Share via

Zusammenarbeiten in Microsoft Teams (Public Preview)

  • Artikel

Microsoft Azure SentinelSentinel unterstützt eine direkte Integration in Microsoft Teams, sodass Sie bei bestimmten Incidents direkt in die Teamarbeit einsteigen können.

Wichtig

Die Integration in Microsoft Teams befindet sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Übersicht

Die direkte Integration in Microsoft Teams über Microsoft Sentinel ermöglicht Ihren Teams eine nahtlose Zusammenarbeit innerhalb der gesamten Organisation und mit externen Projektbeteiligten.

Verwenden Sie Microsoft Teams mit einem Microsoft Sentinel-Incidentteam, um Ihre Kommunikation und Koordination zwischen den relevanten Mitarbeitern zu zentralisieren. Incidentteams sind besonders als dedizierte Konferenzbrücke für laufende Incidents mit hohem Schweregrad hilfreich.

Organisationen, die Microsoft Teams bereits für Kommunikation und Zusammenarbeit verwenden, können die Microsoft Sentinel-Integration nutzen, um Sicherheitsdaten direkt in ihre Konversationen und tägliche Arbeit einzubringen.

Ein Microsoft Sentinel-Incidentteam verfügt immer über die aktuellen Daten aus Microsoft Sentinel. Dadurch wird sichergestellt, dass Ihre Teams stets die relevantesten Daten zur Hand haben.

Erforderliche Berechtigungen

Für das Erstellen von Teams über Microsoft Sentinel gilt Folgendes:

  • Der Benutzer, der das Team erstellt, muss in Microsoft Sentinel über Schreibberechtigungen für Incidents verfügen. Die Rolle Microsoft Sentinel-Antwortender ist beispielsweise die ideale mindestens erforderliche Rolle für diese Berechtigung.

  • Der Benutzer, der das Team erstellt, muss darüber hinaus auch über Berechtigungen zum Erstellen von Teams in Microsoft Teams verfügen.

  • Jeder Microsoft Sentinel-Benutzer, also Benutzer mit der Rolle Leser, Antwortender oder Mitwirkender, kann Zugriff auf das erstellte Team erhalten, indem er den Zugriff anfordert.

Untersuchungen mithilfe eines Incidentteams

Führen Sie Untersuchungen zusammen mit einem Incidentteam durch, indem Sie Microsoft Teams direkt aus dem betreffenden Incident integrieren.

So erstellen Sie Ihr Incidentteam:

  1. Wählen Sie in Microsoft Sentinel im Raster Bedrohungsmanagement>Incidents den Incident aus, den Sie gerade untersuchen.

  2. Wählen Sie am unteren Rand des Incidentbereichs, der auf der rechten Seite angezeigt wird, Aktionen>Team erstellen (Vorschau) aus.

    Create a team to collaborate in a incident team.

    Der Bereich Incidentteam wird auf der rechten Seite geöffnet. Definieren Sie die folgenden Einstellungen für Ihr Incidentteam:

    • Teamname: Wird automatisch als der Name des betreffenden Incidents definiert. Ändern Sie den Namen nach Bedarf, damit er für Sie leicht identifizierbar ist.

    • Teambeschreibung: Geben Sie eine aussagekräftige Beschreibung für Ihr Incidentteam ein.

    • Gruppen und Mitglieder hinzufügen: Wählen Sie mindestens einen Microsoft Entra-Benutzer und/oder eine -Gruppe aus, der bzw. die dem Incidentteam hinzugefügt werden soll. Wenn Sie Benutzer und Gruppen auswählen, werden diese in der Liste Ausgewählte Gruppen und Benutzer: unterhalb der Liste Gruppen und Mitglieder hinzufügen angezeigt.

      Tipp

      Wenn Sie regelmäßig mit denselben Benutzern und Gruppen arbeiten, können Sie den Stern neben den einzelnen Benutzern oder Gruppen in der Liste Ausgewählte Gruppen und Benutzer auswählen, um sie als Favoriten zu speichern.

      Favoriten werden automatisch ausgewählt, wenn Sie das nächste Mal ein Team erstellen. Wenn Sie einen Favoriten aus dem nächsten Team entfernen möchten, das Sie erstellen, klicken Sie entweder auf Löschen, oder wählen den Stern erneut aus, um das Team vollständig aus den Favoriten zu entfernen.

  3. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Team erstellen aus, um Ihr Incidentteam zu erstellen.

    Der Incidentbereich wird aktualisiert und zeigt nun einen Link zu Ihrem neuen Incidentteam unter dem Titel Teamname an.

    Click the Teams integration link added to your incident.

  4. Wählen Sie den Link Teams integration aus, um zu Microsoft Teams zu wechseln. Dort werden alle Daten zu dem betreffenden Incident auf der Registerkarte Incident page aufgeführt.

    Incident page in Microsoft Teams.

Setzen Sie die Konversation über die Untersuchung in Teams so lange wie nötig fort. Ihnen stehen sämtliche Details zum Incident in Teams zur Verfügung.

Tipp

  • Wenn Sie Ihrem Team einzelne Benutzer hinzufügen müssen, können Sie dies in Microsoft Teams über die Schaltfläche Add more people (Weitere Personen hinzufügen) auf der Registerkarte Posts (Beiträge) tun.

  • Wenn Sie einen Incident schließen, wird das zugehörige Incidentteam, das Sie in Microsoft Teams erstellt haben, archiviert. Wenn der Incident jemals erneut geöffnet wird, wird auch das zugehörige Incidentteam erneut in Microsoft Teams geöffnet, sodass Sie Ihre Konversation direkt an der Stelle, an der Sie aufgehört haben, fortsetzen können.

Nächste Schritte

Weitere Informationen finden Sie unter