瞭解Managed回應
適用於:
下一節列出您或SOC小組對於 Managed回應可能遇到的問題。
| 問題 | 答案 |
|---|---|
| 什麼是Managed回應? | Microsoft適用於 XDR 的 Defender 專家提供受控 回應 ,我們的專家會在其中管理需要它們之事件的整個補救程式。 此程式包括調查事件以找出根本原因、判斷必要的回應動作,以及代表您採取這些動作。 |
| 受控響應的範圍中有哪些動作? | 下面找到的所有動作都位於未排除之任何裝置和使用者的受控回應範圍內。 針對 ( 立即可用的裝置)
針對使用者 (即將推出)
|
| 我可以自定義 Managed 回應的範圍嗎? | 您可以藉由在上線期間或更新版本修改服務的設定,將特定裝置和使用者個別 (或群組) ,來設定我們的專家代表您執行受控回應動作的範圍。 深入瞭解排除裝置群組 |
| Defender 專家對排除的資產提供哪些支援? | 如果我們的專家判斷您需要在排除的裝置或使用者上執行回應動作,我們會透過各種可自定義的方法通知您,並將您導向至 Microsoft Defender XDR 入口網站。 然後,您可以從入口網站檢視調查程序的詳細摘要,以及入口網站中所需的回應動作,並直接執行這些必要的動作。 如果您偏好使用安全性資訊和事件管理 (SIEM) 、IT 服務管理 (ITSM) 或任何其他第三方工具,也可以透過 Defender API 取得類似的功能。 |
| 如何收到回應動作的相關通知? | 我們的專家已代表您完成的回應動作,以及您需要在排除的資產上執行的任何暫止動作,都會顯示在 Defender 入口網站 [事件] 頁面的 [受控回應] 面板中。 此外,您也會收到包含事件鏈接的電子郵件,以及在入口網站中檢視受控回應的指示。 此外,如果您已與 Microsoft Sentinel 或 API 整合,您也會藉由尋找 Defender 專家狀態,在這些工具中收到通知。 如需詳細資訊,請參閱 適用於 XDR 的 Microsoft Defender 專家事件通知的相關常見問題。 |
| 我可以根據動作自定義Managed回應嗎? | 不能。 如果您的裝置或使用者被視為高價值或敏感性,您可以將它們新增至排除清單。 我們的專家不會對他們採取任何動作,而且只會在受到事件影響時提供指引。 |
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。