适用于 XDR 的 Microsoft Defender 专家入门

适用于:

有关载入说明,请查看此简短视频。

一旦 Defender Experts for XDR 团队准备好加入你的组织,你将收到一封欢迎电子邮件,用于继续设置并帮助你入门。

选择欢迎电子邮件中的链接,直接启动 Microsoft Defender 门户中的 Defender 专家设置设置。 还可以通过转到“设置”“Defender 专家”并选择“入门”>来打开此设置。

Defender for Experts XDR 设置分步指南中“入门”页的屏幕截图。

向专家授予权限

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

默认情况下,适用于 XDR 的 Defender Experts 需要 服务提供商访问权限 ,以便我们的专家能够登录到你的租户并基于分配的安全角色提供服务。 详细了解跨租户访问

还需要向我们的专家授予以下一项或两项权限:

  • 调查事件并指导我的响应 (默认) – 此选项允许我们的专家主动监视和调查事件,并指导你完成任何必要的响应操作。 (访问级别:安全读取器)
  • 直接响应活动威胁 (建议) – 此选项允许我们的专家在调查时立即包含和修正活动威胁,从而减少威胁的影响,并提高整体响应效率。 (访问级别:安全操作员)

设置 Defender Experts for XDR 时管理排除项选项的屏幕截图。

重要

如果跳过提供其他权限,我们的专家将无法采取某些响应操作来保护你的组织。

尽管我们的专家被授予这些相对强大的权限,但他们只能在有限的时间内访问特定区域。 详细了解 Defender Experts for XDR 权限的工作原理

若要授予我们的专家权限,请执行以下操作:

  1. 在同一 Defender 专家设置设置中,在 “权限”下,选择要授予专家的访问级别 () 。

  2. 如果要从修正操作中 排除组织中的设备和用户组 ,请选择“ 管理排除项”。

  3. 选择“ 下一步以添加联系人或组

若要在初始设置后编辑或更新权限,请转到 “设置>Defender 专家>权限”。

从修正中排除设备和用户

借助适用于 XDR 的 Defender 专家,你可以从专家采取的修正操作中排除设备和用户,并获取这些实体的修正指导。 这些排除项基于 Microsoft Defender for Endpoint 中标识 的设备组 和 entra ID Microsoft标识 的用户组

排除设备组:

  1. 在同一 Defender 专家设置中,在 “排除项”下,转到“ 设备组 ”选项卡。

  2. 选择“ + 添加设备组”,然后搜索并选择要排除的设备组 () 。

    注意

    此页面仅列出现有设备组。 如果要创建新的设备组,首先需要转到 Microsoft Defender 门户中的 Defender for Endpoint 设置。 然后,刷新此页面以搜索并选择新创建的组。 详细了解如何创建设备组

  3. 选择 “添加设备组”。

  4. 返回“ 设备组 ”选项卡,查看排除的设备组列表。 如果要从排除列表中删除设备组,请选择它,然后选择“ 删除设备组”。

  5. 选择“ 下一步 ”以确认排除列表,并继续 添加联系人或组。 否则,选择“ 跳过”,将放弃所有添加的排除项。

用于排除设备组的选项的屏幕截图。

排除用户组:

  1. 在同一 Defender Experts 设置中,在 “排除项”下,转到“ 用户组 ”选项卡。

  2. 选择“ + 添加用户组”,然后搜索并选择要排除的用户组 () 。

    注意

    此页面仅列出现有用户组。 如果要创建新用户组,首先需要以全局管理员身份登录到 Microsoft Entra ID 管理中心。 然后,刷新此页面以搜索并选择新创建的组。 详细了解如何创建用户组

  3. 选择 “添加用户组”。

  4. 返回“ 用户组 ”选项卡,查看排除的用户组列表。 如果要从排除列表中删除用户组,请选择该用户组,然后选择“ 删除用户组”。

  5. 选择“ 下一步 ”以确认排除列表,并继续 添加联系人或组。 否则,选择“ 跳过”,将放弃所有添加的排除项。

在 Defender Experts for XDR 中排除用户组的屏幕截图。

注意

只能通过将用户添加到 Microsoft Entra ID 安全组来排除这些用户。 目前无法排除本地 Entra ID 用户。

若要在初始设置后编辑或更新排除项,请转到“设置Defender 专家>排除项”>,然后转到“设备组”或“用户组”选项卡。

告诉我们要联系谁处理重要事项

借助适用于 XDR 的 Defender 专家,可以确定组织中需要收到通知的个人或组(如果存在关键事件、服务更新、偶尔的查询和其他建议):

  • 事件通知联系人 - 这些联系人是我们可以针对托管响应操作或任何需要立即响应的通信通知的人员或团队。 鉴于通信的紧急性质,我们建议这些联系人始终可用。
  • 服务评审联系人 - 这些联系人是我们可以与我们的服务交付团队进行持续安全简报的人员或团队。

识别后,个人或组将收到一封电子邮件,通知他们作为事件通知或服务评审目的的联系人。

Defender for Experts XDR 设置分步指南中“事件联系人”页面的屏幕截图。

添加通知联系人:

  1. 在同一 Defender 专家设置中,在 “联系人”下,在提供的文本字段中搜索并添加 联系人或团队

  2. 添加 一个电话号码 (可选的) ,Defender 专家可以呼叫需要立即关注的事项。

  3. 在“ 联系人” 下拉框下,选择“ 事件通知 ”或“ 服务评审”。

  4. 选择“添加”。

  5. 选择“ 下一步 ”以确认联系人列表,然后继续 创建 Teams 频道 ,还可以在其中接收事件通知。

若要在初始设置后编辑或更新通知联系人,请转到 “设置>Defender 专家>通知联系人”。

通知联系人的屏幕截图。

在 Microsoft Teams 中接收托管响应通知和更新

除了电子邮件和 门户内聊天,你还必须选择使用 Microsoft Teams 接收有关托管响应的更新,并实时与我们的专家进行通信。 启用此设置后,将创建一个名为 Defender Experts 团队 的新团队,其中与正在进行的事件相关的托管响应通知将作为新帖子在 托管响应 通道中发送。 详细了解如何使用 Teams 聊天

重要

Defender 专家将有权访问创建 Defender 专家团队中任何频道上发布的所有消息。 若要阻止 Defender 专家访问此团队中的消息,请转到 Teams 中的应用,然后导航到 管理应用>Defender Experts>Remove。 无法撤消此删除操作。

若要打开 Teams 通知和聊天,请执行以下操作:

  1. 在同一 Defender 专家设置设置中,在 Teams 下,选中“ 在 Teams 上通信 ”复选框。

  2. 选择“ 下一步 ”查看设置。

  3. 选择“提交”。 然后,分步指南将完成初始设置。

  4. 选择“ 查看就绪情况评估 ”以完成 优化安全态势所需的必要操作。

注意

若要设置 Defender Experts Teams 应用程序,必须分配有 全局管理员安全管理员 角色,并具有 Microsoft Teams 许可证。

若要在初始设置后打开 Teams 通知和聊天,请转到 “设置>Defender 专家>团队”。

用于激活 Teams 以接收托管响应的选项的屏幕截图。

  • 可以通过导航到 Defender 专家团队>“”更多选项“ (...) >”管理团队>“”添加成员“,将新成员添加到频道。
  • 可以通过导航到 Defender 专家团队>“”更多选项“ (...) >”设置“”编辑>管理团队专用“>来限制可以加入此团队>的人员。

为 Defender 专家服务准备环境

除了载入服务交付外,我们在 Microsoft Defender XDR 产品套件方面的专业知识使 Defender Experts for XDR 能够让你运行 就绪情况评估 ,并帮助你充分利用Microsoft安全产品。

就绪情况评估基于环境中受保护的设备和标识的数量以及 Defender 专家的策略建议。 若要查看评估,请在 Microsoft Defender 门户中,转到“设置Defender 专家”>,然后选择“服务状态”。

就绪情况评估环境的屏幕截图。

就绪情况评估包含两个部分:

  • 所需操作 – 此部分显示需要完成、正在进行或已完成的操作或安全设置的数量。 这些操作在页面底部的表中列出。

    该列表概述了在启动服务之前需要执行的步骤。 确定具有“ 立即完成” 状态的操作的优先级,以便更快地启动 Defender Experts for XDR 服务。

    注意

    最长可能需要 24 小时才能获取安全设置的最新状态。

  • 受保护的资产 – 本部分显示当前受保护的设备和标识数,以及启动 Defender Experts for XDR 服务时仍需要保护的设备和标识数。

    这些数字基于 Defender for Endpoint 和 Defender for Identity 许可证;若要实现这些目标数量的受保护资产, 请将更多设备加入 Defender for Endpoint 或 安装更多 Defender for Identity 传感器

重要

适用于 XDR 的 Defender 专家会定期评审就绪情况评估,尤其是在环境发生任何更改(例如添加新设备和标识)时。 请务必定期监视和运行初始载入之后的就绪情况评估,以确保环境具有强大的安全态势来降低风险。

完成所有必需的任务并满足就绪性评估中的载入目标后,服务交付经理 (SDM) 启动 Defender Experts for XDR 服务的监视阶段,几天后,我们的专家开始密切监视你的环境,以确定潜在威胁、风险来源和正常活动。 随着我们更好地了解你的关键资产,我们可以简化服务并微调我们的响应。

一旦我们的专家开始代表你执行全面的响应工作,你将开始收到有关需要修正步骤和针对关键事件的有针对性的建议的事件 的通知 。 还可以与我们的专家或 SDM 就重要查询以及定期的业务和安全状况评审 进行聊天 。 此外,你还可以查看我们代表你调查和解决的事件数量的 实时报告

后续步骤

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区