Microsoft Defender portalimplementeringsvejledning til MSP'er

Portalen Microsoft Defender er en samlet platform til sikkerhedshandlinger, der samler administration af hændelser, trusselsjagt og administration af arbejdsbelastninger på tværs af flere kundelejere. Du kan få en omfattende oversigt over disse funktioner og deres fordele under Microsoft Defender multitenant administration.

I denne vejledning fokuseres der på implementering af lejeradministration for udbydere af administrerede sikkerhedstjenester. Det dækker hele processen fra indledende konfiguration og kunde onboarding gennem avancerede driftsmæssige arbejdsprocesser til MSP'er.

Nøglefunktioner & forskellige indikatorer

Nøglefunktionerne i Microsoft Defender portalen for MSP'er omfatter:

  • Samlet administration af hændelser: En enkelt samlet hændelseskø indeholder data fra Microsoft Sentinel, Microsoft Defender og tredjepartskilder. Du kan få flere oplysninger under Administrer sikkerhedshandlinger på tværs af lejere

  • Jagt på trusler på tværs af platforme: Unified-jagtfunktioner på tværs af sikkerhedsdata fjerner behovet for at skifte mellem portaler og gør det nemt for analytikere at finde de data, de har brug for, på tværs af hele deres kundebase. Du kan finde flere oplysninger under Avanceret jagt.

  • Proaktiv afbrydelse af angreb: Afbrydelse af angreb leverer proaktiv beskyttelse ved at stoppe igangværende angreb. Det fungerer på oprindelige Microsoft Defender teknologier og på tværs af tredjepartsmiljøer, f.eks. SAP, AWS, Proofpoint og Okta. Microsoft Defender reducerer dvæletiden og forhindrer tværgående bevægelse ved automatisk at tilbagekalde kompromitterede legitimationsoplysninger, isolere ondsindede sessioner og neutralisere hackerfødder.

  • Analyse og eksponeringsvisualisering af angrebsstier: Analysér angrebsstier, og reducer eksponeringen ved at visualisere, hvordan cyberangribere kan udnytte sårbarheder til at flytte tværgående på tværs af blotlagte aktiver i kundemiljøer. Få guidede anbefalinger om reduktion af eksponering, og prioriter handlinger baseret på hver eksponerings potentielle virkning. Du kan få flere oplysninger under Microsoft Security Exposure Management.

  • Forbedret registreringsnøjagtighed: Registrer og undersøg hurtigt og nøjagtigt ved at kombinere signaldybden Microsoft Defender med fleksibiliteten i logkilder fra Microsoft Sentinel. Dette resulterer i et forbedret signal-til-støj-forhold og forbedret beskedkorrelation.

  • AI-drevne sikkerhedshandlinger: Udnyt Microsoft Security Copilot til hændelsesoversigter og -rapporter, vejledt undersøgelse, automatisk genererede Microsoft Teams-meddelelser, kodeanalyse m.m. Du kan få flere oplysninger under Kom i gang med agentisk AI.

  • Skalerbar administration af flere lejere: Hent samlede visninger af dine lejeres beskeder, hændelser og aktiver, gå på jagt efter alle dine lejeres data, og bevar en ensartet sikkerhedsbaselinje på tværs af dine lejere ved hjælp af indholdsstyrings- og distributionsfunktioner til brugerdefinerede registreringsregler, slutpunktssikkerhedspolitikker, analyseregler, automatiseringsregler og meget mere.

  • Løbende indsigt i forbedring: Modtag tilpassede anbefalinger efter hændelser om forebyggelse af lignende eller gentagne cyberangreb, der er direkte knyttet til Microsoft Security Exposure Management initiativer for automatisk at forbedre parathedsscores, efterhånden som handlingerne fuldføres.

Hvis du vil bygge sikkerhedshandlinger på Microsoft Defender-portalen, skal du læse forudsætningerne og derefter følge disse trin:

  1. Trin 1 – Forbered dit miljø: Forbered dit MSSP-miljø, og onboarder dine kunder til en multitenant-konfiguration

  2. Trin 2 – Indholdsstyring: Opret sikkerhedsindhold én gang, og udrul det effektivt på tværs af alle kundelejere.

  3. Trin 3 – Multitenant Security Operations: Kør dagligt svar på hændelser, trusselsjagt og undersøgelser på tværs af kundelejere.

Forudsætninger

Overgangen af kunder til Microsoft Defender-portalen omfatter migrering Microsoft Sentinel arbejdsområder og sikring af kontinuitet i sikkerhedshandlinger.

  • Se Opret forbindelse Microsoft Sentinel til Microsoft Defender XDR for at få oplysninger om den tekniske migreringsproces.
  • Fastlæg klare tidslinjer og forventninger med kunderne, før overgangen påbegyndes
  • Gennemse kravene til multitenantadgang, og sørg for, at der er konfigureret korrekt delegering for hver kundelejer
  • Fastlæg den optimale konfiguration af arbejdsområdet (primær vs. sekundær) baseret på hver kundes miljø og krav til overholdelse af angivne standarder

Trin 1 – Forbered dit miljø

Konfigurer adgang til flere kundelejere

MSSP'er kan delegere adgang til kundelejere via flere metoder. Få mere at vide om indstillinger for delegeret adgang , så du kan vælge den fremgangsmåde, der passer bedst til organisationens behov og kundekrav.

Bemærk!

Der er scenarier, hvor MSP'er ikke skal bruge regler på tværs af arbejdsområder. Når den samme regel f.eks. gælder for flere individuelle arbejdsområder, behøver data ikke at være indbyrdes forbundne. I dette scenarie skal MSP'er overføre den samme regel til de arbejdsområder, den gælder for.

Scenarie med avanceret automatiseringsregel/strategibog

Nogle avancerede scenarier, der bruger automatiseringsregler og playbooks, kan stadig kræve brug af Azure Lighthouse. For f.eks. at beskytte den intellektuelle ejendom for en playbook, der hostes i partnerlejer, når playbooken skal udføre handlinger i kundelejer. Et andet eksempel er beskrevet i Automate threat response i Microsoft Sentinel med automatiseringsregler

Unified RBAC

Når du ser på brugen af Unified RBAC til administration af dine Microsoft Defender for Office 365 kunder, skal du have Defender for Office 365 Plan 2-licens. Du kan finde flere oplysninger under:

Azure B2B

Azure B2B-inviterede gæster understøttes ikke af oplevelser, der tidligere var under Microsoft Exchange Online RBAC. Da Defender for Office 365 unified RBAC læner sig op ad Exchange Online Administration API'er, har handlinger, der udføres i Defender for Office 365 begrænsninger. B2B-gæsteadministratorer kan få fejl, når de forsøger at udføre visse handlinger, f.eks.:

  • Administration af spam- og phishingpolitikker
  • Administration af TABL
  • Mails kan ikke frigives fra karantæne
  • Missing Threat Explorer i navigationsruden

Administrer berettigelse

Rettighedsstyring er en funktion til identitetsstyring , der giver organisationer mulighed for at administrere identitets- og adgangslivscyklus i stor skala ved at automatisere arbejdsprocesser for anmodninger om adgang, adgangstildelinger, anmeldelser og udløb.

Nogle af de typiske konfigurationer for rettighedsstyring er:

  • B2B Collaboration

    • Inviter eksterne brugere som gæster til din lejer
    • Understøtter betinget adgang, MFA og livscyklusstyring
    • Ideel til partnere, leverandører og entreprenører, der har brug for app-/ressourceadgang, som kan styres

  • Adgangsindstillinger på tværs af lejere

    • Detaljeret kontrol over indgående/udgående samarbejde
    • Hav tillid til krav om MFA og enhedsoverholdelse på tværs af lejere
    • Konfigurer standard- eller organisationsspecifikke politikker

  • B2B Direct Connect

    • Muliggør gensidig tillid mellem to Microsoft Entra lejere
    • Problemfrit samarbejde via delte Teams-kanaler uden at tilføje gæster
    • Perfekt til løbende partnerskaber, hvor brugerne opbevarer legitimationsoplysninger til hjemmet

Ofte er en kombination af B2B Collaboration og adgangsindstillinger på tværs af lejere de mest relevante valg for en MSSP.

Dette billede viser repræsentationen af B2B-samarbejdsgæster i kundelejer.

Diagram, der illustrerer B2B-samarbejde.

Hvis du vil se eksempler på rolletildelinger for forskellige SOC-roller, skal du se Eksempler på tilladelsestilknytninger for Microsoft Sentinel indbyggede roller for at Microsoft Defender samlede RBAC-roller.

Trin 2 – Administrer indhold

Administrer og distribuer indhold

I Microsoft Sentinel henviser indhold til de byggesten, der aktiverer sikkerhedshandlinger. Det omfatter analyseregler, dataconnectors, jagtforespørgsler, fortolkere, playbooks, visningslister og projektmapper. Microsoft Sentinel leverer køreklart indhold, som du kan bruge, som det er, eller du kan tilpasse det. Du kan også oprette og distribuere brugerdefineret indhold for at opfylde specifikke krav. Effektiv indholdsstyring og -distribution sikrer ensartede sikkerhedsbaser, hurtig trusselssvar og skalerbare handlinger på tværs af kundelejere.

MSSP'er, der arbejder i Microsoft Defender portalen, har flere værktøjer til administration og distribution af sikkerhedsindhold i stor skala:

Mulighed Bedst til Tekniske detaljer Nøglefunktioner Få mere at vide
Distribution af oprindeligt multitenantindhold Hurtig installation af standardindhold på tværs af mange lejere Bruger Defender Portals indbyggede multitenant-administration. Ideel til OOB-indhold eller let tilpasset indhold.
  • Opret én gang, udrul overalt på tværs af flere lejere
  • Udfør indhold på målområder (enheder, arbejdsområder)
  • Centraliseret sporing for at reducere duplikering og fejl
 Indholdsdistribution i administration med flere brugere
Microsoft Sentinel lagre (indhold som kode) Strukturerede DevOps-processer og moderate tilpasningsbehov Muliggør avanceret styring og administration af livscyklus. Hurtig konfiguration og reduktion af menneskelige fejl.
  • Administrer SIEM-indhold ved hjælp af automatisering
  • Anvend CI/CD-fremgangsmåder for versionsstyring, -test og -udrulning
  • Understøtter hybride arbejdsprocesser, der kombinerer oprindelig distribution og DevOps
 Administrer indhold som kode med Microsoft Sentinel lagre (offentlig prøveversion)
Brugerdefinerede CI/CD-pipelines Maksimal tilpasning og automatisering på tværs af lejere Bygget ved hjælp af Azure DevOps- eller GitHub-handlinger. Kræver brugerdefinerede scripts og konfigurationsfiler. Aktuel metode til avancerede indholdstyper.
  • Fuld fleksibilitet til komplekse arbejdsprocesser
  • Brugerdefineret test og integration
 Tilpas lagerinstallationer (offentlig prøveversion)

Tip

Vi anbefaler en hybrid tilgang, der kombinerer oprindelige funktioner til distribution af indhold med flere brugere til øjeblikkelige udrulningsbehov med CI/CD-arbejdsprocesser til udvikling af brugerdefineret indhold, test og avancerede automatiseringsscenarier.

Almindelige lagerarkitekturmønstre for MSP'er

En vigtig overvejelse i forbindelse med CI/CD-pipelines med flere kunder er at vælge den bedste struktur til at betjene alle klienter. Der er ingen universel tilgang, men her er tre mønstre, som vi anbefaler at overveje:

Mønster 1: Centralt lager til generisk indhold, kundespecifikke lagre til tilpasset indhold

  • Ét centralt lager til almindeligt indhold, der udrulles til alle kunder

  • Individuelle lagre til kundespecifikke tilpasninger

  • Hvert kundearbejdsområde opretter forbindelse til begge lagre

  • Optimal til MSP'er med balancerede fælles og skræddersyede indholdsbehov

    Lagerarkitektur, der viser central og kundespecifik indholdsinstallation

Mønster 2: Enkelt lager med brugerdefinerede mapper

  • Alt indhold i ét lager

  • Mappestruktur baseret på delte datakilder – f.eks. Entra ID Analytics – eller kundenavne

  • Udrulningspipelines, der er tilpasset pr. kundeforbindelse

  • Kræver mere indledende konfiguration, men forenkler lagerstyringen

    Arkitektur for et enkelt lager med brugerdefinerede arbejdsprocesser til udrulning af mapper

Mønster 3: Ét lager pr. kunde

  • Fuldfør indholdsadskillelse på tværs af kunder

  • Fuld tilpasningsfleksibilitet for hver kunde

  • Bedst til kunder med unikke indholdskrav

  • Højere administrationsomkostninger, men maksimal isolation

    Arkitektur for individuelle lagre pr. kundelejer

Hvis du vil tilpasse dine CI/CD-pipelines, skal du bruge konfigurationsfiler i hver lagerforgrening til at prioritere udrulningen af indhold med høj prioritet, udelade indhold, du ikke vil installere, og knytte parameterfiler til deres tilsvarende indholdsfiler. Du kan få flere oplysninger under Tilpas forbindelseskonfigurationen.

Du kan få flere oplysninger om, hvordan du bruger Azure DevOps i scenarier med flere brugere, under Brug Azure DevOps til at administrere Microsoft Sentinel til MSP'er og multitenantmiljøer.

Overvejelser i forbindelse med administration af delt indhold

Når MSSP'er og kunder begge administrerer indhold, kan der opstå konflikter, især hvis du bruger både indhold som kode og portalen til indholdsstyring. Opdateringer i dine lagre med indhold som kode overskriver eventuelle ændringer af indholdet via portalen.

For at forhindre sådanne konflikter anbefaler vi:

  • Kun centraliseret administration – Begræns tilladelser, så det kun er MSSP-brugere, der kan oprette og opdatere indhold.
  • Delt administration med tydelige mærker – Præfiks mssp-administrerede elementer med en navngivningskonvention. Dette giver mulighed for lokale opdateringer, men reducerer fejl.

Trin 3 – Sikkerhedshandlinger med flere brugere

Administrer sikkerhedshandlinger på tværs af lejere

Portalen Microsoft Defender indeholder alle relevante oplysninger, så du ikke behøver at skifte til en anden portal eller side. Den samlede hændelseskø og muligheden for at korrelere hændelser og beskeder kan afsløre et større, potentielt mere omfattende angreb, hvilket giver en komplet angrebshistorie. Det giver dig også mulighed for at få vist registreringskilden og produktnavnene og anvende og dele filtre for disse, hvilket gør filtrering af hændelser og beskeder mere effektiv.

Administrer hændelser og underretninger

  • Hændelses triage: Triaging incidents er en kerneaktivitet i en SOC, der starter med afsnittet Undersøgelse og svar på Defender-portalen. Den Microsoft Sentinel hændelses- og beskedintegration med Defender konsoliderer alle relevante oplysninger på ét sted og fjerner behovet for at skifte mellem portaler eller sider. Denne strømlinede arbejdsproces kan kræve, at nogle analytikere genoplærer og opdaterer eksisterende SOC-processer.

    Du kan få flere oplysninger under Opdater behandlingsprocesser for hændelse for Defender-portalen.

  • Fletning af beskedkorrelation og hændelse: Defenders korrelationsprogram fletter hændelser, når det genkender almindelige elementer mellem beskeder i separate hændelser. Når en ny besked opfylder korrelationskriterierne , aggregerer og korrelerer Defender den med andre relaterede beskeder fra alle registreringskilder til en ny hændelse. Den samlede hændelseskø afslører et mere omfattende angreb, der gør analytikere mere effektive og giver en komplet angrebshistorie.

    I scenarier med flere arbejdsområder er det kun beskeder fra et primært arbejdsområde, der er korreleret med Microsoft Defender data. Der er også scenarier, hvor hændelser ikke kan flettes.

    Du kan få flere oplysninger under Forstå, hvordan beskeder er korreleret, og hændelser flettes i Defender-portalen.

  • Multitenant organisation: Du kan få vist og administrere hændelser, beskeder og sager på tværs af kundelejere i en samlet kø. Hver analytiker kan konfigurere sin flerkantsvisning med de lejere, de administrerer. Du kan få flere oplysninger under Microsoft Defender multitenant administration.

  • Integration med eksterne billetsystemer: Hvis et eksternt billetsystem henter og synkroniserer med de beskeder og hændelser, du administrerer, anbefaler vi, at du bruger Microsoft Graph REST API v1.0 til at sikre problemfri integration og effektiv administration af hændelser og beskeder på tværs af forskellige systemer.

    Hvis du bruger API'en Microsoft Sentinel SecurityInsights til at interagere med Microsoft Sentinel hændelser, skal du muligvis opdatere dine automatiseringsbetingelser og udløse kriterier på grund af ændringer i svarteksten.

    Du kan få flere oplysninger under Konfigurer API'er.

Avanceret jagt

Avanceret jagt giver dig mulighed for proaktivt at jage efter angrebsforsøg og brudaktivitet i mail, data, enheder og konti på tværs af flere lejere og arbejdsområder på samme tid på ét sted. Hvis du har flere lejere med Microsoft Sentinel arbejdsområder, der er onboardet på Microsoft Defender-portalen, kan du forespørge Microsoft Sentinel med data fra alle dine arbejdsområder og køre forespørgsler på tværs af flere arbejdsområder og lejere ved hjælp af arbejdsområdeoperatoren i din forespørgsel.

Du kan finde flere oplysninger under Avanceret jagt i Microsoft Defender multitenant management.

Administrer arbejdsbelastninger på tværs af lejere

I dette afsnit udforskes de forskellige handlinger, du kan foretage, og de metoder, du kan bruge til administration af bestemte arbejdsbelastninger, enten via MTO eller andre tilgængelige metoder.

Slutpunkter

Multitenantvisningen i Defender-portalen giver sikkerhedsadministratorer en samlet visning af alle sikkerhedspolitikker på tværs af hele organisationen, herunder alle lejernes politikker, uden at det er nødvendigt at skifte portaler. Hvis du vil have adgang til denne side, skal du gå til Endpoints>Configuration Management>Endpoint Security Policies.

Når lejerne er onboardet til multitenant administration i Defender (MTO), kan slutpunkter på tværs af alle onboardede lejere administreres via siden Enheder . Du kan få flere oplysninger under Enheder i multitenant-administration.

Vigtigt!

Hvis du vil administrere sikkerhedsindstillinger for flere lejere i multitenantvisningen på Defender-portalen, skal du følge alle forudsætningerne for at konfigurere sikkerhedsindstillinger for en enkelt lejer for hver lejer, herunder følgende krav til RBAC:

  • Til Microsoft Defender skal du bruge sikkerhedsadministratorrollen (eller brugerdefineret rolle med tilladelser til administration af sikkerhedskonfiguration, der er begrænset til alle enheder)
  • Til Microsoft Intune skal du bruge rollen Endpoint Security Manager
  • Enhederne i hver Defender-lejer skal være tilknyttet den tilsvarende Microsoft Entra lejer

Du kan få flere oplysninger under Brug Intune til at administrere Microsoft Defender indstillinger på enheder, der ikke er tilmeldt Intune.

Bemærk!

Multitenant-administration i Defender (MTO) understøtter ikke Microsoft Defender til virksomheder lejere.

Værktøjer til mail og samarbejde

Når du administrerer mail- og samarbejdsværktøjer i den samlede portal, er der nogle vigtige forskelle, du skal være opmærksom på, når de vedrører administration af kunder via B2B og GdAP (Granular Delegated Administration Privileges).

Identiteter

Multitenantvisningen i Defender-portalen giver komplekse organisationer mulighed for at opdele områder og forretningsenheder i individuelle lejere uden at miste adgang til disse lejerdata.

Når lejerne er onboardet til multitenant administration i Defender (MTO), kan identiteter på tværs af alle onboardede lejere administreres via siden Identiteter. Du kan få flere oplysninger under Multitenant-identiteter.

Cloudprogrammer

Microsoft Defender for Cloud Apps er en SaaS-sikkerhedsløsning (software-as-a-service), der følger med relevante licenser og en overholdelsesgrænse for lejeren, hvor licensen er klargjort. På grund af denne arkitektur er det kun Aktiviteter i Microsoft 365 og Azure connectors, der indtager aktiviteter og udløser beskeder for brugere i disse lejere. Du kan dog stadig oprette forbindelse til flere tredjepartsconnectors.

Defender for Cloud Apps er indbygget integreret med Microsoft Defender og følger de samme multitenancy-funktioner. Selvom forbindelser er begrænset til en bestemt lejer, er de data, der indtages fra hver lejer i CloudAppEvents tabellen, og hændelser eller beskeder tilgængelige via MTO. Du kan jage efter hændelser på tværs af lejere og triagehændelser, eller som stammer fra Defender for Cloud Apps signaler.

Du kan få flere oplysninger under Microsoft Defender for Cloud Apps oversigt.

Sky

Microsoft Defender til Cloud er integreret med Microsoft Defender. Denne integration giver dig adgang til Defender for Cloud-beskeder og -hændelser på Defender-portalen og giver dig bedre kontekst til undersøgelser, der strækker sig over cloudressourcer, enheder og identiteter. Det giver sikkerhedsteams mulighed for at få det fulde billede af et angreb, herunder mistænkelige og skadelige hændelser, der sker i deres cloudmiljø.

Du kan få flere oplysninger under Hvad er Microsoft Defender for Cloud?.

Eksponeringsstyring

Microsoft Security Exposure Management er en sikkerhedsløsning, der giver et samlet overblik over sikkerhedsholdning på tværs af virksomhedens aktiver og arbejdsbelastninger. Den beriger aktivoplysninger med sikkerhedskontekst, der hjælper dig med proaktivt at administrere angrebsoverflader, beskytte kritiske aktiver og udforske og reducere eksponeringsrisikoen.

Du kan få flere oplysninger under Hvad er Microsoft Security Exposure Management?.

Data

Microsoft Purview-datasikkerhedsløsninger giver samlet registrering, klassificering og beskyttelse af data på tværs af cloudmiljøer, SaaS og datalagre i det lokale miljø. De supplerer Defender og Microsoft Sentinel ved at omdanne datarisiko til handlingsrelaterede sikkerhedssignaler, hvilket hjælper dig med at forstå, hvilke følsomme data der findes, hvor de findes, og hvordan de tilgås eller deles. Du kan finde flere oplysninger under Microsoft Purview-løsninger til datasikkerhed.

Vigtige integrationer omfatter:

  • Beskeder og hændelser (Defender og Sentinel): Microsoft Purview Forebyggelse af datatab, Insider Risk Management og registreringer baseret på følsomhedsmærkater genererer beskeder, der flyder ind i den samlede hændelseskø. Dette muliggør korrelation med enheds-, identitets-, cloudprogram- og netværkssignaler, der viser angrebshistorier på tværs af domæner og reducerer kontekstskift for analytikere. Når Microsoft Purview-beskeder er en del af en hændelse, viser den samlede portal metadataene og kan bruges i automatiseringsregler og playbooks via Microsoft Graph-sikkerheds-API'er på samme måde som andre Defender- og Sentinel-beskeder.

  • Jagt og undersøgelser (avanceret jagt): Microsoft Purview-hændelser, f.eks. DLP-forekomster (forebyggelse af datatab), uregelmæssigheder i filadgang og mærkatændringer, er tilgængelige i Defender advanced hunting schema. Du kan køre forespørgsler på tværs af lejere på MTO-portalen for at søge efter mønstre, der spænder over data-, identitets- og slutpunktssignaler. Det kan f.eks. være en stigning i fildownloads med høj følsomhed fra en enkelt bruger efterfulgt af unormal logonfunktionalitet.

  • Kontekstberigelse: Purviews dataoversigt og klassificering forbedrer Security Exposure Management historie ved at knytte vigtige dataaktiver til eksponeringsindsigt og angrebsstier. Dette hjælper med at prioritere afhjælpninger baseret på den forretningsmæssige effekt af eksponerede data.

Administrer sager

Den samlede portal til sikkerhedshandlinger leverer administration af oprindelige sager for at fjerne afhængigheden af eksterne billetsystemer og bevare sikkerhedskonteksten i Defender-portalen. Du kan finde en komplet vejledning i sagsfunktioner, arbejdsprocesser, linkning af hændelser og IoCs, krav til RBAC og tilpasningsindstillinger under Oversigt over sager. Hvis du vil have mere at vide om administration af flere sager, skal du se Administrer sager i MTO.

Bemærk: Sagsstyring understøtter brugerdefinerede arbejdsprocesser, opgavetildelinger, omfattende samarbejde og sammenkædning af beviser.

Kom i gang med Microsoft Sentinel datasø

Microsoft Sentinel omfatter en samlet, sikkerhedsdatasø, der er designet til at hjælpe med at optimere omkostningerne, forenkle dataadministration og fremskynde indførelsen af kunstig intelligens i sikkerhedshandlinger. Denne datasø fungerer som fundamentet for Microsoft Sentinel platform. Den har en arkitektur, der er indbygget i cloudmiljøet, og samler alle sikkerhedsdata for at skabe større synlighed, dybere sikkerhedsanalyse og kontekstafhængig opmærksomhed. Det giver en overkommelig, langsigtet opbevaring, der giver organisationer mulighed for at opretholde robust sikkerhed uden at gå på kompromis med omkostningerne.

Med Microsoft Sentinel-platformen kan du udvide dine MSSP-tilbud via professionelle tjenester, administrerede tjenester og agentiske løsninger:

  • Tilbyd rådgivning, rådgivning og strategisk vejledning i søarkitekturer med muligheder for udrulning, konfiguration og omkostningsoptimering med høj værdi.

  • Giv løbende administration af Microsoft Sentinel datasøplatforme og SOC-handlinger, hvilket hjælper dine kunder med at reducere dataindtagelses- og opbevaringsomkostninger, samtidig med at du udvider tilbagevendende indtægtsstrømme gennem forbedrede muligheder for beskyttelse af sikkerheden.

  • Udvikl AI-agentiske løsninger til automatisk trusselsberigelse og -svar, bygning af analyser og udvikling af SOAR til agentbaserede arbejdsprocesser.

Kom i gang med agentisk AI

Du har flere muligheder for at interagere med dine kunder og udvide dine MSSP-tilbud, når det kommer til agentiske AI-scenarier i Microsoft Defender portalen. Vi opdeler disse fordele i Sælg, Byg og Brug buckets.

Sælge

Du kan kontakte dine kunder for at sælge konsulenttjenester, der uddanner, aktiverer, konfigurerer og implementerer agentiske løsninger, f.eks.:

  • Partnerudviklede konsulenttjenester – Traditionelle konsulenttjenester, der er tilgængelige via Microsoft Marketplace. Levér træningsworkshops, implementeringsengagementer og vurderinger, proof-of-concepts eller proof-of-value leverancer. Disse tjenester er fantastiske muligheder for at forbedre dit kundemiljøs sikkerhedsmodenhed, øge medarbejdernes færdigheder og parathed og fremvise produktafkast ved investering med brugsscenarier i den virkelige verden.

  • Partnerudviklede sikkerhedstjenester – Traditionelle tilbud om sikkerhedstjenester som partneradministrerede sikkerhedstjenester, partneradministrerede XDR-løsninger og andre partnerudviklede sikkerhedstjenester er tilgængelige i Microsoft Security Store.

  • Microsoft-udviklede Security Copilot agenter - Microsoft-udviklede Security Copilot agenter, der spænder over Microsoft Defender, Microsoft Sentinel og andre sikkerhedsløsninger, der er tilgængelige på Defender-portalen.

  • Partnerudviklede Security Copilot agenter – Disse agenter kan købes og udrulles via Microsoft Security Store. Du kan integrere dine egne publicerede Security Copilot agenter eller andre partneragenter i dine kunders Microsoft Defender miljø. Du kan få flere oplysninger under Partneragenter.

Bygge

Udvikl Security Copilot agenter, der kan tjene penge via Microsoft Security Store. Agenterne kan være et engangskøb, en abonnementsbaseret model til tilbagevendende agentopdateringer eller leveres uden omkostninger. Partnerudviklede agenttyper omfatter:

  • Rolle-/personbaserede agenter – Designet med færdigheder til at udføre en bestemt type person eller rolle, f.eks. en L1 SOC-analytiker
  • Scenariebaserede agenter – Udviklet med færdigheder til en bestemt type scenarie, f.eks. phishing, insidertrussel eller avancerede vedvarende trusler (APTs)
  • Produktbaserede agenter – Udviklet med færdigheder, der kan integreres med et bestemt produkt/en bestemt løsning, f.eks. Microsoft Defender eller en tredjepartssikkerhedsleverandører

Du kan få flere oplysninger i oversigt over Microsoft Security Copilot-agentudvikling.

Brug

Partnerudviklede agenter i din kundes Microsoft Defender miljø som en del af deres partneradministrerede SOC-tilbud. Dette omfatter at agere på vegne af din kunde i deres lejer som en udvidelse af deres interne team eller udføre SOC-aktiviteter fra deres lejer og anvende multitenancy-funktioner i Microsoft Defender via uddelegeret adgang.

Uddannelse og communityressourcer

  • Last updated on