分享方式:


開始使用適用於 XDR 的 Microsoft Defender 專家

適用於:

如需上線指示,請參閱這段短片。

一旦適用於 XDR 的 Defender 專家小組準備好讓您的組織上線之後,您會收到歡迎電子郵件來繼續設定並開始進行。

選取歡迎電子郵件中的連結,以在 Microsoft Defender 入口網站中直接啟動 Defender 專家設定設定。 您也可以移至 [ 設定 Defender>專家 ] 並選取 [ 開始使用],以開啟此設定

適用於專家的 Defender XDR 設定逐步指南中 [開始使用] 頁面的螢幕快照。

將許可權授與我們的專家

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

根據預設,適用於 XDR 的 Defender 專家需要 服務提供者存取權 ,讓我們的專家能夠登入您的租使用者,並根據指派的安全性角色來提供服務。 深入瞭解跨租使用者存取

您也需要授與我們的專家下列一或兩個權限:

  • 調查事件並引導我的回應 (預設) – 此選項可讓我們的專家主動監視和調查事件,並引導您完成任何必要的回應動作。 (存取層級:安全性讀取器)
  • 直接回應作用中威脅 (建議) – 此選項可讓我們的專家在調查時立即包含並補救作用中的威脅,進而降低威脅的影響,並改善整體回應效率。 (存取層級:安全性操作員)

設定適用於 XDR 的 Defender 專家時,管理排除選項的螢幕快照。

重要事項

如果您略過提供其他許可權,我們的專家將無法採取某些回應動作來保護您的組織。

即使我們的專家獲授與這些相對強大的許可權,他們仍只能在有限期間內個別存取特定區域。 深入瞭解適用於 XDR 許可權的 Defender 專家如何運作

若要授與我們的專家許可權:

  1. 在相同的 Defender 專家設定設定中,於 [權 ] 底下,選擇您想要授與專家的存取層級 () 。

  2. 如果您想要從補救動作排除組織中的 裝置和使用者群組 ,請選取 [管理排除專案]

  3. 取 [下一步] 以新增聯繫人或群組

若要在初始設定之後編輯或更新許可權,請移至 [設定Defender>專家>權限]

排除裝置和用戶不進行補救

適用於 XDR 的 Defender 專家可讓您將裝置和使用者排除在我們的專家所採取的補救動作之外,並改為取得這些實體的補救指引。 這些排除專案是以 Microsoft Defender for Endpoint 中的已識別 裝置群組 為基礎,以及在 Microsoft Entra ID 中識別的 使用者群組

若要排除裝置群組:

  1. 在相同的 Defender 專家設定設定中,移至 [ 排除] 底下的 [ 裝置群組] 索引標籤

  2. 取 [+ 新增裝置群組],然後搜尋並選擇您想要排除的裝置群組 () 。

    注意事項

    此頁面只會列出現有的裝置群組。 如果您想要建立新的裝置群組,您必須先移至 Microsoft Defender 入口網站中的適用於端點的 Defender 設定。 然後,重新整理此頁面以搜尋並選擇新建立的群組。 深入瞭解如何建立裝置群組

  3. 選取 [新增裝置群組]

  4. 回到 [ 裝置群組 ] 索引標籤,檢閱排除的裝置群組清單。 如果您想要從排除清單中移除裝置群組,請選擇它,然後選 取 [移除裝置群組]

  5. 選取 [下一步 ] 以確認您的排除清單,並繼續 新增聯繫人或群組。 否則,請選取 [略過],並捨棄所有新增的排除專案。

排除裝置群組選項的螢幕快照。

若要排除使用者群組:

  1. 在相同的 Defender 專家設定設定中,移至 [ 排除] 底下的 [ 使用者群組] 索引 標籤。

  2. 取 [+ 新增使用者群組],然後搜尋並選擇您想要排除的使用者群組 () 。

    注意事項

    此頁面只會列出現有的使用者群組。 如果您想要建立新的使用者群組,您必須先以全域管理員身分登入 Microsoft Entra ID 系統管理中心。 然後,重新整理此頁面以搜尋並選擇新建立的群組。 深入瞭解如何建立使用者群組

  3. 選取 [新增使用者群組]

  4. 回到 [ 使用者群組 ] 索引標籤,檢閱排除的使用者群組清單。 如果您想要從排除清單中移除使用者群組,請選擇它,然後選 取 [移除使用者群組]

  5. 選取 [下一步 ] 以確認您的排除清單,並繼續 新增聯繫人或群組。 否則,請選取 [略過],並捨棄所有新增的排除專案。

在適用於 XDR 的 Defender 專家中排除使用者群組的螢幕快照。

注意事項

您只能藉由將使用者新增至 Microsoft Entra ID 安全組來排除使用者。 目前無法排除內部部署 Entra ID 使用者。

若要在初始設定之後編輯或更新排除專案,請移至 [ 設定>Defender 專家>排除],然後移至 [ 裝置群組 ] 或 [ 使用者群組] 索引 卷標。

告知我們誰要連絡重要事項

適用於 XDR 的 Defender 專家可讓您判斷組織內需要在發生重大事件、服務更新、偶爾查詢和其他建議時收到通知的個人或群組:

  • 事件通知連絡人 – 這些聯繫人是可通知受控回應動作的人員或小組,或任何需要立即響應的通訊。 基於通訊的緊急本質,我們建議一律提供這些聯繫人。
  • 服務檢閱聯繫人 – 這些聯繫人是我們可以與之互動的人員或小組,以進行由服務傳遞小組進行的持續安全性簡報。

識別之後,個人或群組會收到一封電子郵件,通知他們作為事件通知或服務檢閱用途的聯繫人。

適用於專家的 Defender XDR 設定逐步指南中事件聯繫人頁面的螢幕快照。

若要新增通知聯絡人:

  1. 在相同的 Defender 專家設定設定中,於 [ 連絡人] 底下,在提供的文字欄位中搜尋並新增您的 聯繫人或小組

  2. 新增 電話號碼 (可讓Defender專家針對需要立即注意的事項呼叫的選擇性) 。

  3. 在 [ 聯繫人] 下拉式方塊下,選擇 [事件通知 ] 或 [服務檢閱]

  4. 選取 新增

  5. 選取 [下一步 ] 以確認您的聯繫人清單,並繼續 建立 Teams 頻道 ,您也可以在其中接收事件通知。

若要在初始設定之後編輯或更新您的通知聯繫人,請移至 設定>Defender 專家>通知聯繫人

通知聯繫人的螢幕快照。

在 Microsoft Teams 中接收 Managed 回應通知和更新

除了電子郵件和入口 網站內聊天之外,您還必須選擇使用 Microsoft Teams 來接收受控回應的更新,並即時與我們的專家通訊。 開啟此設定時,會建立名為 Defender 專家小組 的新小組,其中與進行中事件相關的受控回應通知會以受控 回應 通道中的新文章傳送。 深入瞭解使用Teams聊天

重要事項

Defender 專家將可存取建立的 Defender專家小組中任何頻道上張貼的所有訊息。 若要防止 Defender 專家存取此小組中的訊息,請移至 Teams 中的 應用程式 ,然後流覽至 [管理您的應用程式>][Defender 專家>移除]。 此移除動作無法反轉。

若要開啟 Teams 通知和聊天:

  1. 在相同的 Defender 專家設定設定中,選取 [Teams上的通訊 ] 複選框。

  2. 取 [下一步 ] 以檢閱您的設定。

  3. 選取 [提交]。 接著,逐步指南會完成初始設定。

  4. 取 [檢視整備評估 ],以完成 優化安全性狀態所需的必要動作。

注意事項

若要設定 Defender Experts Teams 應用程式,您必須獲指派 全域管理員安全性系統管理員 角色,以及Microsoft Teams 授權。

若要在初始設定之後開啟 Teams 通知和聊天,請移至 設定>Defender 專家>Teams

啟用 Teams 以接收 Managed 回應的選項螢幕快照。

  • 您可以流覽至 Defender 專家小組> [其他選項 (...) >管理小組>新增成員,以將新成員新增至頻道。
  • 您可以流覽至 Defender 專家小組[其他選項 (...) >> 設定編輯>管理小組>私人],以限制誰可以加入此小組>。

準備適用於 Defender 專家服務的環境

除了上線服務傳遞之外,我們對 Microsoft Defender XDR 產品套件的專業知識可讓適用於 XDR 的 Defender 專家讓您執行 整備評估 ,並協助您充分利用Microsoft安全性產品。

整備評估是根據您環境中受保護的裝置和身分識別數目,以及 Defender 專家的原則建議。 若要檢視評定,請在 Microsoft Defender 入口網站中,移至 [ 設定>Defender 專家 ],然後選取 [ 服務狀態]

整備評估環境的螢幕快照。

整備評估有兩個部分:

  • 所需的動作 – 本節顯示您需要完成、進行中或已完成的動作或安全性設定數目。 這些動作會列在頁面底部的數據表中。

    此清單概述起始服務之前,您需要採取的必要步驟。 排定具有 [ 立即完成 ] 狀態的動作優先順序,以更快啟動適用於 XDR 的 Defender 專家服務。

    注意事項

    最多可能需要 24 小時的時間,才能取得安全性設定的最新狀態。

  • 受保護的資產 – 本節顯示受保護裝置和身分識別的目前數目,以及您仍然需要保護才能啟動適用於 XDR 的 Defender 專家服務的裝置和身分識別數目。

    這些數據是以適用於端點的Defender和適用於身分識別的Defender授權為基礎;若要達到這些受保護資產的目標數目, 請將更多裝置上線 至適用於端點的 Defender,或 安裝更多適用於身分識別的 Defender 感測器

重要事項

適用於 XDR 的 Defender 專家會定期檢閱您的整備評估,特別是如果您的環境有任何變更,例如新增裝置和身分識別。 除了初始上線之外,請務必定期監視並執行整備評估,以確保您的環境具有強大的安全性狀態,以降低風險。

在您完成所有必要工作並符合整備評估中的上線目標之後,您的服務傳遞管理員 (SDM) 起始適用於 XDR 的 Defender 專家服務的監視階段,在幾天內,我們的專家會開始密切監視您的環境,以識別潛在威脅、風險來源和一般活動。 隨著我們對重要資產有更深入的瞭解,我們可以簡化服務並微調我們的回應。

一旦我們的專家開始代表您執行完整的回應工作,您就會開始收到 有關需要補救步驟的事件通知 ,以及針對重大事件的針對性建議。 您也可以 與我們的專家 或您的 SDM 討論重要的查詢,以及一般商務和安全性狀態檢閱。 此外,您也可以檢視我們代表您調查並解決的事件數目 實時報告

下一步

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群