Principy a správa aktualizací incidentů Defender Experts for XDR

Článek
07/04/2024

Platí pro:

Microsoft Defender XDR

V následující části najdete otázky, které váš tým SOC může mít ohledně příjmu oznámení o incidentech.

Na portálu Microsoft Defender a v rozhraní Graph Security API

Otázky	Odpovědi
Jak zjistím, jestli analytik Defender Experts začal pracovat na incidentu?	Když analytik defenderových expertů začne na incidentu pracovat, pole Přiřazeno k incidentu se aktualizuje na Defender Experts.
Jak zjistím, jestli analytik Defender Experts vyřešil incident?	Když analytik expertů defenderu vyřeší incident, pole Stav incidentu se aktualizuje na Vyřešeno.
Jak zjistím, jaký závěr vedl analytika Defender Experts k vyřešení incidentu?	Když analytici Experti programu Defender vyřeší incident, upraví pole Klasifikace a Určení incidentu a poskytnou stručný souhrn v části Komentáře . Pokud je incident klasifikován jako pravdivě pozitivní, zobrazí se na informačním panelu Spravované odpovědi na portálu Microsoft Defender komplexní souhrn šetření.
Jak zjistím, jaké akce provedl analytik Defender Experts v mém tenantovi při vyšetřování incidentu?	Pro každý incident, který vyšetří, shrne analytik expertů z programu Defender všechny akce, které provedl v rámci vašeho tenanta, v souhrnu šetření incidentu umístěném na informačním panelu Spravovaná odpověď na portálu Microsoft Defender. Informace o těchto akcích a časech přihlášení k vašemu tenantovi můžete také načíst prohledáváním protokolů auditu na portálu dodržování předpisů Microsoft Purview nebo prostřednictvím rozhraní API pro aktivity správy Office 365.
Jak zjistím, jestli analytik Defender Experts odeslal nějaké akce pro odpověď mému týmu SOC?	Analytik Experti programu Defender publikuje akce odpovědí, které doporučuje vašemu týmu SOC provést na incidentu, na informačním panelu Spravovaná odpověď na portálu Microsoft Defender. V tuto chvíli se pole incidentu Přiřazeno aktualizuje na Customer (Zákazník ) a jeho Stav se aktualizuje na Čekání na akci zákazníka. Vaše kontakty incidentu, které jste určili na portálu Microsoft Defender včásti Kontakty pro oznámeníexpertů> programu Defender v Nastavení>, obdrží také odpovídající e-mailové oznámení, pokud nějaké akce odpovědi vyžadují vaši pozornost. Pokud jste ho nastavili v Nastavení>Týmy expertů> Defenderu na portálu Microsoft Defender, obdržíte také oznámení Teams.
Jak můžu položit analytikovi Defender Experts otázky týkající se šetření nebo reakce?	Jakmile analytik experti programu Defender publikují souhrn šetření a doporučené akce odpovědi na informačním panelu Spravované odpovědi u pravdivě pozitivního incidentu, můžete pomocí karty Chat na stejném panelu pokládat týmu odborníků programu Defender otázky týkající se incidentu a jejich vyšetřování. Případně můžou vámi určené kontakty na incidenty přímo odpovědět na týmy nebo e-mailové oznámení, které obdržely od expertů programu Defender, a pokládat případné otázky.
Jak zjistím, které incidenty mají nevyřízené akce reakce?	Karta Defender Experts na domovské stránce portálu Microsoft Defender obsahuje odkaz, který zobrazuje zprávu (například 3 incidenty čekající na vaši akci). Výběrem tohoto odkazu přejdete na filtrovaný seznam incidentů, které vyžadují vaši pozornost. Frontu incidentů na portálu Microsoft Defender můžete filtrovat tak, že vyberete Přiřazeno jako zákazník nebo Stav jako Čeká se na akci zákazníka.

Ve službě Microsoft Sentinel

Otázky	Odpovědi
Jak získám aktualizace odborníků na Defender ve službě Sentinel?	Pokud jste povolili datový konektor mezi Microsoft Defenderem XDR a službou Microsoft Sentinel, aktualizace incidentů provedené odborníky na defender v programu Defender se synchronizují se službou Microsoft Sentinel. Další informace Pole Přiřazeno,Stav a Klasifikace v incidentech XDR v programu Microsoft Defender se mapují na odpovídající pole ve službě Sentinel, konkrétně Na vlastníka, stavu a důvodu uzavření.
Jak získám aktualizace odborníků na Defender ve službě Sentinel, aby se automaticky aktivovalo playbook?	Pokud chcete získat aktualizace defenderových expertů, nejprve ve službě Sentinel nastavte pravidla automatizace, která se aktivují s následujícími aktualizacemi expertů programu Defender: Když se pole Vlastník ve službě Microsoft Sentinel aktualizuje na Odborníky na Defender nebo Zákazník. Když se pole Stav ve službě Microsoft Sentinel aktualizuje na Aktivní nebo Uzavřeno, což odpovídá stavu Microsoft DefenderU XDR Aktivní a Probíhá. Když se přidá značka Sentinel Čeká na akci zákazníka, což odpovídá stavu XDR v programu Microsoft Defender Čekající na akci zákazníka. Dále nastavte playbooky ve službě Microsoft Sentinel tak, aby automaticky synchronizovaly aktualizace incidentů nebo odesílaly oznámení o incidentech do jiných aplikací. Pokud je k incidentu přiřazen analytik Defender Experts, pošlete týmu SOC e-mail, zprávu teams nebo zprávu slacku. Když odborníci z Programu Defender publikují akci odpovědi pro váš tým, odešlete prostřednictvím konektoru Azure Communications Services nebo Konektoru Twilio potenciálnímu zákazníkovi SOC sms nebo telefonní hovor. Vytvořte úlohu nebo lístek v aplikacích, jako jsou Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty atd., pro váš it provozní tým.
Jak můžu získat přístup k akcím spravovaných odpovědí publikovaným odborníky na Defender ze služby Sentinel?	Jakmile odborníci na Defender publikují akce spravované odpovědi na incident na portálu Microsoft Defender, pole Vlastník se automaticky aktualizuje na Zákazník a značka Čeká na akci zákazníka je dostupná ve službě Sentinel. Tyto změny polí můžete použít jako trigger ke kontrole odpovídajícího incidentu na panelu spravovaných odpovědí na portálu Microsoft Defender.

Otázky

Odpovědi

Jak získám aktualizace odborníků na Defender ve službě Sentinel?

Pokud jste povolili datový konektor mezi Microsoft Defenderem XDR a službou Microsoft Sentinel, aktualizace incidentů provedené odborníky na defender v programu Defender se synchronizují se službou Microsoft Sentinel. Další informace

Pole Přiřazeno,Stav a Klasifikace v incidentech XDR v programu Microsoft Defender se mapují na odpovídající pole ve službě Sentinel, konkrétně Na vlastníka, stavu a důvodu uzavření.

Jak získám aktualizace odborníků na Defender ve službě Sentinel, aby se automaticky aktivovalo playbook?

Pokud chcete získat aktualizace defenderových expertů, nejprve ve službě Sentinel nastavte pravidla automatizace, která se aktivují s následujícími aktualizacemi expertů programu Defender:

Když se pole Vlastník ve službě Microsoft Sentinel aktualizuje na Odborníky na Defender nebo Zákazník.
Když se pole Stav ve službě Microsoft Sentinel aktualizuje na Aktivní nebo Uzavřeno, což odpovídá stavu Microsoft DefenderU XDR Aktivní a Probíhá.
Když se přidá značka Sentinel Čeká na akci zákazníka, což odpovídá stavu XDR v programu Microsoft Defender Čekající na akci zákazníka.

Dále nastavte playbooky ve službě Microsoft Sentinel tak, aby automaticky synchronizovaly aktualizace incidentů nebo odesílaly oznámení o incidentech do jiných aplikací.

Pokud je k incidentu přiřazen analytik Defender Experts, pošlete týmu SOC e-mail, zprávu teams nebo zprávu slacku.
Když odborníci z Programu Defender publikují akci odpovědi pro váš tým, odešlete prostřednictvím konektoru Azure Communications Services nebo Konektoru Twilio potenciálnímu zákazníkovi SOC sms nebo telefonní hovor.
Vytvořte úlohu nebo lístek v aplikacích, jako jsou Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty atd., pro váš it provozní tým.

Jak můžu získat přístup k akcím spravovaných odpovědí publikovaným odborníky na Defender ze služby Sentinel?

Jakmile odborníci na Defender publikují akce spravované odpovědi na incident na portálu Microsoft Defender, pole Vlastník se automaticky aktualizuje na Zákazník a značka Čeká na akci zákazníka je dostupná ve službě Sentinel. Tyto změny polí můžete použít jako trigger ke kontrole odpovídajícího incidentu na panelu spravovaných odpovědí na portálu Microsoft Defender.

V aplikacích SIEM, SOAR nebo ITSM třetích stran

Otázky	Odpovědi
Jak získám aktualizace odborníků na Defender z Microsoft DefenderU XDR pro synchronizaci s aplikacemi pro správu bezpečnostních informací a událostí (SIEM) třetích stran, orchestraci zabezpečení, automatizaci a odezvu (SOAR) nebo správu it služeb (ITSM)?	Aktualizace odborníků na Defender z Microsoft Defenderu XDR můžete získat prostřednictvím rozhraní Graph Security API (microsoft.graph.security.incident). Zahájení procesu synchronizace: Vytvořte mapování mezi poli v programu Microsoft Defender XDR a odpovídajícími poli v požadované aplikaci. Určete, jestli má být synchronizace jednosměrná nebo obousměrná, a ujistěte se, že to podporuje i druhá aplikace. Vývoj, testování a nasazení integrace synchronizace Ve většině případů se doporučuje pravidelně se dotazovat rozhraní Graph Security API každou minutu, aby bylo možné vyhledat aktualizace. Pravidelně ověřte, že je mapování polí aktuální.
Můžu synchronizovat akce spravovaných odpovědí publikované odborníky z programu Defender na portálu Microsoft Defender s aplikacemi SIEM, SOAR nebo ITSM třetích stran?	Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft Defenderu, změní se pole Přiřazeno naZákazník a pole Stav se aktualizuje na Čekání na akci zákazníka. Tato pole můžete synchronizovat prostřednictvím rozhraní Graph Security API a pak tyto změny použít jako trigger ke kontrole spravovaných akcí odpovědí na portálu Microsoft Defender. Očekává se, že akce spravovaných odpovědí budou v rozhraní Graph Security API k dispozici později v tomto roce, kdy je bude možné synchronizovat s aplikacemi třetích stran.

Otázky

Odpovědi

Jak získám aktualizace odborníků na Defender z Microsoft DefenderU XDR pro synchronizaci s aplikacemi pro správu bezpečnostních informací a událostí (SIEM) třetích stran, orchestraci zabezpečení, automatizaci a odezvu (SOAR) nebo správu it služeb (ITSM)?

Aktualizace odborníků na Defender z Microsoft Defenderu XDR můžete získat prostřednictvím rozhraní Graph Security API (microsoft.graph.security.incident).

Zahájení procesu synchronizace:

Vytvořte mapování mezi poli v programu Microsoft Defender XDR a odpovídajícími poli v požadované aplikaci. Určete, jestli má být synchronizace jednosměrná nebo obousměrná, a ujistěte se, že to podporuje i druhá aplikace.
Vývoj, testování a nasazení integrace synchronizace Ve většině případů se doporučuje pravidelně se dotazovat rozhraní Graph Security API každou minutu, aby bylo možné vyhledat aktualizace.
Pravidelně ověřte, že je mapování polí aktuální.

Můžu synchronizovat akce spravovaných odpovědí publikované odborníky z programu Defender na portálu Microsoft Defender s aplikacemi SIEM, SOAR nebo ITSM třetích stran?

Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft Defenderu, změní se pole Přiřazeno naZákazník a pole Stav se aktualizuje na Čekání na akci zákazníka. Tato pole můžete synchronizovat prostřednictvím rozhraní Graph Security API a pak tyto změny použít jako trigger ke kontrole spravovaných akcí odpovědí na portálu Microsoft Defender.

Očekává se, že akce spravovaných odpovědí budou v rozhraní Graph Security API k dispozici později v tomto roce, kdy je bude možné synchronizovat s aplikacemi třetích stran.

V jiných komunikačních službách

Otázky	Odpovědi
Můžu dostávat aktualizace z Programu Microsoft Defender XDR e-mailem?	Jakmile analytik expertů v programu Defender publikuje doporučené akce reakce na incident, vaše určené kontakty incidentu obdrží odpovídající e-mailové oznámení na e-mailové adresy zadané v částiKontakty oznámeníexpertů> programu Defender v nastavení> na portálu Microsoft Defender. Kromě toho můžete nakonfigurovat aplikaci logiky tak, aby automaticky odesílala všechny aktualizace incidentů na vámi určené e-mailové adresy.
Můžu v Microsoft Teams získat aktualizace pro odborníky na Defender z Microsoft Defenderu XDR?	Funkce obousměrného chatu je přístupná prostřednictvím informačního panelu Spravovaná odpověď na incidentu na portálu Microsoft Defender. Navíc dostanete oznámení, když se publikuje spravovaná odpověď, a můžete se přímo v Microsoft Teams zapojit do chatových konverzací s odborníky na Defender v reálném čase. Další informace o nastavení Teams
Můžu získávat aktualizace z programu Microsoft Defender XDR jako aktualizace sms nebo telefonních hovorů nebo v komunikačních službách třetích stran, jako je Slack?	Aplikaci logiky můžete nakonfigurovat tak, aby odesílala oznámení z komunikačních služeb, jako jsou Slack, Twilio, Azure Communication Services atd.

Viz také

Spravovaná detekce a odpověď

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Sdílet prostřednictvím