Grundlegendes und Verwalten von Defender-Experten für XDR-Incidentupdates

Artikel
04/28/2024

Gilt für:

Microsoft Defender XDR

Im folgenden Abschnitt werden die Fragen aufgeführt, die Ihr SOC-Team möglicherweise in Bezug auf den Empfang von Incidentbenachrichtigungen hat.

Im Microsoft Defender-Portal und im Graph-Sicherheits-API

Fragen	Antworten
Gewusst wie wissen, ob ein Defender Experts-Analyst mit der Arbeit an einem Incident begonnen hat?	Wenn ein Defender Experts-Analyst mit der Arbeit an einem Incident beginnt, wird das Feld Zugewiesen zu dem Vorfall auf Defender Experts aktualisiert.
Gewusst wie wissen, ob ein Defender Experts-Analyst einen Vorfall gelöst hat?	Wenn ein Defender Experts-Analyst einen Vorfall gelöst hat, wird das Feld Status des Incidents in Gelöst aktualisiert.
Gewusst wie wissen, welche Schlussfolgerung einen Defender Experts-Analysten zur Lösung eines Incidents geführt hat?	Wenn Defender Experts-Analysten einen Incident auflösen, ändern sie die Felder Klassifizierung und Bestimmung des Vorfalls und geben eine präzise Zusammenfassung im Abschnitt Kommentare . Wenn ein Incident als wahr positiv klassifiziert wird, wird im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal eine umfassende Untersuchungszusammenfassung angezeigt.
Gewusst wie wissen, welche Aktionen ein Defender Experts-Analyst bei der Untersuchung eines Incidents in meinem Mandanten ausgeführt hat?	Für jeden Vorfall, den sie untersuchen, fasst der Defender Experts-Analyst alle Aktionen zusammen, die er innerhalb Ihres Mandanten ausgeführt hat, in der Untersuchungszusammenfassung des Incidents, die sich im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal befindet. Sie können auch Informationen zu diesen Aktionen und zu den Zeiten abrufen, zu denen sie sich bei Ihrem Mandanten angemeldet haben, indem Sie Ihre Überwachungsprotokolle entweder auf dem Microsoft Purview-Complianceportal oder über die Office 365 Management Activity-API durchsuchen.
Gewusst wie wissen, ob ein Defender Experts-Analyst Reaktionsaktionen an mein SOC-Team gesendet hat?	Der Defender Experts-Analyst veröffentlicht die Reaktionsaktionen, die ihr SOC-Team für einen Incident im Flyoutbereich verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal empfiehlt. Zu diesem Zeitpunkt wird das Feld Zugewiesen zu dem Incident auf Customer aktualisiert, und der Status wird in Awaiting Customer Action (Wartende Kundenaktion) aktualisiert. Ihre Incidentkontakte, die Sie unter Einstellungen>Defender Experts>Notification contacts in Your Microsoft Defender Portal festgelegt haben, erhalten ebenfalls eine entsprechende E-Mail-Benachrichtigung, wenn Es Antwortaktionen gibt, die Ihre Aufmerksamkeit erfordern. Sie erhalten auch eine Teams-Benachrichtigung, wenn Sie sie in Einstellungen>Defender Experts>Teams in Ihrem Microsoft Defender-Portal eingerichtet haben.
Gewusst wie einem Defender Experts-Analysten Fragen zu einer Untersuchungs- oder Reaktionsaktion stellen?	Nachdem ein Defender Experts-Analyst seine Untersuchungszusammenfassung und die empfohlenen Reaktionsaktionen im Flyout-Bereich verwaltete Antworten eines True Positive-Incidents veröffentlicht hat, können Sie die Registerkarte Chat im selben Bereich verwenden, um dem Defender Experts-Team Fragen zum Vorfall und seiner Untersuchung zu stellen. Alternativ können Ihre angegebenen Incidentkontakte direkt auf die Teams oder E-Mail-Benachrichtigungen reagieren, die sie von Defender-Experten erhalten haben, um Fragen zu stellen.
Gewusst wie wissen, welche Incidents ausstehende Reaktionsaktionen aufweisen?	Die Defender Experts-Karte auf der Startseite Ihres Microsoft Defender Portals enthält einen Link, der eine Nachricht anzeigt (z. B. 3 Vorfälle, die auf Ihre Aktion warten). Wenn Sie diesen Link auswählen, gelangen Sie zu einer gefilterten Liste von Vorfällen, die Ihre Aufmerksamkeit erfordern. Sie können die Incidentwarteschlange in Ihrem Microsoft Defender-Portal filtern, indem Sie Als Kundezugewiesen zu oder Status als Warten auf Kundenaktion auswählen.

In Microsoft Sentinel

Fragen	Antworten
Gewusst wie Defender Experts-Updates in Sentinel erhalten?	Wenn Sie den Datenconnector zwischen Microsoft Defender XDR und Microsoft Sentinel aktiviert haben, werden von Defender-Experten in Defender vorgenommene Updates für Incidents mit Microsoft Sentinel synchronisiert. Weitere Informationen. Die Felder Zugewiesen zu, Status und Klassifizierung in Microsoft Defender XDR Incidents werden den entsprechenden Feldern in Sentinel zugeordnet, nämlich Besitzer, Status und Grund für das Schließen.
Gewusst wie Defender Experts-Updates in Sentinel erhalten, um automatisch ein Playbook auszulösen?	Um Defender Experts-Updates zu erhalten, richten Sie zunächst Automatisierungsregeln in Sentinel ein, die mit den folgenden Defender Experts-Updates ausgelöst werden: Wenn das Feld Besitzer in Microsoft Sentinel auf Defender Experts oder Customer aktualisiert wird. Wenn das Feld Status in Microsoft Sentinel auf Aktiv oder Geschlossen aktualisiert wird, was Microsoft Defender XDR StatusAktiv bzw. In Bearbeitung entspricht. Wenn sentinel TagAwaiting Customer Action hinzugefügt wird, was Microsoft Defender XDR StatusAwaiting Customer Action entspricht. Richten Sie als Nächstes Playbooks in Microsoft Sentinel ein, um Incidentupdates automatisch zu synchronisieren oder Incidentbenachrichtigungen an andere Apps zu senden. Senden Sie eine E-Mail, eine Teams-Nachricht oder eine Slack-Nachricht an Ihr SOC-Team, wenn ein Defender Experts-Analyst einem Incident zugewiesen ist. Senden Sie eine SMS oder einen Telefonanruf über Azure Communications Services oder den Twilio-Connector an Ihren SOC-Lead, wenn Defender Experts eine Antwortaktion für Ihr Team veröffentlicht. Create eine Aufgabe oder ein Ticket in Apps wie Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty usw. für Ihr IT-Ops-Team.
Wie kann ich auf verwaltete Antwortaktionen zugreifen, die von Defender Experts aus Sentinel veröffentlicht wurden?	Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Vorfall in Ihrem Microsoft Defender-Portal veröffentlicht haben, wird das Feld Besitzer automatisch auf Kunde aktualisiert, und das Tag Awaiting Customer Action ist in Sentinel verfügbar. Sie können diese Feldänderungen als Trigger verwenden, um den Bereich für verwaltete Antworten auf den entsprechenden Incident im Microsoft Defender-Portal zu überprüfen.

Fragen

Antworten

Gewusst wie Defender Experts-Updates in Sentinel erhalten?

Wenn Sie den Datenconnector zwischen Microsoft Defender XDR und Microsoft Sentinel aktiviert haben, werden von Defender-Experten in Defender vorgenommene Updates für Incidents mit Microsoft Sentinel synchronisiert. Weitere Informationen.

Die Felder Zugewiesen zu, Status und Klassifizierung in Microsoft Defender XDR Incidents werden den entsprechenden Feldern in Sentinel zugeordnet, nämlich Besitzer, Status und Grund für das Schließen.

Gewusst wie Defender Experts-Updates in Sentinel erhalten, um automatisch ein Playbook auszulösen?

Um Defender Experts-Updates zu erhalten, richten Sie zunächst Automatisierungsregeln in Sentinel ein, die mit den folgenden Defender Experts-Updates ausgelöst werden:

Wenn das Feld Besitzer in Microsoft Sentinel auf Defender Experts oder Customer aktualisiert wird.
Wenn das Feld Status in Microsoft Sentinel auf Aktiv oder Geschlossen aktualisiert wird, was Microsoft Defender XDR StatusAktiv bzw. In Bearbeitung entspricht.
Wenn sentinel TagAwaiting Customer Action hinzugefügt wird, was Microsoft Defender XDR StatusAwaiting Customer Action entspricht.

Richten Sie als Nächstes Playbooks in Microsoft Sentinel ein, um Incidentupdates automatisch zu synchronisieren oder Incidentbenachrichtigungen an andere Apps zu senden.

Senden Sie eine E-Mail, eine Teams-Nachricht oder eine Slack-Nachricht an Ihr SOC-Team, wenn ein Defender Experts-Analyst einem Incident zugewiesen ist.
Senden Sie eine SMS oder einen Telefonanruf über Azure Communications Services oder den Twilio-Connector an Ihren SOC-Lead, wenn Defender Experts eine Antwortaktion für Ihr Team veröffentlicht.
Create eine Aufgabe oder ein Ticket in Apps wie Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty usw. für Ihr IT-Ops-Team.

Wie kann ich auf verwaltete Antwortaktionen zugreifen, die von Defender Experts aus Sentinel veröffentlicht wurden?

Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Vorfall in Ihrem Microsoft Defender-Portal veröffentlicht haben, wird das Feld Besitzer automatisch auf Kunde aktualisiert, und das Tag Awaiting Customer Action ist in Sentinel verfügbar. Sie können diese Feldänderungen als Trigger verwenden, um den Bereich für verwaltete Antworten auf den entsprechenden Incident im Microsoft Defender-Portal zu überprüfen.

In SIEM-, SOAR- oder ITSM-Apps von Drittanbietern

Fragen	Antworten
Gewusst wie Defender Experts-Updates von Microsoft Defender XDR erhalten, um sie in Siem-Apps (Security Information and Event Management), Security Orchestration, Automation and Response (SOAR) oder ITSM-Apps (IT Service Management) von Drittanbietern zu synchronisieren?	Sie können Defender Experts-Updates von Microsoft Defender XDR über die Graph-Sicherheits-API (microsoft.graph.security.incident) abrufen. So initiieren Sie den Synchronisierungsprozess: Richten Sie die Zuordnung zwischen Feldern in Microsoft Defender XDR und den entsprechenden Feldern in der gewünschten Anwendung ein. Bestimmen Sie, ob die Synchronisierung uni- oder bidirektional sein soll, und stellen Sie sicher, dass dies von der anderen Anwendung unterstützt wird. Entwickeln, testen und bereitstellen Sie Ihre Synchronisierungsintegration. In den meisten Fällen wird empfohlen, die Graph-Sicherheits-API in regelmäßigen Abständen jede Minute abzufragen, um nach Updates zu suchen. Überprüfen Sie regelmäßig, ob die Feldzuordnung auf dem neuesten Stand ist.
Kann ich verwaltete Antwortaktionen, die von Defender Experts in Microsoft Defender Portal veröffentlicht wurden, mit SIEM-, SOAR- oder ITSM-Apps von Drittanbietern synchronisieren?	Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlichen, wird das Feld Zugewiesen an in Kunde geändert, und das Feld Status wird in Warten auf Kundenaktion aktualisiert. Sie können diese Felder über die Graph-Sicherheits-API synchronisieren und diese Änderungen dann als Trigger verwenden, um die verwalteten Antwortaktionen im Microsoft Defender-Portal zu überprüfen. Verwaltete Antwortaktionen werden voraussichtlich später in diesem Jahr im Graph-Sicherheits-API verfügbar sein. Zu diesem Zeitpunkt ist es möglich, sie mit Ihren Drittanbieter-Apps zu synchronisieren.

Fragen

Antworten

Gewusst wie Defender Experts-Updates von Microsoft Defender XDR erhalten, um sie in Siem-Apps (Security Information and Event Management), Security Orchestration, Automation and Response (SOAR) oder ITSM-Apps (IT Service Management) von Drittanbietern zu synchronisieren?

Sie können Defender Experts-Updates von Microsoft Defender XDR über die Graph-Sicherheits-API (microsoft.graph.security.incident) abrufen.

So initiieren Sie den Synchronisierungsprozess:

Richten Sie die Zuordnung zwischen Feldern in Microsoft Defender XDR und den entsprechenden Feldern in der gewünschten Anwendung ein. Bestimmen Sie, ob die Synchronisierung uni- oder bidirektional sein soll, und stellen Sie sicher, dass dies von der anderen Anwendung unterstützt wird.
Entwickeln, testen und bereitstellen Sie Ihre Synchronisierungsintegration. In den meisten Fällen wird empfohlen, die Graph-Sicherheits-API in regelmäßigen Abständen jede Minute abzufragen, um nach Updates zu suchen.
Überprüfen Sie regelmäßig, ob die Feldzuordnung auf dem neuesten Stand ist.

Kann ich verwaltete Antwortaktionen, die von Defender Experts in Microsoft Defender Portal veröffentlicht wurden, mit SIEM-, SOAR- oder ITSM-Apps von Drittanbietern synchronisieren?

Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlichen, wird das Feld Zugewiesen an in Kunde geändert, und das Feld Status wird in Warten auf Kundenaktion aktualisiert. Sie können diese Felder über die Graph-Sicherheits-API synchronisieren und diese Änderungen dann als Trigger verwenden, um die verwalteten Antwortaktionen im Microsoft Defender-Portal zu überprüfen.

Verwaltete Antwortaktionen werden voraussichtlich später in diesem Jahr im Graph-Sicherheits-API verfügbar sein. Zu diesem Zeitpunkt ist es möglich, sie mit Ihren Drittanbieter-Apps zu synchronisieren.

In anderen Kommunikationsdiensten

Fragen	Antworten
Kann ich Defender Experts-Updates von Microsoft Defender XDR per E-Mail erhalten?	Sobald ein Defender Experts-Analyst empfohlene Reaktionsaktionen auf einen Incident veröffentlicht, erhalten Ihre angegebenen Incidentkontakte eine entsprechende E-Mail-Benachrichtigung an die E-Mail-Adressen, die unter Einstellungen>Defender Experts>Notification contacts in Your Microsoft Defender Portal angegeben sind. Darüber hinaus können Sie eine Logik-App so konfigurieren , dass alle Incidentupdates automatisch an Ihre angegebenen E-Mail-Adressen gesendet werden.
Kann ich Defender Experts-Updates von Microsoft Defender XDR in Microsoft Teams erhalten?	Auf eine bidirektionale Chatfunktion kann über das Flyout-Panel verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal zugegriffen werden. Darüber hinaus erhalten Sie Benachrichtigungen, wenn eine verwaltete Antwort gepostet wird, und können direkt in Microsoft Teams an Chatunterhaltungen mit Defender-Experten teilnehmen. Weitere Informationen zum Einrichten von Teams
Kann ich Defender Experts-Updates von Microsoft Defender XDR als SMS- oder Telefonanrufupdates oder in Kommunikationsdiensten von Drittanbietern wie Slack erhalten?	Sie können eine Logik-App so konfigurieren, dass Benachrichtigungen von Kommunikationsdiensten wie Slack, Twilio, Azure Communication Services usw. gesendet werden.

Siehe auch

Verwaltete Erkennung und Reaktion

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.