Grundlegendes und Verwalten von Defender-Experten für XDR-Incidentupdates
Gilt für:
Im folgenden Abschnitt werden die Fragen aufgeführt, die Ihr SOC-Team möglicherweise in Bezug auf den Empfang von Incidentbenachrichtigungen hat.
Im Microsoft Defender-Portal und in der Graph-Sicherheits-API
Fragen | Erwiderungen |
---|---|
Woher weiß ich, ob ein Defender Experts-Analyst mit der Arbeit an einem Incident begonnen hat? | Wenn ein Defender Experts-Analyst mit der Arbeit an einem Incident beginnt, wird das Feld Zugewiesen zu dem Vorfall auf Defender Experts aktualisiert. |
Woher weiß ich, ob ein Defender Experts-Analyst einen Vorfall gelöst hat? | Wenn ein Defender Experts-Analyst einen Vorfall gelöst hat, wird das Feld Status des Incidents in Gelöst aktualisiert. |
Woher weiß ich, welche Schlussfolgerung einen Defender Experts-Analysten zur Lösung eines Incidents geführt hat? | Wenn Defender Experts-Analysten einen Incident auflösen, ändern sie die Felder Klassifizierung und Bestimmung des Vorfalls und geben eine präzise Zusammenfassung im Abschnitt Kommentare . Wenn ein Incident als wahr positiv klassifiziert wird, wird im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal eine umfassende Zusammenfassung der Untersuchung angezeigt. |
Woher weiß ich, welche Aktionen ein Defender Experts-Analyst bei der Untersuchung eines Incidents in meinem Mandanten ausgeführt hat? | Für jeden Vorfall, den sie untersuchen, fasst der Defender Experts-Analyst alle Aktionen zusammen, die er innerhalb Ihres Mandanten ausgeführt hat, in der Untersuchungszusammenfassung des Vorfalls im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal. Sie können auch Informationen zu diesen Aktionen und zu den Zeitpunkten der Anmeldung bei Ihrem Mandanten abrufen, indem Sie Ihre Überwachungsprotokolle entweder im Microsoft Purview-Complianceportal oder über die Office 365-Verwaltungsaktivitäts-API durchsuchen. |
Woher weiß ich, ob ein Defender Experts-Analyst Antwortaktionen an mein SOC-Team gesendet hat? | Der Defender Experts-Analyst veröffentlicht die Reaktionsaktionen, die ihr SOC-Team für einen Incident im Flyoutbereich verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal empfiehlt. Zu diesem Zeitpunkt wird das Feld Zugewiesen zu dem Incident auf Customer aktualisiert, und der Status wird in Awaiting Customer Action (Wartende Kundenaktion) aktualisiert. Ihre Incidentkontakte, die Sie unter Einstellungen>Defender Experts>Notification contacts in Your Microsoft Defender Portal festgelegt haben, erhalten ebenfalls eine entsprechende E-Mail-Benachrichtigung, wenn Es Antwortaktionen gibt, die Ihre Aufmerksamkeit erfordern. Sie erhalten auch eine Teams-Benachrichtigung, wenn Sie sie in Einstellungen>Defender Experts>Teams in Ihrem Microsoft Defender-Portal eingerichtet haben. |
Wie stelle ich einem Defender Experts-Analysten Fragen zu einer Untersuchungs- oder Antwortaktion? | Nachdem ein Defender Experts-Analyst seine Untersuchungszusammenfassung und die empfohlenen Reaktionsaktionen im Flyout-Bereich verwaltete Antworten eines True Positive-Incidents veröffentlicht hat, können Sie die Registerkarte Chat im selben Bereich verwenden, um dem Defender Experts-Team Fragen zum Vorfall und seiner Untersuchung zu stellen. Alternativ können Ihre angegebenen Incidentkontakte direkt auf die Teams oder E-Mail-Benachrichtigungen reagieren, die sie von Defender-Experten erhalten haben, um Fragen zu stellen. |
Woher weiß ich, welche Incidents ausstehende Reaktionsaktionen haben? | Die Defender Experts-Karte auf der Startseite Ihres Microsoft Defender-Portals enthält einen Link, der eine Nachricht anzeigt (z. B. 3 Vorfälle, die auf Ihre Aktion warten). Wenn Sie diesen Link auswählen, gelangen Sie zu einer gefilterten Liste von Vorfällen, die Ihre Aufmerksamkeit erfordern. Sie können die Incidentwarteschlange in Ihrem Microsoft Defender-Portal filtern, indem Sie Als Kundezugewiesen zu oder Status als Warten auf Kundenaktion auswählen. |
In Microsoft Sentinel
Fragen | Erwiderungen |
---|---|
Wie erhalte ich Defender Experts-Updates in Sentinel? | Wenn Sie den Datenconnector zwischen Microsoft Defender XDR und Microsoft Sentinel aktiviert haben, werden Von Defender-Experten in Defender vorgenommene Updates für Incidents mit Microsoft Sentinel synchronisiert.
Weitere Informationen. Die Felder Zugewiesen zu, Status und Klassifizierung in Microsoft Defender XDR-Vorfällen sind den entsprechenden Feldern in Sentinel zugeordnet, nämlich Besitzer, Status und Grund für das Schließen. |
Wie erhalte ich Defender Experts-Updates in Sentinel, um automatisch ein Playbook auszulösen? | Um Defender Experts-Updates zu erhalten, richten Sie zunächst Automatisierungsregeln in Sentinel ein, die mit den folgenden Defender Experts-Updates ausgelöst werden:
|
Wie kann ich auf verwaltete Antwortaktionen zugreifen, die von Defender Experts aus Sentinel veröffentlicht wurden? | Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlicht haben, wird das Feld Besitzer automatisch auf Kunde aktualisiert, und das Tag Awaiting Customer Action ist in Sentinel verfügbar. Sie können diese Feldänderungen als Trigger verwenden, um den Bereich für verwaltete Antworten auf den entsprechenden Incident im Microsoft Defender-Portal zu überprüfen. |
In SIEM-, SOAR- oder ITSM-Apps von Drittanbietern
Fragen | Erwiderungen |
---|---|
Wie kann ich Defender Experts-Updates von Microsoft Defender XDR in Siem-Apps (Security Information and Event Management, Sicherheitsorchestrierung, Automatisierung und Reaktion) oder ITSM-Apps (IT Service Management) von Drittanbietern synchronisieren? | Sie können Defender Experts-Updates von Microsoft Defender XDR über die Graph-Sicherheits-API (microsoft.graph.security.incident) abrufen. So initiieren Sie den Synchronisierungsprozess:
|
Kann ich verwaltete Antwortaktionen, die von Defender Experts im Microsoft Defender-Portal veröffentlicht wurden, mit SIEM-, SOAR- oder ITSM-Apps von Drittanbietern synchronisieren? | Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlicht haben, wird das Feld Zugewiesen an in Kunde geändert, und das Feld Status wird in Warten auf Kundenaktion aktualisiert. Sie können diese Felder über die Graph-Sicherheits-API synchronisieren und diese Änderungen dann als Trigger verwenden, um die verwalteten Antwortaktionen im Microsoft Defender-Portal zu überprüfen. Verwaltete Antwortaktionen werden voraussichtlich noch in diesem Jahr in der Graph-Sicherheits-API verfügbar sein. Zu diesem Zeitpunkt ist es möglich, sie mit Ihren Drittanbieter-Apps zu synchronisieren. |
In anderen Kommunikationsdiensten
Fragen | Erwiderungen |
---|---|
Kann ich Defender Experts-Updates von Microsoft Defender XDR per E-Mail erhalten? | Sobald ein Defender Experts-Analyst empfohlene Reaktionsaktionen für einen Incident veröffentlicht, erhalten Ihre angegebenen Incidentkontakte eine entsprechende E-Mail-Benachrichtigung an die E-Mail-Adressen, die unter Einstellungen>Defender Experts>Notification contacts in Ihrem Microsoft Defender-Portal angegeben sind. Darüber hinaus können Sie eine Logik-App so konfigurieren , dass alle Incidentupdates automatisch an Ihre angegebenen E-Mail-Adressen gesendet werden. |
Kann ich Defender Experts-Updates von Microsoft Defender XDR in Microsoft Teams erhalten? | Auf eine bidirektionale Chatfunktion kann über das Flyout-Panel verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal zugegriffen werden. Darüber hinaus erhalten Sie Benachrichtigungen, wenn eine verwaltete Antwort gepostet wird, und können direkt in Microsoft Teams an Chatunterhaltungen mit Defender-Experten teilnehmen. Weitere Informationen zum Einrichten von Teams |
Kann ich Defender Experts-Updates von Microsoft Defender XDR als SMS- oder Telefonanrufupdates oder in Kommunikationsdiensten von Drittanbietern wie Slack erhalten? | Sie können eine Logik-App so konfigurieren , dass Benachrichtigungen von Kommunikationsdiensten wie Slack, Twilio, Azure Communication Services usw. gesendet werden. |
Siehe auch
Verwaltete Erkennung und Reaktion
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.