtgärder för att skydda din organisation.
Om du vill redigera eller uppdatera behörigheter efter den första installationen går du till Inställningar>Defender-experters>behörigheter.
Undanta enheter och användare från reparation
Med Defender-experter för XDR kan du exkludera enheter och användare från reparationsåtgärder som vidtas av våra experter och i stället få vägledning om reparation för dessa entiteter. Dessa undantag baseras på identifierade enhetsgrupper i Microsoft Defender för Endpoint och identifierade användargrupper i Microsoft Entra-ID.
Så här exkluderar du enhetsgrupper:
I samma inställningar för Defender-experter går du till fliken Enhetsgrupper under Undantag.
Välj + Lägg till enhetsgrupper, sök sedan efter och välj de enhetsgrupp(er) som du vill exkludera.
Anteckning
På den här sidan visas endast befintliga enhetsgrupper. Om du vill skapa en ny enhetsgrupp måste du först gå till inställningarna för Defender för Endpoint i Microsoft Defender-portalen. Uppdatera sedan den här sidan för att söka efter och välja den nyskapade gruppen.
Läs mer om att skapa enhetsgrupper
Välj Lägg till enhetsgrupper.
Gå tillbaka till fliken Enhetsgrupper och granska listan över undantagna enhetsgrupper. Om du vill ta bort en enhetsgrupp från undantagslistan väljer du den och väljer Sedan Ta bort enhetsgrupp.
Välj Nästa för att bekräfta din undantagslista och fortsätt med att lägga till kontaktpersoner eller grupper. Annars väljer du Hoppa över så ignoreras alla dina tillagda undantag.
Så här exkluderar du användargrupper:
I samma inställningar för Defender-experter går du till fliken Användargrupper under Undantag.
Välj + Lägg till användargrupper, sök sedan efter och välj de användargrupper som du vill exkludera.
Anteckning
På den här sidan visas endast befintliga användargrupper. Om du vill skapa en ny användargrupp måste du först logga in på administrationscentret för Microsoft Entra ID som global administratör. Uppdatera sedan den här sidan för att söka efter och välja den nyskapade gruppen.
Läs mer om att skapa användargrupper
Välj Lägg till användargrupper.
Gå tillbaka till fliken Användargrupper och granska listan över undantagna användargrupper. Om du vill ta bort en användargrupp från undantagslistan väljer du den och väljer Sedan Ta bort användargrupp.
Välj Nästa för att bekräfta din undantagslista och fortsätt med att lägga till kontaktpersoner eller grupper. Annars väljer du Hoppa över så ignoreras alla dina tillagda undantag.
Anteckning
Du kan bara exkludera användare genom att lägga till dem i en Säkerhetsgrupp för Microsoft Entra-ID. Prem Entra-ID-användare kan inte uteslutas just nu.
Om du vill redigera eller uppdatera undantag efter den första installationen går du till Inställningar>Defender-experter>undantag och går sedan till fliken Enhetsgrupper eller Användargrupper .
Berätta för oss vem vi ska kontakta för viktiga frågor
Med Defender-experter för XDR kan du fastställa vilka personer eller grupper i organisationen som behöver meddelas om det finns kritiska incidenter, tjänstuppdateringar, tillfälliga frågor och andra rekommendationer:
Incidentmeddelandekontakter – Dessa kontakter är personer eller team som vi kan meddela för hanterade svarsåtgärder eller all kommunikation som kräver omedelbar åtgärd. Med tanke på kommunikationens brådskande karaktär rekommenderar vi att dessa kontakter alltid är tillgängliga.
Kontakter för tjänstgranskning – Dessa kontakter är personer eller team som vi kan interagera med för pågående säkerhetsgenomgångar som utförs av vårt serviceleveransteam.
När de har identifierats får individerna eller grupperna ett e-postmeddelande som meddelar dem att de var som en kontakt för incidentmeddelande eller tjänstgranskning.
Så här lägger du till meddelandekontakter:
Under Kontakter i samma inställningar för Defender-experter söker du efter och lägger till din kontaktperson eller ditt team i det angivna textfältet.
Lägg till ett telefonnummer (valfritt) som Defender-experter kan anropa för frågor som kräver omedelbar uppmärksamhet.
Under listrutan Kontakt för väljer du Incidentavisering eller Tjänstgranskning.
Välj Lägg till.
Välj Nästa för att bekräfta kontaktlistan och gå vidare till att skapa en Teams-kanal där du även kan ta emot incidentaviseringar.
Om du vill redigera eller uppdatera dina meddelandekontakter efter den första installationen går du till Inställningar>Defender-experter>Meddelandekontakter.
Ta emot hanterade svarsmeddelanden och uppdateringar i Microsoft Teams
Förutom e-post och chatt i portalen kan du även välja att använda Microsoft Teams för att få uppdateringar om hanterade svar och kommunicera med våra experter i realtid. När den här inställningen är aktiverad skapas ett nytt team med namnet Defender Experts team, där hanterade svarsmeddelanden relaterade till pågående incidenter skickas som nya inlägg i kanalen Hanterat svar .
Läs mer om hur du använder Teams-chatt
Viktigt
Defender-experter kommer att ha åtkomst till alla meddelanden som publiceras på valfri kanal i det skapade Defender Experts-teamet. Om du vill förhindra att Defender-experter kommer åt meddelanden i det här teamet går du till Appar i Teams och går sedan till Hantera dina appar>Defender-experter>Ta bort. Det går inte att ångra den här borttagningsåtgärden.
Så här aktiverar du Teams-meddelanden och chattar:
I samma inställningar för Defender-experter går du till Teams och markerar kryssrutan Kommunicera i Teams .
Välj Nästa för att granska inställningarna.
Välj Skicka. Steg för steg-guiden slutför sedan den första installationen.
Om du vill konfigurera Defender Experts Teams-programmet måste du ha antingen rollen Global administratör eller Säkerhetsadministratör tilldelad och en Microsoft Teams-licens.
Om du vill aktivera Teams-meddelanden och chatta efter den första installationen går du till Inställningar>Defender Experts>Teams.
Du kan lägga till nya medlemmar i kanalen genom att gå till Defender-expertteamet>Fler alternativ (...)>Hantera team>Lägg till medlem.
Du kan begränsa vem som kan gå med i det här teamet genom att gå till Defender-expertteamet>Fler alternativ (...)>Inställningar>Redigera>Hantera team>Privat.
Förbereda din miljö för Defender Experts-tjänsten
Förutom leverans av onboarding-tjänster gör vår expertis om Microsoft Defender XDR-produktsviten det möjligt för Defender-experter för XDR att låta dig köra en beredskapsutvärdering och hjälpa dig att få ut mesta möjliga av dina Microsoft-säkerhetsprodukter.
Beredskapsutvärderingen baseras på antalet skyddade enheter och identiteter i din miljö och Defender-experternas policyrekommendationer. Om du vill visa utvärderingen går du till Inställningar>Defender-experter i Microsoft Defender-portalen och väljer tjänststatus.
Beredskapsutvärderingen har två delar:
Åtgärder som behövs – Det här avsnittet visar antalet åtgärder eller säkerhetsinställningar som du behöver slutföra, pågår eller har slutförts. De här åtgärderna visas i en tabell längst ned på sidan.
Listan beskriver de steg som krävs innan du påbörjar tjänsten. Prioritera de åtgärder som har statusen Slutför nu för att få igång Defender-experterna för XDR-tjänsten tidigare.
Anteckning
Det kan ta upp till 24 timmar att få den senaste statusen för dina säkerhetsinställningar.
Skyddade tillgångar – Det här avsnittet visar det aktuella antalet skyddade enheter och identiteter jämfört med de som du fortfarande behöver skydda för att komma igång med Defender-experterna för XDR-tjänsten.
Siffrorna baseras på dina Defender för Endpoint- och Defender for Identity-licenser. för att uppnå det här målantalet skyddade tillgångar registrerar du fler enheter i Defender för Endpoint eller installerar fler Defender for Identity-sensorer.
Viktigt
Defender-experter för XDR granskar din beredskapsutvärdering regelbundet, särskilt om det sker några ändringar i din miljö, till exempel tillägg av nya enheter och identiteter. Det är viktigt att du regelbundet övervakar och kör beredskapsutvärderingen utöver den första registreringen för att säkerställa att din miljö har en stark säkerhetsstatus för att minska risken.
När du har slutfört alla nödvändiga uppgifter och uppfyllt onboarding-målen i din beredskapsutvärdering, initierar din tjänstleveranshanterare (SDM) övervakningsfasen för Defender-experterna för XDR-tjänsten, där våra experter under några dagar börjar övervaka din miljö noggrant för att identifiera latenta hot, riskkällor och normal aktivitet. När vi får bättre förståelse för dina kritiska tillgångar kan vi effektivisera tjänsten och finjustera våra svar.
När våra experter börjar utföra omfattande svarsarbete åt dig börjar du få meddelanden om incidenter som kräver reparationssteg och riktade rekommendationer om kritiska incidenter. Du kan också chatta med våra experter eller dina SDM:er om viktiga frågor och regelbundna granskningar av affärs- och säkerhetsstatus. Dessutom kan du visa realtidsrapporter om antalet incidenter som vi har undersökt och löst för din räkning.
För att få den här Microsoft Applied Skills-autentiseringsuppgiften visar eleverna möjligheten att använda Microsoft Defender XDR för att identifiera och svara på cyberhot. Kandidater för den här autentiseringsuppgiften bör känna till att undersöka och samla in bevis om attacker på slutpunkter. De bör också ha erfarenhet av att använda Microsoft Defender för Endpoint och Kusto-frågespråk (KQL).