開始使用 Microsoft Defender XDR 專家

適用於：

• Microsoft Defender XDR 專家
• Microsoft Defender 伺服器專家

關於入職指引，請參考這段短影片：

當 Defender Experts 團隊準備好為您的組織導入時，您將收到歡迎電子郵件，繼續設定並協助您開始。

請在歡迎電子郵件中選擇連結，直接啟動 Microsoft Defender 入口網站中的 Defender Experts 設定設定。 你也可以進入 設定>Defender Experts 並選擇 「開始使用」來開啟這個設定。

授權我們的專家

預設情況下，Defender XDR 專家需要服務提供者存取權，讓我們的專家登入您的租戶，並依據分配的安全角色提供服務。 了解更多關於跨租戶存取的資訊

您也需授權我們的專家以下一項或多項權限：

• 調查事件並指導我的回應 (預設) – 此選項讓我們的專家能主動監控與調查事件，並引導您採取必要的應變行動。 (存取層級：安全閱讀器)
• 直接回應 (建議的主動威脅) – 此選項讓我們的專家能在調查期間立即控制並修復活躍威脅，從而降低威脅影響，提升整體應變效率。 (存取層級：安全操作員)

授予我們專家權限：

1. 在同一 Defender Experts 設定中，在 權限設定中，選擇一個或多個你想授予專家的存取權限。

2. 如果您希望將組織中的裝置與使用者群組排除在修復行動之外，請選擇「管理排除」。

3. 選擇 「下一部 」以 新增聯絡人或群組。

在初始設定後，若要編輯或更新權限，請前往 設定>Defender Experts>權限。

排除裝置與使用者進行修復

Defender XDR 專家讓您排除裝置和使用者，避免由專家採取修復行動，改為取得針對這些實體的修復指引。 這些排除是基於 適用於端點的 Microsoft Defender 中識別的裝置群組，以及 Microsoft Entra ID 中已識別的使用者群組。

排除裝置組別：

1. 在同一個 Defender Experts 設定中，在 排除事項（Exclusions）中，前往 裝置群組 分頁。

2. 選擇 + 新增裝置群組，然後搜尋並選擇一個或多個你想排除的裝置群組。

   注意事項

   本頁面僅列出現有的裝置群組。 如果你想建立新的裝置群組，首先需要進入 Microsoft Defender 入口網站的 Defender for Endpoint 設定。 接著，重新整理此頁面搜尋並選擇新建立的群組。 了解更多關於建立裝置群組的方法

3. 選擇 新增裝置群組。

4. 回到 裝置群組 標籤，檢視已排除的裝置群組清單。 如果你想從排除清單中移除某個裝置群組，請先選擇它，然後選擇 「移除裝置群組」。

5. 選擇 「下一步 」以確認您的排除名單，並繼續 新增聯絡人或群組。 否則，選擇 跳過，所有新增的排除項目都會被刪除。

排除使用者群組：

1. 在相同的 Defender Experts 設定中，在 排除事項中，前往 使用者群組 標籤。

2. 選擇 + 新增使用者群組，然後搜尋並選擇一個或多個你想排除的使用者群組。

   注意事項

   本頁面僅列出現有的使用者群組。 如果您想建立新的使用者群組，首先需要以全域管理員身份登入 Microsoft Entra ID 管理中心。 接著，重新整理此頁面搜尋並選擇新建立的群組。 了解更多關於建立使用者群組的方法

3. 選擇 新增使用者群組。

4. 回到 使用者群組 標籤，檢視已排除的使用者群組清單。 如果您想從排除列表中移除某個使用者群組，請選擇該群組，然後選擇 移除使用者群組。

5. 選擇 「下一步 」以確認您的排除名單，並繼續 新增聯絡人或群組。 否則，選擇 跳過，所有新增的排除項目都會被刪除。

若要在初始設定後編輯或更新排除項目，請進入設定>中的Defender 專家>排除項目，然後進入裝置群組或使用者群組標籤。

告訴我們重要事項該聯絡誰

Defender XDR 專家讓您能判斷組織內哪些個人或團體需要在發生重大事件、服務更新、偶爾查詢及其他建議時被通知：

• 事件通知聯絡人 ——這些聯絡人是我們可以通知的個人或團隊，用於管理式應變行動或任何需要立即回應的溝通。 鑑於通訊的緊急性，我們建議這些聯絡人隨時可聯絡。
• 服務審查聯絡人 ——這些聯絡人或團隊將被接受服務更新，若服務包含服務交付經理，則會進行服務簡報。

一旦確認身份，個人或團體將收到電子郵件通知，告知他們曾作為事件通知或服務審查的聯絡人。

新增通知聯絡人：

1. 在同一個 Defender Experts 設定中 ，在聯絡人欄位中搜尋並新增你的 聯絡人或團隊 。

2. 新增 電話號碼 (可 選) ，Defender Experts 可撥打以處理需要立即處理的事務。

3. 在「 聯絡人」 下拉選單中，選擇 事故通知 或 服務審查。

4. 選取 新增。

5. 選擇 「下一 頁」以確認你的聯絡人名單，然後建立 一個 Teams 頻道 ，讓你也能接收事件通知。

在初始設定後，若要編輯或更新您的通知聯絡人，請前往設定>中的Defender 專家>通知聯絡人。

在 Microsoft Teams 中接收管理式回應通知與更新

除了電子郵件和 入口網站內聊天外，你還可以選擇使用 Microsoft Teams 來接收管理回應的更新，並與我們的專家即時溝通。 啟用此設定後，會成立一個名為 Defender Experts 團隊 的新團隊，將與正在進行的事件相關的管理回應通知作為新貼文發送到 受管回應 頻道。 了解更多關於使用 Teams 聊天的資訊

要開啟 Teams 通知和聊天：

1. 在同一 Defender Experts 設定中，在 Teams 下，選擇 「在 Teams 上溝通 」的勾選框。 這會建立一個私人團隊 Defender Experts 團隊 ，並擁有 一個管理響應 頻道。 接著頁面更新顯示 一個 Open Teams 頻道 連結。

2. 透過Microsoft Teams>Defender 專家團隊>，將您的 SOC 團隊成員加入已建立的頻道。更多選項 (......) >管理團隊>新增成員。

3. 選擇 「下一步 」以檢視你的設定。

4. 選取 [提交]。 接著，逐步指南會完成初步設定。

5. 選擇 檢視準備度評估 ，以完成 優化安全態勢所需的必要步驟。

在初始設定後要開啟 Teams 通知和聊天，請到設定>中的Defender Experts>Teams。

為您的環境準備 Defender Experts 的服務

除了服務交付外，我們在 Microsoft Defender 全面偵測回應產品套件的專業知識，使 Defender XDR 專家能讓您執行準備度評估，幫助您充分發揮 Microsoft 安全產品的效能。

準備度評估是根據你環境中受保護裝置和身份的數量，以及 Defender Experts 的政策建議來進行。 要查看評估，請在您的 Microsoft Defender 入口網站中，前往設定>Defender 專家，然後選擇服務狀態。

準備度評估分為兩部分：

• 所需行動 – 本區塊顯示您需要完成、正在進行或已完成的動作或安全設定數量。 這些行動列在頁面底部的表格中。

  清單列出了在啟動服務前你需要採取的步驟。 優先處理「立即完成」狀態的行動，以加速 Defender XDR 專家服務的啟動。

  注意事項

  取得最新安全設定狀態可能需要長達 24 小時。

• 受保護資產 – 本節顯示目前受保護裝置與身份的數量，與您仍需保護以啟動 Defender XDR 專家服務的資產相比。

  這些數字是基於你的 Defender for Endpoint 和 Defender for Identity 授權;為達成這些目標數量的受保護資產，應將 更多裝置導入 Defender for Endpoint，或 安裝更多 Defender for Identity 感測器。

當您完成所有必要任務並達成準備度評估中的入職目標後，Defender XDR 專家服務的監控階段將開始，在此期間，我們的專家會密切監控您的環境，找出潛在威脅、風險來源及正常活動。 隨著我們對您關鍵資產的了解加深，我們能優化服務流程並優化回應。

一旦我們的專家開始代表您執行全面應變工作，您將開始收到需要修復措施的 事件通知 ，並針對關鍵事件提供針對性的建議。 您也可以 與我們的專家 或您的SDM討論重要問題及定期的業務與安全狀況檢視。 此外，您也可以查看我們代表您調查並解決的事件數量的 即時報告 。

下一步

• 受管理的偵測和回應
• 透過 Defender XDR 專家，獲得即時可視性 XDR 報告
• 與 Microsoft Defender XDR 專家服務中的專家溝通

另請參閱

• 關於 Defender XDR 專家服務的一般資訊
• Microsoft Defender XDR 專家權限的運作方式