Om og administration af Defender Experts for XDR-hændelsesopdateringer
Gælder for:
I følgende afsnit vises de spørgsmål, som SOC-teamet kan have vedrørende modtagelse af hændelsesmeddelelser.
I Microsoft Defender-portalen og Graph Security API
| Spørgsmål | Svar |
|---|---|
| Hvordan ved jeg, om en Defender Experts-analytiker er begyndt at arbejde på en hændelse? | Når en Defender Experts-analytiker begynder at arbejde på en hændelse, opdateres feltet Tildelt til til til Defender Experts. |
| Hvordan ved jeg, om en Defender Experts-analytiker har løst en hændelse? | Når en Defender Experts-analytiker har løst en hændelse, opdateres feltet Status for hændelsen til Løst. |
| Hvordan ved jeg, hvilken konklusion der fik en Defender Experts-analytiker til at løse en hændelse? | Når Defender Experts-analytikere løser en hændelse, ændrer de felterne Klassificering og Bestemmelse af hændelsen og giver en kortfattet oversigt i afsnittet Kommentarer . Hvis en hændelse er klassificeret som en sand positiv, vises der en omfattende undersøgelsesoversigt i pop op-vinduet Administreret svar på Microsoft Defender-portalen. |
| Hvordan ved jeg, hvilke handlinger en Defender Experts-analytiker tog i min lejer, da jeg undersøgte en hændelse? | For hver hændelse, de undersøger, opsummerer Defender Experts-analytikeren de handlinger, de har udført i din lejer, i oversigten undersøgelse af hændelsen, der er placeret i pop op-panelet Administreret svar på Microsoft Defender-portalen. Du kan også hente oplysninger om disse handlinger og de tidspunkter, de loggede på din lejer, ved at søge i dine overvågningslogge enten på Microsoft Purview-overholdelsesportalen eller via API'en til office 365-administrationsaktivitet. |
| Hvordan ved jeg, om en Defender Experts-analytiker har sendt svarhandlinger til mit SOC-team? | Analytikeren af Defender Experts publicerer de svarhandlinger, de anbefaler, at dit SOC-team udfører på en hændelse i pop op-vinduet Administreret svar på Microsoft Defender-portalen. På nuværende tidspunkt opdateres feltet Tildelt til for hændelsen til Kunde , og dens Status opdateres til Afventer kundehandling. Dine hændelseskontakter, som du har angivet i Indstillinger Defender>Experts>Notification-kontakter på Microsoft Defender-portalen, modtager også en tilsvarende mailmeddelelse, hvis der er svarhandlinger, der kræver din opmærksomhed. Du modtager også en Teams-meddelelse, hvis du har konfigureret den i Indstillinger>Defender Experts>Teams på din Microsoft Defender-portal. |
| Hvordan stiller jeg en Defender Experts-analytiker spørgsmål om en undersøgelse eller svarhandling? | Når en Defender Experts-analytiker udgiver sin undersøgelsesoversigt og anbefalede svarhandlinger i pop op-panelet Administreret svar i en sand positiv hændelse, kan du bruge fanen Chat i det samme panel til at stille Defender Experts-teamet spørgsmål om hændelsen og deres undersøgelse. Alternativt kan dine udpegede hændelseskontakter svare direkte på de Teams- eller mailmeddelelser, de modtog fra Defender Experts, for at stille eventuelle spørgsmål, du måtte have. |
| Hvordan ved jeg, hvilke hændelser der har ventende svarhandlinger? | Kortet Defender Experts på startsiden for Microsoft Defender-portalen indeholder et link, der viser en meddelelse (f.eks. tre hændelser, der afventer din handling). Hvis du vælger dette link, føres du til en filtreret liste over hændelser, der specifikt kræver din opmærksomhed. Du kan filtrere hændelseskøen på Microsoft Defender-portalen ved at vælge Tildelt til som kunde eller Status som Afventer kundehandling. |
I Microsoft Sentinel
| Spørgsmål | Svar |
|---|---|
| Hvordan får jeg opdateringer fra Defender Experts i Sentinel? | Hvis du har aktiveret dataconnectoren mellem Microsoft Defender XDR og Microsoft Sentinel, synkroniseres opdateringer foretaget af Defender Experts in Defender til hændelser med Microsoft Sentinel.
Få mere at vide. Felterne Tildelt til, Status og Klassificering i Microsoft Defender XDR-hændelser er knyttet til de tilsvarende felter i Sentinel, nemlig Ejer, Status og Årsag til lukning. |
| Hvordan får jeg opdateringer fra Defender Experts i Sentinel til automatisk at udløse en playbook? | Hvis du vil hente opdateringer fra Defender Experts, skal du først konfigurere automatiseringsregler i Sentinel, der udløses med følgende opdateringer af Defender Experts:
|
| Hvordan kan jeg få adgang til administrerede svarhandlinger, der er publiceret af Defender Experts fra Sentinel? | Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på Din Microsoft Defender-portal, opdateres feltet Ejer automatisk til Kunde , og tagget Afventer kundehandling er tilgængeligt i Sentinel. Du kan bruge disse feltændringer som udløser til at gennemse det administrerede svarpanel for den tilsvarende hændelse på Microsoft Defender-portalen. |
I SIEM-, SOAR- eller ITSM-apps fra tredjepart
| Spørgsmål | Svar |
|---|---|
| Hvordan får jeg Defender Experts-opdateringer fra Microsoft Defender XDR til at synkronisere med SIEM-apps (third-party security information and event management), security orchestration, automation and response (SOAR) eller IT Service Management (ITSM)? | Du kan hente Defender Experts-opdateringer fra Microsoft Defender XDR via Graph Security API (microsoft.graph.security.incident). Sådan starter du synkroniseringsprocessen:
|
| Kan jeg synkronisere administrerede svarhandlinger, der er publiceret af Defender Experts på Microsoft Defender-portalen, til tredjepartsapps af TYPEN SIEM, SOAR eller ITSM? | Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på Microsoft Defender-portalen, ændres feltet Tildelt til til Kunde , og feltet Status opdateres til Afventer kundehandling. Du kan synkronisere disse felter via Graph Security API og derefter bruge disse ændringer som udløser til at gennemse de administrerede svarhandlinger på Microsoft Defender-portalen. Administrerede svarhandlinger forventes at være tilgængelige i Graph Security API senere på året, hvorefter det vil være muligt at synkronisere dem med dine tredjepartsapps. |
I andre kommunikationstjenester
| Spørgsmål | Svar |
|---|---|
| Kan jeg få opdateringer fra Defender Experts fra Microsoft Defender XDR via mail? | Når en Defender Experts-analytiker publicerer anbefalede svarhandlinger på en hændelse, modtager dine udpegede hændelseskontakter en tilsvarende mailmeddelelse til de mailadresser, der er angivet i Indstillinger Defender>Experts>Notification-kontakter på Microsoft Defender-portalen. Derudover kan du konfigurere en Logic App til automatisk at sende alle hændelsesopdateringer til dine angivne mailadresser. |
| Kan jeg få opdateringer fra Defender Experts fra Microsoft Defender XDR i Microsoft Teams? | En tovejschatfunktionalitet er tilgængelig via pop op-vinduet Administreret svar på din Microsoft Defender-portal via en hændelse. Derudover får du meddelelser, når et administreret svar sendes, og du kan deltage i chatsamtaler i realtid med Defender Experts direkte i Microsoft Teams. Få mere at vide om konfiguration af Teams |
| Kan jeg få Defender Experts-opdateringer fra Microsoft Defender XDR som sms- eller telefonopkaldsopdateringer eller i kommunikationstjenester fra tredjepart, f.eks. Slack? | Du kan konfigurere en Logic App til at gøre dette for at sende meddelelser fra kommunikationstjenester som Slack, Twilio, Azure Communication Services osv. |
Se også
Administreret registrering og respons
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.