Principy a správa aktualizací incidentů Defender Experts for XDR

Článek
09/02/2023

Platí pro:

Microsoft 365 Defender

V následující části najdete otázky, které váš tým SOC může mít ohledně příjmu oznámení o incidentech.

Na portálu Microsoft 365 Defender a v Graphu API ασφάλειας

Otázky	Odpovědi
如何实现 vědět, jestli analytik Defender Experts začal pracovat na incidentu?	Když analytik defenderových expertů začne na incidentu pracovat, pole Přiřazeno k incidentu se aktualizuje na Defender Experts.
如何实现 vědět, jestli analytik Defender Experts vyřešil incident?	Když analytik expertů defenderu vyřeší incident, pole Stav incidentu se aktualizuje na Vyřešeno.
如何实现 vědět, jaký závěr vedl analytika Defender Experts k vyřešení incidentu?	Když analytici Experti programu Defender vyřeší incident, upraví pole Klasifikace a Určení incidentu a poskytnou stručný souhrn v části Komentáře . Pokud je incident klasifikovaný jako pravdivě pozitivní, zobrazí se na informačním panelu Spravované odpovědi na portálu Microsoft 365 Defender komplexní souhrn šetření.
如何实现 vědět, jaké akce provedl analytik Defender Experts v mém tenantovi při vyšetřování incidentu?	Pro každý incident, který vyšetří, shrne analytik expertů programu Defender všechny akce, které provedl v rámci vašeho tenanta, v souhrnu šetření incidentu umístěném na informačním panelu Spravované odpovědi na portálu Microsoft 365 Defender. Informace o těchto akcích a časech přihlášení k vašemu tenantovi můžete také načíst prohledáváním protokolů auditu na Portál dodržování předpisů Microsoft Purview nebo prostřednictvím rozhraní API pro aktivity Office 365 Management.
如何实现 vědět, jestli analytik Defender Experts odeslal nějaké akce pro reakce na můj tým SOC?	Analytik Defender Experts publikuje akce odpovědí, které doporučuje vašemu týmu SOC provést na incidentu, na informačním panelu Spravovaná odpověď na portálu Microsoft 365 Defender. V tuto chvíli se pole incidentu Přiřazeno aktualizuje na Customer (Zákazník ) a jeho Stav se aktualizuje na Čekání na akci zákazníka. Vaše kontakty incidentu, které jste určili včásti Kontakty oznámeníexpertů> programu Defender v Nastavení> na portálu Microsoft 365 Defender, obdrží také odpovídající e-mailové oznámení, pokud nějaké akce odpovědi vyžadují vaši pozornost.
如何实现 pokládat analytikovi Defender Experts otázky týkající se šetření nebo reakce?	Jakmile analytik experti programu Defender publikují souhrn šetření a doporučené akce odpovědi na informačním panelu Spravované odpovědi u pravdivě pozitivního incidentu, můžete pomocí karty Chat na stejném panelu pokládat týmu odborníků programu Defender otázky týkající se incidentu a jejich vyšetřování. Případně můžou vaše určené kontakty na incidenty přímo odpovědět na e-maily, které obdržely od expertů programu Defender, a pokládat případné otázky.
如何实现 vědět, které incidenty mají nevyřízené akce reakce?	Karta Defender Experts na domovské stránce portálu Microsoft 365 Defender obsahuje odkaz, který zobrazuje zprávu (například 3 incidenty čekající na vaši akci). Výběrem tohoto odkazu přejdete na filtrovaný seznam incidentů, které vyžadují vaši pozornost. Frontu incidentů na portálu Microsoft 365 Defender můžete filtrovat tak, že vyberete Přiřazeno jako Zákazník nebo Stav jako Čeká se na akci zákazníka.

Ve službě Microsoft Sentinel

Otázky	Odpovědi
如何实现 získat aktualizace pro odborníky na Defender ve službě Sentinel?	Pokud jste povolili datový konektor mezi Microsoft 365 Defender a službou Microsoft Sentinel, aktualizace incidentů provedené odborníky na defender v programu Defender se synchronizují se službou Microsoft Sentinel. Další informace Pole Přiřazeno,Stav a Klasifikace v incidentech Microsoft 365 Defender se mapují na odpovídající pole ve službě Sentinel, a to Vlastník, Stav a Důvod uzavření.
如何实现 získat aktualizace odborníků na Defender ve službě Sentinel, které automaticky aktivují playbook?	Pokud chcete získat aktualizace defenderových expertů, nejprve ve službě Sentinel nastavte pravidla automatizace, která se aktivují s následujícími aktualizacemi expertů programu Defender: Když se pole Vlastník ve službě Microsoft Sentinel aktualizuje na Odborníky na Defender nebo Zákazník. Když se pole Stav ve službě Microsoft Sentinel aktualizuje na Aktivní nebo Uzavřeno, což odpovídá Microsoft 365 Defender StavAktivní a Probíhá. Když se přidá značka Sentinel Čekající na akci zákazníka, což odpovídá Microsoft 365 Defender Stavčeká na akci zákazníka. Dále nastavte playbooky ve službě Microsoft Sentinel tak, aby automaticky synchronizovaly aktualizace incidentů nebo odesílaly oznámení o incidentech do jiných aplikací. Pokud je k incidentu přiřazen analytik Defender Experts, pošlete týmu SOC e-mail, zprávu teams nebo zprávu slacku. Když odborníci z Programu Defender publikují akci odpovědi pro váš tým, odešlete prostřednictvím konektoru Azure Communications Services nebo Konektoru Twilio potenciálnímu zákazníkovi SOC sms nebo telefonní hovor. Vytvořte úlohu nebo lístek v aplikacích, jako jsou Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty atd., pro váš it provozní tým.
Jak můžu získat přístup k akcím spravovaných odpovědí publikovaným odborníky na Defender ze služby Sentinel?	Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft 365 Defender, pole Vlastník se automaticky aktualizuje na Zákazník a značka Čekání na akci zákazníka bude k dispozici ve službě Sentinel. Tyto změny polí můžete použít jako trigger ke kontrole příslušného incidentu na panelu spravovaných odpovědí na portálu Microsoft 365 Defender.

Otázky

Odpovědi

如何实现 získat aktualizace pro odborníky na Defender ve službě Sentinel?

Pokud jste povolili datový konektor mezi Microsoft 365 Defender a službou Microsoft Sentinel, aktualizace incidentů provedené odborníky na defender v programu Defender se synchronizují se službou Microsoft Sentinel. Další informace

Pole Přiřazeno,Stav a Klasifikace v incidentech Microsoft 365 Defender se mapují na odpovídající pole ve službě Sentinel, a to Vlastník, Stav a Důvod uzavření.

如何实现 získat aktualizace odborníků na Defender ve službě Sentinel, které automaticky aktivují playbook?

Pokud chcete získat aktualizace defenderových expertů, nejprve ve službě Sentinel nastavte pravidla automatizace, která se aktivují s následujícími aktualizacemi expertů programu Defender:

Když se pole Vlastník ve službě Microsoft Sentinel aktualizuje na Odborníky na Defender nebo Zákazník.
Když se pole Stav ve službě Microsoft Sentinel aktualizuje na Aktivní nebo Uzavřeno, což odpovídá Microsoft 365 Defender StavAktivní a Probíhá.
Když se přidá značka Sentinel Čekající na akci zákazníka, což odpovídá Microsoft 365 Defender Stavčeká na akci zákazníka.

Dále nastavte playbooky ve službě Microsoft Sentinel tak, aby automaticky synchronizovaly aktualizace incidentů nebo odesílaly oznámení o incidentech do jiných aplikací.

Pokud je k incidentu přiřazen analytik Defender Experts, pošlete týmu SOC e-mail, zprávu teams nebo zprávu slacku.
Když odborníci z Programu Defender publikují akci odpovědi pro váš tým, odešlete prostřednictvím konektoru Azure Communications Services nebo Konektoru Twilio potenciálnímu zákazníkovi SOC sms nebo telefonní hovor.
Vytvořte úlohu nebo lístek v aplikacích, jako jsou Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty atd., pro váš it provozní tým.

Jak můžu získat přístup k akcím spravovaných odpovědí publikovaným odborníky na Defender ze služby Sentinel?

Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft 365 Defender, pole Vlastník se automaticky aktualizuje na Zákazník a značka Čekání na akci zákazníka bude k dispozici ve službě Sentinel. Tyto změny polí můžete použít jako trigger ke kontrole příslušného incidentu na panelu spravovaných odpovědí na portálu Microsoft 365 Defender.

V aplikacích SIEM, SOAR nebo ITSM třetích stran

Otázky	Odpovědi
如何实现 získat aktualizace odborníků na Defender z Microsoft 365 Defender, které se synchronizují s aplikacemi pro správu událostí a informací o zabezpečení třetích stran (SIEM), orchestraci zabezpečení, automatizaci a odezvu (SOAR) nebo s aplikacemi ITSM?	Aktualizace odborníků na Defender můžete získat z Microsoft 365 Defender prostřednictvím graphu API ασφάλειας (microsoft.graph.security.incident). Zahájení procesu synchronizace: Vytvořte mapování mezi poli v Microsoft 365 Defender a odpovídajícími poli v požadované aplikaci. Určete, jestli má být synchronizace jednosměrná nebo obousměrná, a ujistěte se, že to podporuje i druhá aplikace. Vývoj, testování a nasazení integrace synchronizace Ve většině případů se doporučuje pravidelně se dotazovat na API ασφάλειας Graphu každou minutu, aby bylo možné vyhledat aktualizace. Pravidelně ověřte, že je mapování polí aktuální.
Můžu synchronizovat akce spravovaných odpovědí publikované odborníky z programu Defender na portálu Microsoft 365 Defender s aplikacemi SIEM, SOAR nebo ITSM třetích stran?	Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft 365 Defender, pole Přiřazeno se změní na Zákazník a pole Stav se aktualizuje na Čeká na akci zákazníka. Tato pole můžete synchronizovat prostřednictvím API ασφάλειας Graphu a pak tyto změny použít jako trigger ke kontrole akcí spravovaných odpovědí na portálu Microsoft 365 Defender. Očekává se, že akce spravovaných odpovědí budou v API ασφάλειας Graphu k dispozici později v tomto roce, kdy je bude možné synchronizovat s aplikacemi třetích stran.

Otázky

Odpovědi

如何实现 získat aktualizace odborníků na Defender z Microsoft 365 Defender, které se synchronizují s aplikacemi pro správu událostí a informací o zabezpečení třetích stran (SIEM), orchestraci zabezpečení, automatizaci a odezvu (SOAR) nebo s aplikacemi ITSM?

Aktualizace odborníků na Defender můžete získat z Microsoft 365 Defender prostřednictvím graphu API ασφάλειας (microsoft.graph.security.incident).

Zahájení procesu synchronizace:

Vytvořte mapování mezi poli v Microsoft 365 Defender a odpovídajícími poli v požadované aplikaci. Určete, jestli má být synchronizace jednosměrná nebo obousměrná, a ujistěte se, že to podporuje i druhá aplikace.
Vývoj, testování a nasazení integrace synchronizace Ve většině případů se doporučuje pravidelně se dotazovat na API ασφάλειας Graphu každou minutu, aby bylo možné vyhledat aktualizace.
Pravidelně ověřte, že je mapování polí aktuální.

Můžu synchronizovat akce spravovaných odpovědí publikované odborníky z programu Defender na portálu Microsoft 365 Defender s aplikacemi SIEM, SOAR nebo ITSM třetích stran?

Jakmile odborníci na Defender publikují akce spravovaných odpovědí na incident na portálu Microsoft 365 Defender, pole Přiřazeno se změní na Zákazník a pole Stav se aktualizuje na Čeká na akci zákazníka. Tato pole můžete synchronizovat prostřednictvím API ασφάλειας Graphu a pak tyto změny použít jako trigger ke kontrole akcí spravovaných odpovědí na portálu Microsoft 365 Defender.

Očekává se, že akce spravovaných odpovědí budou v API ασφάλειας Graphu k dispozici později v tomto roce, kdy je bude možné synchronizovat s aplikacemi třetích stran.

V jiných komunikačních službách

Otázky	Odpovědi
Můžu dostávat e-mailem aktualizace odborníků na Defender od Microsoft 365 Defender?	Jakmile analytik odborníků ze služby Defender publikuje doporučené akce reakce na incident, vaše určené kontakty incidentu obdrží odpovídající e-mailové oznámení na e-mailové adresy zadané v části Nastavení>Kontakty oznámeníexpertů> defenderu na portálu Microsoft 365 Defender. Kromě toho můžete nakonfigurovat aplikaci logiky tak, aby automaticky odesílala všechny aktualizace incidentů na vámi určené e-mailové adresy.
Můžu získat aktualizace Pro odborníky na Defender z Microsoft 365 Defender v Microsoft Teams?	Funkce obousměrného chatu je přístupná prostřednictvím informačního panelu Spravovaná odpověď na incidentu na portálu Microsoft 365 Defender. Kromě toho můžete nakonfigurovat aplikaci logiky tak, aby automaticky odesílala všechny aktualizace incidentů na vámi určené e-mailové adresy.
Můžu získat aktualizace z programu Defender Experts z Microsoft 365 Defender jako aktualizace sms nebo telefonních hovorů nebo v komunikačních službách třetích stran, jako je Slack?	Aplikaci logiky můžete nakonfigurovat tak, aby odesílala oznámení z komunikačních služeb, jako je Slack, Twilio, Azure Communication Services atd.

Viz také

Jak fungují Microsoft Defender experti pro oprávnění XDR

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Microsoft 365 Defender Tech Community.