了解托管响应
适用于:
以下部分列出了你或你的 SOC 团队可能提出的有关 托管响应的问题。
| 问题 | 答案 |
|---|---|
| 什么是托管响应? | Microsoft Defender Experts for XDR 提供 托管响应 ,我们的专家可在其中管理需要这些响应的事件的整个修正过程。 此过程包括调查事件以确定根本原因、确定所需的响应操作,以及代表你采取这些操作。 |
| 托管响应的范围有哪些操作? | 以下找到的所有操作都在未排除的任何设备和用户的托管响应范围内。 对于设备 (现在可用)
面向用户 (即将推出)
|
| 是否可以自定义托管响应的范围? | 你可以配置我们的专家代表你执行托管响应操作的程度,方法是通过修改服务设置来单独排除某些设备和用户 (或按组) 。 详细了解如何排除设备组 |
| Defender 专家为排除的资产提供哪些支持? | 如果我们的专家确定你需要对排除的设备或用户执行响应操作,我们会通过各种可自定义的方法通知你,并将你定向到Microsoft Defender XDR 门户。 然后,可以在门户中查看调查过程的详细摘要以及所需的响应操作,并直接执行这些所需的操作。 如果希望使用安全信息和事件管理 (SIEM) 、IT 服务管理 (ITSM) 或任何其他第三方工具,也可通过 Defender API 使用类似的功能。 |
| 如何通知我响应操作? | 我们的专家代表你完成的响应操作以及你需要对排除的资产执行的任何待处理操作都会显示在 Defender 门户的“事件”页的“托管响应”面板中。 此外,你还会收到一封电子邮件,其中包含事件链接,以及有关在门户中查看托管响应的说明。 此外,如果已与 Microsoft Sentinel 或 API 集成,则还会通过查找 Defender 专家状态在这些工具中收到通知。 有关详细信息,请参阅 与 Microsoft Defender Experts for XDR 事件通知相关的常见问题解答。 |
| 是否可以基于操作自定义托管响应? | 不正确。 如果设备或用户被视为高价值或敏感项,则可以将其添加到排除列表。 我们的专家不会对他们采取任何行动,仅在他们受到事件影响时提供指导。 |
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。