Descripción y administración de las actualizaciones de incidentes de Expertos de Defender para XDR

Artículo
04/26/2024

Se aplica a:

Microsoft Defender XDR

En la sección siguiente se enumeran las preguntas que el equipo de SOC podría tener sobre la recepción de notificaciones de incidentes.

En Microsoft Defender portal y Graph API para seguridad

Preguntas	Respuestas
Cómo saber si un analista de expertos de Defender ha empezado a trabajar en un incidente?	Cuando un analista de expertos de Defender comienza a trabajar en un incidente, el campo Asignado al incidente se actualiza a Expertos de Defender.
Cómo saber si un analista de expertos de Defender ha resuelto un incidente?	Cuando un analista de expertos de Defender ha resuelto un incidente, el campo Estado del incidente se actualiza a Resuelto.
Cómo saber qué conclusión llevó a un analista de expertos de Defender a resolver un incidente?	Cuando los analistas de Expertos de Defender resuelven un incidente, modifican los campos Clasificación y Determinación del incidente y proporcionan un resumen conciso en su sección Comentarios . Si un incidente se clasifica como verdadero positivo, aparece un resumen completo de la investigación en el panel flotante Respuesta administrada del portal de Microsoft Defender.
Cómo saber qué acciones tomó un analista de expertos de Defender en mi inquilino al investigar un incidente?	Para cada incidente que investiguen, el analista de expertos de Defender resume las acciones que realizaron dentro del inquilino en el resumen de investigación del incidente ubicado en el panel flotante Respuesta administrada del portal de Microsoft Defender. También puede recuperar información sobre estas acciones y las horas en que iniciaron sesión en el inquilino mediante la búsqueda de los registros de auditoría en el portal de cumplimiento Microsoft Purview o a través de la API de actividad de administración de Office 365.
Cómo saber si un analista de expertos de Defender ha enviado alguna acción de respuesta para mi equipo de SOC?	El analista de expertos de Defender publica las acciones de respuesta que recomiendan al equipo de SOC para realizar un incidente en el panel flotante Respuesta administrada de un incidente en el portal de Microsoft Defender. En este momento, el campo Asignado a del incidente se actualiza al cliente y su estado se actualiza a Awaiting Customer Action(Acción del cliente en espera). Los contactos de incidentes, que ha designado en Configuración>Contactos de notificación deexpertos> de Defender en el portal de Microsoft Defender, también reciben una notificación por correo electrónico correspondiente si hay acciones de respuesta que requieran su atención. También recibirá una notificación de Teams si la ha configurado en Configuración>Defender Experts>Teams en el portal de Microsoft Defender.
Cómo hacer preguntas a un analista de expertos de Defender sobre una acción de investigación o respuesta?	Después de que un analista de expertos de Defender publique su resumen de investigación y las acciones de respuesta recomendadas en el panel flotante Respuesta administrada de un incidente verdadero positivo, puede usar la pestaña Chat del mismo panel para formular preguntas al equipo de expertos de Defender sobre el incidente y su investigación. Como alternativa, los contactos de incidentes designados pueden responder directamente a teams o a la notificación por correo electrónico que han recibido de expertos de Defender para formular cualquier pregunta que pueda tener.
Cómo saber qué incidentes tienen acciones de respuesta pendientes?	La tarjeta Expertos de Defender de la página principal del portal de Microsoft Defender incluye un vínculo que muestra un mensaje (por ejemplo, 3 incidentes que esperan su acción). La selección de este vínculo le dirige a una lista filtrada de incidentes que requieren específicamente su atención. Puede filtrar la cola de incidentes en el portal de Microsoft Defender seleccionando Asignado a como cliente o Estado como Acción del cliente en espera.

En Microsoft Sentinel

Preguntas	Respuestas
Cómo obtener actualizaciones de expertos de Defender en Sentinel?	Si ha habilitado el conector de datos entre Microsoft Defender XDR y Microsoft Sentinel, las actualizaciones realizadas por expertos de Defender en Defender a incidentes se sincronizan con Microsoft Sentinel. Más información. Los campos Asignados a, Estado y Clasificación de Microsoft Defender XDR incidentes se asignan a los campos correspondientes de Sentinel, es decir, Propietario, Estado y Motivo de cierre.
Cómo obtener actualizaciones de expertos de Defender en Sentinel para desencadenar automáticamente un cuaderno de estrategias?	Para obtener actualizaciones de expertos de Defender, en primer lugar, configure reglas de automatización en Sentinel que se desencadenan con las siguientes actualizaciones de expertos de Defender: Cuando el campo Propietario de Microsoft Sentinel se actualiza a Expertos de Defender o Cliente. Cuando el campo Estado de Microsoft Sentinel se actualiza a Activo o Cerrado, que corresponde a Microsoft Defender XDR Estadoactivo y En curso, respectivamente. Cuando se agrega la etiqueta sentinel awaiting customer action (Acción del cliente en espera de etiqueta de Sentinel), que corresponde a Microsoft Defender XDR estadoque espera la acción del cliente. A continuación, configure cuadernos de estrategias en Microsoft Sentinel para sincronizar automáticamente las actualizaciones de incidentes o enviar notificaciones de incidentes a otras aplicaciones. Envíe un correo electrónico, un mensaje de Teams o un mensaje de Slack al equipo de SOC cuando un analista de expertos de Defender esté asignado a un incidente. Envíe SMS o llamada telefónica a través del conector de Azure Communications Services o Twilio al responsable de SOC cuando Expertos de Defender publique la acción de respuesta para su equipo. Create una tarea o un vale en aplicaciones como Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. para el equipo de operaciones de TI.
¿Cómo puedo acceder a las acciones de respuesta administrada publicadas por expertos de Defender de Sentinel?	Una vez que los expertos de Defender publican acciones de respuesta administradas para un incidente en el portal de Microsoft Defender, el campo Propietario se actualiza automáticamente al cliente y la etiqueta Awaiting Customer Action está disponible en Sentinel. Puede usar estos cambios de campo como desencadenador para revisar el panel de respuesta administrada del incidente correspondiente en el portal de Microsoft Defender.

Preguntas

Respuestas

Cómo obtener actualizaciones de expertos de Defender en Sentinel?

Si ha habilitado el conector de datos entre Microsoft Defender XDR y Microsoft Sentinel, las actualizaciones realizadas por expertos de Defender en Defender a incidentes se sincronizan con Microsoft Sentinel. Más información.

Los campos Asignados a, Estado y Clasificación de Microsoft Defender XDR incidentes se asignan a los campos correspondientes de Sentinel, es decir, Propietario, Estado y Motivo de cierre.

Cómo obtener actualizaciones de expertos de Defender en Sentinel para desencadenar automáticamente un cuaderno de estrategias?

Para obtener actualizaciones de expertos de Defender, en primer lugar, configure reglas de automatización en Sentinel que se desencadenan con las siguientes actualizaciones de expertos de Defender:

Cuando el campo Propietario de Microsoft Sentinel se actualiza a Expertos de Defender o Cliente.
Cuando el campo Estado de Microsoft Sentinel se actualiza a Activo o Cerrado, que corresponde a Microsoft Defender XDR Estadoactivo y En curso, respectivamente.
Cuando se agrega la etiqueta sentinel awaiting customer action (Acción del cliente en espera de etiqueta de Sentinel), que corresponde a Microsoft Defender XDR estadoque espera la acción del cliente.

A continuación, configure cuadernos de estrategias en Microsoft Sentinel para sincronizar automáticamente las actualizaciones de incidentes o enviar notificaciones de incidentes a otras aplicaciones.

Envíe un correo electrónico, un mensaje de Teams o un mensaje de Slack al equipo de SOC cuando un analista de expertos de Defender esté asignado a un incidente.
Envíe SMS o llamada telefónica a través del conector de Azure Communications Services o Twilio al responsable de SOC cuando Expertos de Defender publique la acción de respuesta para su equipo.
Create una tarea o un vale en aplicaciones como Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. para el equipo de operaciones de TI.

¿Cómo puedo acceder a las acciones de respuesta administrada publicadas por expertos de Defender de Sentinel?

Una vez que los expertos de Defender publican acciones de respuesta administradas para un incidente en el portal de Microsoft Defender, el campo Propietario se actualiza automáticamente al cliente y la etiqueta Awaiting Customer Action está disponible en Sentinel. Puede usar estos cambios de campo como desencadenador para revisar el panel de respuesta administrada del incidente correspondiente en el portal de Microsoft Defender.

En aplicaciones SIEM, SOAR o ITSM de terceros

Preguntas	Respuestas
Cómo obtener actualizaciones de expertos de Defender de Microsoft Defender XDR para sincronizarse con aplicaciones de administración de eventos e información de seguridad (SIEM) de terceros, orquestación de seguridad, automatización y respuesta (SOAR) o administración de servicios de TI (ITSM)?	Puede obtener actualizaciones de expertos de Defender desde Microsoft Defender XDR a través de Graph API para seguridad (microsoft.graph.security.incident). Para iniciar el proceso de sincronización: Establezca la asignación entre los campos de Microsoft Defender XDR y los campos correspondientes de la aplicación deseada. Determine si la sincronización debe ser unidireccional o bidireccional y asegúrese de que la otra aplicación lo admite. Desarrolle, pruebe e implemente la integración de sincronización. En la mayoría de los casos, se recomienda sondear periódicamente graph API para seguridad cada minuto o así para comprobar si hay actualizaciones. Valide periódicamente que la asignación de campos está actualizada.
¿Puedo sincronizar acciones de respuesta administrada publicadas por expertos de Defender en Microsoft Defender portal con aplicaciones SIEM, SOAR o ITSM de terceros?	Una vez que los expertos de Defender publican acciones de respuesta administradas para un incidente en el portal de Microsoft Defender, el campo Asignado a se cambia al cliente y el campo Estado se actualiza a Awaiting Customer Action(Acción del cliente en espera). Puede sincronizar estos campos a través de Graph API para seguridad y, a continuación, usar estos cambios como desencadenador para revisar las acciones de respuesta administrada en el portal de Microsoft Defender. Se espera que las acciones de respuesta administrada estén disponibles en Graph API para seguridad más adelante este año, momento en el que será posible sincronizarlas con las aplicaciones de terceros.

Preguntas

Respuestas

Cómo obtener actualizaciones de expertos de Defender de Microsoft Defender XDR para sincronizarse con aplicaciones de administración de eventos e información de seguridad (SIEM) de terceros, orquestación de seguridad, automatización y respuesta (SOAR) o administración de servicios de TI (ITSM)?

Puede obtener actualizaciones de expertos de Defender desde Microsoft Defender XDR a través de Graph API para seguridad (microsoft.graph.security.incident).

Para iniciar el proceso de sincronización:

Establezca la asignación entre los campos de Microsoft Defender XDR y los campos correspondientes de la aplicación deseada. Determine si la sincronización debe ser unidireccional o bidireccional y asegúrese de que la otra aplicación lo admite.
Desarrolle, pruebe e implemente la integración de sincronización. En la mayoría de los casos, se recomienda sondear periódicamente graph API para seguridad cada minuto o así para comprobar si hay actualizaciones.
Valide periódicamente que la asignación de campos está actualizada.

¿Puedo sincronizar acciones de respuesta administrada publicadas por expertos de Defender en Microsoft Defender portal con aplicaciones SIEM, SOAR o ITSM de terceros?

Una vez que los expertos de Defender publican acciones de respuesta administradas para un incidente en el portal de Microsoft Defender, el campo Asignado a se cambia al cliente y el campo Estado se actualiza a Awaiting Customer Action(Acción del cliente en espera). Puede sincronizar estos campos a través de Graph API para seguridad y, a continuación, usar estos cambios como desencadenador para revisar las acciones de respuesta administrada en el portal de Microsoft Defender.

Se espera que las acciones de respuesta administrada estén disponibles en Graph API para seguridad más adelante este año, momento en el que será posible sincronizarlas con las aplicaciones de terceros.

En otros servicios de comunicación

Preguntas	Respuestas
¿Puedo obtener actualizaciones de expertos de Defender de Microsoft Defender XDR en el correo electrónico?	Una vez que un analista de expertos de Defender publica las acciones de respuesta recomendadas a un incidente, los contactos de incidentes designados recibirán una notificación por correo electrónico correspondiente a las direcciones de correo electrónico especificadas en Configuración>Contactos de notificaciónde expertos> de Defender en el portal de Microsoft Defender. Además, puede configurar una aplicación lógica para enviar todas las actualizaciones de incidentes a las direcciones de correo electrónico designadas automáticamente.
¿Puedo obtener actualizaciones de expertos de Defender de Microsoft Defender XDR en Microsoft Teams?	Se puede acceder a una funcionalidad de chat bidireccional a través del panel flotante Respuesta administrada de un incidente en el portal de Microsoft Defender. Además, recibirá notificaciones cuando se publique una respuesta administrada y podrá participar en conversaciones de chat en tiempo real con expertos de Defender directamente en Microsoft Teams. Más información sobre la configuración de Teams
¿Puedo obtener actualizaciones de expertos de Defender de Microsoft Defender XDR como actualizaciones de SMS o llamadas telefónicas, o en servicios de comunicaciones de terceros, como Slack?	Puede configurar una aplicación lógica para que haga esto para enviar notificaciones desde servicios de comunicación como Slack, Twilio, Azure Communication Services, etc.

Consulte también

Detección y respuesta administradas

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.