مشاركة عبر

فهم وإدارة Defender Experts لتحديثات حوادث XDR

  • مقالة

ينطبق على:

يسرد القسم التالي الأسئلة التي قد يكون لدى فريق SOC فيما يتعلق باستلام إعلامات الحوادث.

في مدخل Microsoft Defender وواجهة برمجة تطبيقات أمان Graph

الاسئله اجابات
كيف يمكنني معرفة ما إذا كان محلل Defender Experts قد بدأ العمل على حادث؟ عندما يبدأ محلل Defender Experts في العمل على حادث، يتم تحديث الحقل المعين للحادث إلى Defender Experts.
كيف يمكنني معرفة ما إذا كان محلل Defender Experts قد حل حادثا؟ عندما يقوم محلل Defender Experts بحل حادث، يتم تحديث حقل حالة الحدث إلى تم الحل.
كيف أعرف ما الاستنتاج الذي دفع محلل Defender Experts إلى حل حادث؟ عندما يحل محللو Defender Experts حادثا، فإنهم يعدلون حقلي التصنيفوتحديد الحدث ويقدمون ملخصا موجزا في قسم التعليقات الخاص به.

إذا تم تصنيف حادث على أنه إيجابي حقيقي، يظهر ملخص تحقيق شامل في لوحة القائمة المنبثقة للاستجابة المدارة في مدخل Microsoft Defender.
كيف يمكنني معرفة الإجراءات التي اتخذها محلل Defender Experts في المستأجر عند التحقيق في حادث؟ لكل حادث يحققون فيه، يلخص محلل Defender Experts أي إجراءات نفذوها داخل المستأجر الخاص بك في ملخص التحقيق الخاص بالحادث الموجود في لوحة القائمة المنبثقة للاستجابة المدارة في مدخل Microsoft Defender الخاص بك.

يمكنك أيضا استرداد معلومات حول هذه الإجراءات، وأوقات تسجيل الدخول إلى المستأجر الخاص بك، عن طريق البحث في سجلات التدقيق الخاصة بك إما على مدخل توافق Microsoft Purview أو من خلال واجهة برمجة تطبيقات نشاط إدارة Office 365.
كيف يمكنني معرفة ما إذا كان محلل Defender Experts قد أرسل أي إجراءات استجابة لفريق SOC الخاص بي؟ ينشر محلل Defender Experts إجراءات الاستجابة التي يوصي فريق SOC بتنفيذها على حادث في لوحة القائمة المنبثقة للاستجابة المدارة للحدث في مدخل Microsoft Defender.

في الوقت الحالي، يتم تحديث الحقل المعين للحادث إلىالعميل ويتم تحديث حالته إلى "قيد انتظار إجراء العميل".

تتلقى جهات اتصال الحدث، التي قمت بتعيينها في إعدادات>جهات اتصال إعلامخبراء> Defender في مدخل Microsoft Defender، إعلاما عبر البريد الإلكتروني المقابل إذا كانت هناك إجراءات استجابة تتطلب انتباهك. ستتلقى أيضا إعلامات Teams إذا قمت بإعدادها في Settings>Defender Experts>Teams في مدخل Microsoft Defender.
كيف يمكنني طرح أسئلة محلل Defender Experts حول إجراء تحقيق أو استجابة؟ بعد أن ينشر محلل Defender Experts ملخص التحقيق وإجراءات الاستجابة الموصى بها في لوحة القائمة المنبثقة للاستجابة المدارة لحادث إيجابي حقيقي، يمكنك استخدام علامة التبويب Chat في نفس اللوحة لطرح أسئلة فريق Defender Experts حول الحادث والتحقيق الخاص بهم.

بدلا من ذلك، يمكن لجهات اتصال الأحداث المعينة الرد مباشرة على Teams أو إعلام البريد الإلكتروني الذي تلقوه من Defender Experts لطرح أي أسئلة قد تكون لديك.
كيف يمكنني معرفة الحوادث التي تحتوي على إجراءات استجابة معلقة؟ تتضمن بطاقة Defender Experts في الصفحة الرئيسية لمدخل Microsoft Defender ارتباطا يعرض رسالة (على سبيل المثال، 3 حوادث تنتظر الإجراء الخاص بك). يؤدي تحديد هذا الارتباط إلى توجيهك إلى قائمة تمت تصفيتها من الحوادث التي تتطلب انتباهك على وجه التحديد.

يمكنك تصفية قائمة انتظار الحوادث في مدخل Microsoft Defender عن طريق تحديد Assigned to as Customer أو Status as Awaiting Customer Action.

في Microsoft Sentinel

الاسئله اجابات
كيف يمكنني الحصول على تحديثات Defender Experts في Sentinel؟ إذا قمت بتمكين موصل البيانات بين Microsoft Defender XDR وMicrosoft Sentinel، فستتم مزامنة التحديثات التي أجراها Defender Experts في Defender للحوادث مع Microsoft Sentinel. تعرّف على المزيد.

يتم تعيين الحقول المعينة إلى والحالة والتصنيف في حوادث Microsoft Defender XDR إلى الحقول المقابلة في Sentinel، وهي المالكوالحالةوسبب الإغلاق.
كيف يمكنني الحصول على تحديثات Defender Experts في Sentinel لتشغيل دليل المبادئ تلقائيا؟ للحصول على تحديثات Defender Experts، أولا، قم بإعداد قواعد الأتمتة في Sentinel التي يتم تشغيلها باستخدام تحديثات Defender Experts التالية:
  • عند تحديث حقل المالك في Microsoft Sentinel إلى Defender Experts أو Customer.
  • عند تحديث حقل الحالة في Microsoft Sentinel إلى نشط أو مغلق، والذي يتوافق مع حالة Microsoft Defender XDR نشطةوقيد التقدم على التوالي.
  • عند إضافة Azure Sentinel Tag في انتظار إجراء العميل، والذي يتوافق مع حالة Microsoft Defender XDR في انتظار إجراء العميل.
بعد ذلك، قم بإعداد أدلة المبادئ في Microsoft Sentinel لمزامنة تحديثات الحوادث تلقائيا أو إرسال إعلامات الحوادث إلى تطبيقات أخرى.
  • أرسل بريدا إلكترونيا أو رسالة Teams أو رسالة Slack إلى فريق SOC عند تعيين محلل Defender Experts لحادث.
  • أرسل رسالة نصية قصيرة أو مكالمة هاتفية عبر Azure Communications Services أو موصل Twilio إلى قائد SOC عندما ينشر Defender Experts إجراء الاستجابة لفريقك.
  • أنشئ مهمة أو تذكرة في تطبيقات مثل Azure DevOps وServiceNow وJira و ZenDesk و FreshService و PagerDuty وما إلى ذلك لفريق عمليات تكنولوجيا المعلومات.
كيف يمكنني الوصول إلى إجراءات الاستجابة المدارة التي نشرها Defender Experts من Sentinel؟ بمجرد أن ينشر خبراء Defender إجراءات الاستجابة المدارة لحادث في مدخل Microsoft Defender، يتم تحديث حقل المالك إلى العميل تلقائيا، وتتوفر العلامة في انتظار إجراء العميل في Sentinel. يمكنك استخدام تغييرات الحقل هذه كمشغل لمراجعة لوحة الاستجابة المدارة للحادث المقابل في مدخل Microsoft Defender.

في تطبيقات SIEM أو SOAR أو ITSM التابعة لجهة خارجية

الاسئله اجابات
كيف يمكنني الحصول على تحديثات Defender Experts من Microsoft Defender XDR للمزامنة مع معلومات الأمان وإدارة الأحداث (SIEM) التابعة لجهة خارجية أو تنسيق الأمان والأتمتة والاستجابة (SOAR) أو تطبيقات إدارة خدمة تكنولوجيا المعلومات (ITSM)؟ يمكنك الحصول على تحديثات Defender Experts من Microsoft Defender XDR من خلال واجهة برمجة تطبيقات أمان Graph (microsoft.graph.security.incident).

لبدء عملية المزامنة:
  1. قم بإنشاء التعيين بين الحقول في Microsoft Defender XDR والحقول المقابلة في التطبيق المطلوب. حدد ما إذا كان يجب أن تكون المزامنة أحادية أو ثنائية الاتجاه وتأكد من أن التطبيق الآخر يدعم ذلك.
  2. تطوير تكامل المزامنة واختباره وتوزيعه. في معظم الحالات، يوصى باستقصاء واجهة برمجة تطبيقات أمان Graph بشكل دوري كل دقيقة أو نحو ذلك للتحقق من وجود تحديثات.
  3. تحقق بشكل دوري من أن تعيين الحقل محدث.
هل يمكنني مزامنة إجراءات الاستجابة المدارة التي نشرها Defender Experts في مدخل Microsoft Defender مع تطبيقات SIEM أو SOAR أو ITSM التابعة لجهة خارجية؟ بمجرد أن ينشر خبراء Defender إجراءات الاستجابة المدارة لحادث في مدخل Microsoft Defender، يتم تغيير الحقل Assigned to إلى Customer ويتم تحديث حقل Status إلى Awaiting Customer Action. يمكنك مزامنة هذه الحقول عبر واجهة برمجة تطبيقات أمان Graph ثم استخدام هذه التغييرات كمشغل لمراجعة إجراءات الاستجابة المدارة في مدخل Microsoft Defender.

من المتوقع أن تتوفر إجراءات الاستجابة المدارة في واجهة برمجة تطبيقات أمان Graph في وقت لاحق من هذا العام، وفي هذا الوقت سيكون من الممكن مزامنتها مع تطبيقات الجهات الخارجية.

في خدمات الاتصالات الأخرى

الاسئله اجابات
هل يمكنني الحصول على تحديثات Defender Experts من Microsoft Defender XDR في البريد الإلكتروني؟ بمجرد أن ينشر محلل Defender Experts إجراءات الاستجابة الموصى بها لحادث ما، ستتلقى جهات اتصال الحدث المعينة إعلاما عبر البريد الإلكتروني المقابل لعناوين البريد الإلكتروني المحددة في إعدادات>جهات اتصال إعلامخبراء> Defender في مدخل Microsoft Defender.

بالإضافة إلى ذلك، يمكنك تكوين Logic App لإرسال جميع تحديثات الحوادث إلى عنوان (عناوين) البريد الإلكتروني المعين تلقائيا.
هل يمكنني الحصول على تحديثات خبراء Defender من Microsoft Defender XDR في Microsoft Teams؟ يمكن الوصول إلى وظيفة الدردشة ثنائية الاتجاه من خلال لوحة القائمة المنبثقة للاستجابة المدارة للحادث في مدخل Microsoft Defender.

بالإضافة إلى ذلك، تتلقى إعلامات عند نشر استجابة مدارة ويمكنها المشاركة في محادثات الدردشة في الوقت الحقيقي مع Defender Experts مباشرة داخل Microsoft Teams. تعرف على المزيد حول إعداد Teams
هل يمكنني الحصول على تحديثات Defender Experts من Microsoft Defender XDR كرسائل نصية قصيرة أو تحديثات مكالمة هاتفية، أو في خدمات اتصالات الجهات الخارجية مثل Slack؟ يمكنك تكوين Logic App للقيام بذلك لإرسال إعلامات من خدمات الاتصال مثل Slack وTwilio وAzure Communication Services وما إلى ذلك.

راجع أيضًا

الكشف والاستجابة المداران

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.