开始使用 Microsoft Defender 搜寻专家
适用于:
载入
如果你不熟悉Microsoft Defender XDR和Defender 搜寻专家:
收到欢迎电子邮件后,选择“登录到Microsoft Defender XDR”。
如果已有Microsoft帐户,请登录。 如果没有,请创建一个。
Microsoft Defender XDR快速教程可让你熟悉安全套件、功能的位置及其重要性。 选择“ 快速浏览”。
阅读有关Microsoft Defender专家服务及其提供的功能的简短说明。 选择 下一步。 你将看到欢迎页:
接收 Defender 专家通知
Defender 专家通知服务包括:
- 威胁监视和分析,减少停留时间和业务风险
- 猎人训练的人工智能,以发现和瞄准已知攻击和新出现的威胁
- 识别最相关的风险,帮助 SOC 最大化其有效性
- 帮助确定泄露范围,并尽可能多地提供上下文,以实现快速的 SOC 响应
请参阅以下屏幕截图,查看 Defender 专家通知示例:
在何处查找 Defender 专家通知
可以通过以下媒体接收来自 Defender 专家的 Defender 专家通知:
- Microsoft Defender门户的“事件”页
- Microsoft Defender门户的“警报”页
- OData 警报 API 和 REST API
- 高级搜寻中的 DeviceAlertEvents 表
- 配置电子邮件通知规则时的电子邮件
筛选以仅查看 Defender 专家通知
如果只想在多个警报中查看 Defender 专家通知,则可以筛选事件和警报。 为此,请执行以下操作:
- 在导航菜单上,转到 “事件 & 警报>事件> ”,选择
图标。 - 向下滚动到“服务/检测源”,然后选中“Microsoft Defender for Endpoint和Microsoft Defender XDR”下的“Microsoft Defender专家”复选框。
- 选择“应用”。
设置 Defender 专家电子邮件通知
可以设置Microsoft Defender XDR,通过电子邮件通知你或你的员工有关新事件或现有事件的更新,包括Microsoft Defender专家观察到的事件。 详细了解如何通过电子邮件获取事件通知。
- 在Microsoft Defender XDR导航窗格中,选择“设置Microsoft Defender XDR>>Email通知>事件”。
- 更新现有电子邮件通知规则或创建新的电子邮件通知规则。 有关详细信息,请参阅 审核。
- 在规则的 “通知设置 ”页上,确保配置以下内容:
- 源 - 在Microsoft Defender XDR和Microsoft Defender for Endpoint下选择Microsoft Defender专家。
- 警报严重性 – 选择将触发事件通知的警报严重性。 例如,如果仅想收到高严重度事件的通知,请选择“高”。
生成示例 Defender 专家通知
可以生成示例 Defender 专家通知以开始体验Defender 搜寻专家服务,而无需等待环境中发生实际的关键活动。 通过生成示例通知,还可以测试以前在 Microsoft Defender 门户中为此服务配置的电子邮件通知,以及测试 playbook (的配置(如果针对安全信息和事件管理) 和事件管理 (SIEM) 环境中的此类通知) 和规则进行配置)。
示例 Defender 专家通知显示在“事件”页中,标题为 Defender Experts: Test Notification from Microsoft Defender Experts。 通知 的内容 是占位符文本,而其他元素(例如警报)是从租户中存在的事件随机生成的,实际上不会受到影响。
若要生成示例通知,请执行以下操作:
在Microsoft Defender XDR导航窗格中,转到“设置Defender 专家”>,然后选择“示例通知”。
选择“ 生成示例通知”。 此时会显示一条绿色状态消息,确认示例通知已准备好进行评审。
在 “最近生成的 Defender 专家通知”下,从列表中选择一个链接,以查看其相应的生成示例通知。 最新示例显示在列表顶部。 选择链接会将你重定向到 “事件 ”页。
后续步骤
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。