開始使用適用於 XDR 服務的 Defender 專家
適用於:
在您完成適用於 XDR Microsoft Defender 專家的 上線步驟和整備檢查 之後,我們的專家將會開始監視您的環境以簡化服務,以便我們代表您執行完整的服務。 在這個階段,我們的專家會識別潛在威脅、風險來源和一般活動。
一旦我們的專家開始代表您執行完整的回應工作,您就會開始收到有關需要補救步驟的事件通知,以及針對重大事件的針對性建議。 您也可以與我們的專家或服務傳遞管理員 (SDM) 聊天,瞭解重要的查詢和一般商務和安全性狀態檢閱,並檢視我們代表您調查並解決的事件數目實時報告。
受管理的偵測和回應
透過自動化與人類專業知識的組合,適用於 XDR 的 Defender 專家會分級Microsoft Defender XDR 事件、代表您排定其優先順序、篩選出雜訊、執行詳細調查,以及為安全性作業中心 (SOC) 小組提供可採取動作的受控回應。
事件更新
一旦我們的專家開始調查事件,事件的 [ 指派給 ] 和 [ 狀態] 字 段會分別更新為 [Defender 專家 ] 和 [ 進行中]。
當我們的專家結束調查事件時,事件的 [ 分類 ] 字段會根據專家的結果更新為下列其中一項:
- True 正數
- 誤判
- 信息、預期的活動
對應至每個分類的 [ 判斷 ] 字段也會更新,以提供更多有關結果的深入解析,以引導我們的專家判斷上述分類。
![[事件] 頁面的螢幕快照,其中顯示 [標記]、[狀態]、[指派給]、[分類] 和 [判斷] 字段。](/zh-tw/defender/media/xdr/incidents-xdr-1.png#lightbox)
如果事件分類為 False Positive 或 Informational、 Expected Activity,則事件的 [ 狀態] 字 段會更新為 [ 已解決]。 我們的專家接著會結束此事件的工作,並將 [ 指派給] 字段更新為 [未指派]。 我們的專家可能會在解決事件時分享其調查和結論的更新。 這些更新會張貼在事件的 [ 批注和歷程記錄 ] 飛出視窗面板中。
注意事項
事件批註是單向文章。 Defender 專家無法回應您在 [批注 和歷程記錄 ] 面板中新增的任何批注或問題。 如需如何與我們的專家對應的詳細資訊,請參閱 與適用於 XDR 的 Microsoft Defender 專家服務中的專家通訊。
否則,如果事件分類為 True Positive,我們的專家就會識別需要執行的必要回應動作。 執行動作的方法取決於您提供給適用於 XDR 的 Defender 專家服務的許可權和存取層級。 深入瞭解如何將許可權授與我們的專家。
如果您已將建議的安全性操作員訪問許可權授與適用於 XDR 的 Defender 專家,我們的專家可以代表您對事件執行必要的回應動作。 這些動作連同 調查摘要,會顯示在事件的 [Microsoft Defender 入口網站中的 [Managed 回應 ] 飛出視窗面板中,供您或 SOC 小組檢閱。 適用於 XDR 的 Defender 專家完成的所有動作都會出現在 [ 已完成的動作 ] 區段下。 任何需要您或您的 SOC 小組完成的擱置動作都會列在 [ 擱置動作 ] 區段下。 如需詳細資訊,請參閱 動作一 節。 一旦我們的專家對事件採取所有必要的動作,其 [ 狀態] 欄位 就會更新為 [ 已解決 ],而 [ 指派給 ] 字段會更新為 [未指派]。
如果您已授與適用於 XDR 的 Defender 專家預設安全性讀取者存取權,則必要的回應動作以及 調查摘要會顯示在事件的 [受控 回應 ] 飛出視窗面板中,位於 Microsoft Defender 入口網站的 [ 擱置動作 ] 區段下,供您或您的 SOC 小組執行。 如需詳細資訊,請參閱 動作一 節。 為了識別此事件,事件的 [ 狀態] 欄 位會更新為 [ 等待客戶動作] ,並將 [ 指派給 ] 字段更新為 [客戶]。
您可以在 Microsoft Defender 首頁頂端的 [Defender 專家] 橫幅中,檢查需要您採取動作的事件數目。
若要檢視我們的專家已調查或正在調查的事件,請使用Defender專家標籤,在 Microsoft Defender 入口網站中篩選事件佇列。
如何在 Microsoft Defender XDR 中使用受控回應
在 Microsoft Defender 入口網站中,需要您注意使用受控回應的事件,會將 [ 指派給 ] 字段設定為 [客戶 ],並在 [ 事件 ] 窗格上方設定工作卡片。 您指定的事件聯繫人也會收到對應的電子郵件通知,其中包含可檢視事件的 Defender 入口網站連結。 深入瞭解通知聯繫人。
選取工作卡片或入口網站頁面頂端的 [ 檢視 受控回應], ([受控 回應 ] 索引卷標) 開啟飛出視窗面板,您可以在其中閱讀專家的調查摘要、完成專家所識別的擱置動作,或透過聊天與其互動。
調查摘要
[ 調查摘要 ] 區段提供我們專家所分析之事件的詳細內容,讓您瞭解其嚴重性和潛在影響,如果無法立即解決。 其中可能包含裝置時程表、攻擊指標,以及觀察到的IOC (入侵指標) ,以及其他詳細數據。
動作
[ 動作] 索 引標籤會顯示工作卡片,其中包含我們的專家建議的回應動作。
適用於 XDR 的 Defender 專家目前支援下列單鍵受控回應動作:
| 動作 | 描述 |
|---|---|
| 隔離裝置 | 隔離裝置,有助於防止攻擊者控制裝置,並執行進一步的活動,例如數據外泄和橫向移動。 隔離的裝置仍會連線到適用於端點的 Microsoft Defender。 |
| 隔離的檔案 | 停止執行中的進程、隔離檔案,以及刪除持續性數據,例如登錄機碼。 |
| 限制應用程式執行 | 限制潛在惡意程序的執行,並鎖定裝置以防止進一步的嘗試。 |
| 從隔離釋放 | 復原裝置的隔離。 |
| 移除應用程式限制 | 復原隔離釋放。 |
除了這些單鍵動作之外,您也可以從我們的專家收到您需要手動執行的受控回應。
注意事項
執行任何建議的受控回應動作之前,請確定自動化調查和回應組態尚未解決這些動作。 深入瞭解 Microsoft Defender XDR 中的自動化調查和回應功能。
若要檢視和執行 Managed 回應動作:
選取動作卡片中的箭號按鈕加以展開,並閱讀必要動作的詳細資訊。
針對具有單鍵回應動作的卡片,選取必要的動作。 視動作的結果而定,卡片中的 [ 動作] 狀態 會變更為 [ 進行中],然後變更為 [ 失敗 ] 或 [ 已完成]。
針對需要手動執行之必要動作的卡片,選取 [ 我已在執行後完成此動作 ],然後選取 [ 是,我已 在出現的確認] 對話框中完成。
如果您不想立即完成必要的動作,請選取 [ 略過],然後在出現的確認對話框中選取 [ 是,略過此動作 ]。
重要事項
如果您注意到動作卡片上的任何按鈕都呈現灰色,則可能表示您沒有執行動作的必要許可權。 請確定您已使用適當的許可權登入 Microsoft Defender XDR 入口網站。 大部分的受控回應動作都需要您至少具有安全性操作員存取權。
如果您仍然遇到此問題,即使具有適當的許可權,請流覽至 [檢視裝置詳細數據 ],然後從該處完成步驟。
在 SIEM 或 ITSM 應用程式中查看 Defender 專家調查
當適用於 XDR 的 Defender 專家調查事件並提出補救動作時,您可以在安全性資訊和事件管理 (SIEM) 和 IT 服務管理 (ITSM) 應用程式中查看其事件工作,包括現成可用的應用程式。
Microsoft Sentinel
您可以開啟其現成的 Microsoft Defender XDR 數據連接器,在 Microsoft Sentinel 中取得事件可見度。 深入了解。
當您開啟連接器之後,Defender 專家在 Sentinel 中對應的 [狀態]、[擁有者] 和 [關閉原因] 字段中會顯示Microsoft [狀態]、[擁有者] 和 [關閉原因] 欄位中的 [狀態]、[指派給]、[分類] 和 [判斷] 字段。
注意事項
Defender 專家在 Microsoft Defender XDR 中調查的事件狀態通常會從 [作用中] 轉換為 [進行中] 到 [等候客戶動作] 轉換為 [已解決],而在 Sentinel 中,則會遵循 [新增到作用中] 到 [已解決] 路徑。 Microsoft Defender XDR 狀態 等待客戶動作 在 Sentinel 中沒有對等字段;相反地,它會在 Sentinel 中的事件中顯示為標籤。
下一節說明我們專家所處理的事件在 Sentinel 中如何隨著調查旅程的進行而更新:
- 我們的專家所調查的事件會將 [狀態 ] 列為 [ 作用 中],而 [擁有者] 則列為 [Defender 專家]。
- 我們的專家確認為 True Positive 的事件,在 Microsoft Defender XDR 中張貼受控回應,而等待客戶動作的卷標和擁有者列為客戶。 您必須根據提供的受控回應來處理事件。
- 一旦我們的專家完成調查,並以「誤判」或「預期活動」的方式關閉事件,事件的狀態會更新為 「已解決」、「擁有者」會更新為「未指派」,並提供關閉的原因。
其他應用程式
您可以使用 Microsoft Defender XDR API 或 Sentinel 中的連接器,來查看 SIEM 或 ITSM 應用程式中的事件。
設定連接器之後,Defender 專家可根據字段對應的實作方式,與第三方 SIEM 或 ITSM 應用程式同步處理Microsoft Defender XDR 中事件的狀態、指派給、分類和判斷字段。 為了說明,您可以查看 可從 Sentinel 到 ServiceNow 的連接器。
使用適用於 XDR 的 Defender 專家報告取得即時可見度
適用於 XDR 的 Defender 專家包含互動式的隨選報告,可清楚摘要我們的專家分析師代表您執行的工作、匯總有關您事件環境的資訊,以及有關特定事件的細微詳細數據。 您的服務傳遞管理員 (SDM) 也會使用報告,在每月商務檢閱期間為您提供有關服務的更多內容。
報表的每個區段都是設計來提供有關我們的專家即時在您的環境中調查和解決之事件的深入解析。 您也可以選取 [日期] 範圍 ,以根據嚴重性、類別取得事件的詳細資訊,並瞭解在特定期間調查和解決事件所花費的時間。
瞭解適用於 XDR 的 Defender 專家報告
適用於 XDR 的 Defender 專家報告的最上層區段會提供我們在環境中解決的事件百分比,讓您在我們的作業中具有透明度。 此百分比衍生自下列數據,這些數據也會顯示在報表中:
- 已調查 – 我們已分級、調查或目前在我們的範圍內調查的事件佇列中的作用中威脅和其他事件數目。
- 已解決 – 已關閉的已調查事件總數。
- 直接解決 – 我們能夠代表您直接關閉的已調查事件數目。
- 使用您的協助 解決 – 因您對一或多個受控回應工作採取動作而解決的已調查事件數目。
[ 平均解決事件時間 ] 區段會顯示平均時間的條形圖,以分鐘為單位,我們的專家在您的環境中調查和關閉事件,以及您在執行必要受控回應動作所花費的平均時間。
[ 依嚴重性的事件]、[依 類別的事件] 和 [ 依服務來源 的事件] 區段分別依嚴重性、攻擊技術和Microsoft安全性服務來源細分已解決的事件。 這些區段可讓您識別在環境中偵測到的潛在攻擊進入點和威脅類型、評估其影響,以及開發策略來減輕和防止攻擊。 選 取 [檢視事件 ],根據您在兩個區段中所做的選擇,取得事件佇列的篩選檢視。
[ 受影響最多的資產] 區段會顯示您環境中在所選日期範圍內涉及最多事件的用戶和裝置。 您可以查看每個資產所涉及的事件數量。 選取資產,以根據包含上述資產的事件,取得事件佇列的篩選檢視。
主動式Managed 搜捕
適用於 XDR 的 Defender 專家也包含 Microsoft適用於搜捕的 Defender 專家所提供的主動式威脅搜捕。 搜捕的Defender專家是針對擁有穩固安全性作業中心但想要Microsoft,以協助他們使用 Microsoft Defender 數據主動搜捕威脅的客戶所建立。 此主動式威脅搜捕服務超越端點,可跨端點、Office 365、雲端應用程式和身分識別進行搜捕。 我們的專家會調查他們找到的任何專案,然後將內容相關警示資訊連同補救指示一起遞交,讓您可以快速回應。
視需要要求進階威脅專業知識
選取 [直接在 Microsoft Defender XDR 入口網站中 詢問 Defender 專家 ],以快速且精確地回應所有威脅問題。 專家可以提供深入解析,進一步瞭解貴組織可能面臨的複雜威脅。 諮詢專家以:
- 收集警示和事件的其他資訊,包括根本原因和範圍。
- 清楚瞭解可疑的裝置、警示或事件,並在遇到進階攻擊者時取得後續步驟。
- 判斷與活動群組、活動或新興攻擊者技術相關的風險和可用保護。
注意事項
詢問 Defender 專家不是安全性事件回應服務。 其目的是要讓您更加瞭解影響貴組織的複雜威脅。 請洽詢您自己的安全性事件回應小組,以解決緊急的安全性事件響應問題。 如果您沒有自己的安全性事件回應小組,而且想要Microsoft的協助,請在 Premier Services Hub 中建立支援要求。
您可以在事件和警示頁面中使用 [詢問 Defender 專家 ] 選項,以詢問有關特定事件或警示的內容相關問題:
- [警示] 頁面飛出視窗功能表:
![螢幕快照:Microsoft Defender 入口網站中 [警示] 頁面飛出視窗功能表中的 [詢問 Defender 專家] 功能表選項。](/zh-tw/defender/media/mte/defenderexperts/alerts-flyout-menu.png#lightbox)
- 事件頁面動作選單:
![Microsoft Defender 入口網站中 [事件] 頁面動作功能表中 [詢問 Defender 專家] 功能表選項的 IScreenshot。](/zh-tw/defender/media/mte/defenderexperts/incidents-page-actions-menu.png#lightbox)
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。