Defender-asiantuntijoiden ymmärtäminen ja hallinta XDR-tapauspäivityksiä varten

Artikkeli
10/30/2024

Koskee seuraavia:

Microsoft Defender XDR

Seuraavassa osiossa on luettelo kysymyksistä, joita SOC-tiimilläsi saattaa olla tapausilmoitusten vastaanottamisesta.

Microsoft Defender -portaalissa ja Graph Security -ohjelmointirajapinnassa

Kysymyksiä	Vastauksia
Mistä tiedän, onko Defender Expertsin analyytikko alkanut työstää tapausta?	Kun Defender Experts -analyytikko alkaa työstää tapausta, tapahtuman Vastuuhenkilö-kenttä päivitetään Defender-asiantuntijoille.
Mistä tiedän, onko Defender Expertsin analyytikko ratkaissut tapauksen?	Kun Defender Experts -analyytikko on ratkaissut tapauksen, tapahtuman Tila-kentän arvoksi päivitetään Ratkaistu.
Mistä tiedän, mikä johtopäätös sai Defender Experts -analyytikon ratkaisemaan tapauksen?	Kun Defender-asiantuntijoiden analyytikot ratkaisevat tapauksen, he muokkaavat tapahtuman luokitus - ja määrityskenttiä ja antavat tiiviin yhteenvedon Kommentit-osiossa . Jos tapaus luokitellaan true-positiiviseksi, kattava tutkimusyhteenveto näkyy Microsoft Defender -portaalin Hallitun vastauksen pikaikkunassa.
Mistä tiedän, mitä toimia Defender Experts -analyytikko teki vuokraajassani tutkiessaan tapausta?	Defender Expertsin analyytikko tekee kunkin tutkimansa tapauksen osalta yhteenvedon kaikista toimista, joita he ovat suorittaneet vuokraajassasi Tapahtuman tutkinta -yhteenvedossa , joka sijaitsee Microsoft Defender -portaalin Hallitut vastaus -pikaikkunassa. Voit myös noutaa tietoja näistä toiminnoista ja niiden sisäänkirjautumiskertoista hakemalla valvontalokeista joko Microsoft Purview -yhteensopivuusportaalista tai Office 365:n hallintatoimintojen ohjelmointirajapinnasta.
Mistä tiedän, onko Defender Expertsin analyytikko lähettänyt vastaustoimintoja SOC-tiimilleni?	Defender Experts -analyytikko julkaisee vastaustoiminnot, joita he suosittelevat SOC-tiimiäsi suorittamaan tapahtuman tapahtuman Hallitut vastaus -pikaikkunapaneelissa Microsoft Defender -portaalissa. Tällä hetkellä tapahtuman Vastuuhenkilö-kenttä päivitetään asiakkaaseen ja sen tilaksi päivitetään Odottaa asiakkaan toimia. Tapahtuman yhteyshenkilöt, jotka olet määrittänytAsetukset>Defenderin asiantuntijat>Ilmoitus -kohdassa Microsoft Defender -portaalissa, saavat myös vastaavan sähköposti-ilmoituksen, jos on olemassa toimia, jotka edellyttävät käyttäjän toimia. Saat myös Teams-ilmoitukset, jos olet määrittänyt sen Microsoft Defender -portaalin Asetukset>Defender-asiantuntijat>Teamsissa .
Miten voin esittää Defender Expertsin analyytikolle kysymyksiä tutkimus- tai vastaustoimista?	Kun Defender-asiantuntijoiden analyytikko julkaisee tutkimusyhteenvedon ja suositellut vastaustoiminnot True Positive -tapauksen Hallitun vastauksen pikaikkunassa, voit käyttää saman paneelin Keskustelu-välilehteä kysyäksesi Defender Experts -tiimiltä kysymyksiä tapahtumasta ja sen tutkimuksista. Vaihtoehtoisesti määritetyt tapahtumayhteyshenkilöt voivat vastata suoraan Defenderin asiantuntijoilta saamaasi Teams-ilmoitukseen tai sähköposti-ilmoitukseen esittääkseen kysymyksiä, joita sinulla saattaa olla.
Mistä tiedän, mitkä tapaukset odottavat vastaustoimia?	Defender Experts -kortti Microsoft Defender -portaalin aloitussivulla sisältää linkin, joka näyttää viestin (esimerkiksi kolme tapausta, jotka odottavat toimiasi). Tämän linkin valitseminen ohjaa sinut erityisesti huomiotasi edellyttävien tapausten suodatettuun luetteloon. Voit suodattaa tapausjonon Microsoft Defender -portaalissa valitsemalla Vastuuhenkilöasiakkaaksi tai Tilaodottaa asiakkaan toimia.

Microsoft Sentinelissä

Kysymyksiä	Vastauksia
Miten saan Defender Experts -päivityksiä Sentinelissä?	Jos olet ottanut tietoliittimen käyttöön Microsoft Defender XDR:n ja Microsoft Sentinelin välillä, Defender-asiantuntijoiden Defenderissä tekemät päivitykset tapauksiin synkronoidaan Microsoft Sentinelin kanssa. Lisätietoja. Microsoft Defender XDR -tapahtumien Vastuuhenkilö-, Tila- ja Luokitus-kentät on yhdistetty Sentinelin vastaaviin kenttiin, joita ovat omistaja, tila ja sulkemisen syy.
Miten saan Defender Experts -päivitykset Sentinelissä, jotta pelikirja käynnistyy automaattisesti?	Jotta saat Defender Experts -päivitykset, määritä ensin Sentinelissä automaatiosäännöt, jotka käynnistetään seuraavien Defender Experts -päivitysten myötä: Kun Microsoft Sentinelin Omistaja-kenttä päivitetään Defender Experts - tai Customer-kohtaan. Kun Microsoft Sentinelin Tila-kenttä päivitetään aktiiviseksi tai suljetuksi, mikä vastaa Microsoft Defenderin XDR-tila-aktiivista ja keskeneräistä. Kun asiakastoimia odottavaSentinel-tunniste lisätään, mikä vastaa Microsoft Defenderin XDR-tilaa odottaa asiakkaan toimia. Määritä seuraavaksi Microsoft Sentinel -pelikirjat, jotta voit synkronoida tapahtumapäivitykset automaattisesti tai lähettää tapausilmoituksia muihin sovelluksiin. Lähetä sähköpostia, Teams-viestiä tai Slack-viestiä SOC-tiimillesi, kun Defender Experts -analyytikko on määritetty tapahtumaan. Lähetä tekstiviesti tai puhelu Azure Communications Servicesin tai Twilio-liittimen kautta SOC-liidin kautta, kun Defender-asiantuntijat julkaisevat vastaustoiminnon tiimillesi. Luo tehtävä tai lippu sovelluksissa, kuten Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty jne. IT-ops-tiimillesi.
Miten voin käyttää Defender Expertsin Sentinelistä julkaisemia hallittuja vastaustoimintoja?	Kun Defender-asiantuntijat julkaisevat tapahtuman hallitut vastaustoiminnot Microsoft Defender -portaalissa, Omistaja-kenttä päivitetään automaattisesti asiakkaaksi ja Odottaa asiakastoimia -tunniste on käytettävissä Sentinelissä. Voit käyttää näitä kenttämuutoksia käynnistimenä, jos haluat tarkastella vastaavan tapauksen hallittua vastauspaneelia Microsoft Defender -portaalissa.

Kysymyksiä

Vastauksia

Miten saan Defender Experts -päivityksiä Sentinelissä?

Jos olet ottanut tietoliittimen käyttöön Microsoft Defender XDR:n ja Microsoft Sentinelin välillä, Defender-asiantuntijoiden Defenderissä tekemät päivitykset tapauksiin synkronoidaan Microsoft Sentinelin kanssa. Lisätietoja.

Microsoft Defender XDR -tapahtumien Vastuuhenkilö-, Tila- ja Luokitus-kentät on yhdistetty Sentinelin vastaaviin kenttiin, joita ovat omistaja, tila ja sulkemisen syy.

Miten saan Defender Experts -päivitykset Sentinelissä, jotta pelikirja käynnistyy automaattisesti?

Jotta saat Defender Experts -päivitykset, määritä ensin Sentinelissä automaatiosäännöt, jotka käynnistetään seuraavien Defender Experts -päivitysten myötä:

Kun Microsoft Sentinelin Omistaja-kenttä päivitetään Defender Experts - tai Customer-kohtaan.
Kun Microsoft Sentinelin Tila-kenttä päivitetään aktiiviseksi tai suljetuksi, mikä vastaa Microsoft Defenderin XDR-tila-aktiivista ja keskeneräistä.
Kun asiakastoimia odottavaSentinel-tunniste lisätään, mikä vastaa Microsoft Defenderin XDR-tilaa odottaa asiakkaan toimia.

Määritä seuraavaksi Microsoft Sentinel -pelikirjat, jotta voit synkronoida tapahtumapäivitykset automaattisesti tai lähettää tapausilmoituksia muihin sovelluksiin.

Lähetä sähköpostia, Teams-viestiä tai Slack-viestiä SOC-tiimillesi, kun Defender Experts -analyytikko on määritetty tapahtumaan.
Lähetä tekstiviesti tai puhelu Azure Communications Servicesin tai Twilio-liittimen kautta SOC-liidin kautta, kun Defender-asiantuntijat julkaisevat vastaustoiminnon tiimillesi.
Luo tehtävä tai lippu sovelluksissa, kuten Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty jne. IT-ops-tiimillesi.

Miten voin käyttää Defender Expertsin Sentinelistä julkaisemia hallittuja vastaustoimintoja?

Kun Defender-asiantuntijat julkaisevat tapahtuman hallitut vastaustoiminnot Microsoft Defender -portaalissa, Omistaja-kenttä päivitetään automaattisesti asiakkaaksi ja Odottaa asiakastoimia -tunniste on käytettävissä Sentinelissä. Voit käyttää näitä kenttämuutoksia käynnistimenä, jos haluat tarkastella vastaavan tapauksen hallittua vastauspaneelia Microsoft Defender -portaalissa.

Kolmannen osapuolen SIEM-, SOAR- tai ITSM-sovelluksissa

Kysymyksiä	Vastauksia
Miten saan Defender Experts -päivitykset Microsoft Defender XDR:ltä synkronoidakseni kolmannen osapuolen suojaustiedot ja tapahtumien hallinnan (SIEM), suojauksen orkestroinnin, automaation ja vastauksen (SOAR) tai IT-palvelun hallinta (ITSM) -sovellukset?	Voit saada Defender Experts -päivitykset Microsoft Defender XDR:ltä Graph Security -ohjelmointirajapinnan kautta (microsoft.graph.security.incident). Synkronointiprosessin aloittaminen: Muodosta yhdistäminen kenttien välille Microsoft Defender XDR:ssä ja vastaavat kentät halutussa sovelluksessa. Selvitä, onko synkronoinnin oltava yksi- vai kaksisuuntainen, ja varmista, että toinen sovellus tukee sitä. Kehitä, testaa ja ota käyttöön synkronoinnin integrointi. Useimmissa tapauksissa suosittelemme, että teet säännöllisesti kyselyn Graph Security -ohjelmointirajapinnasta noin minuutin välein päivitysten tarkistamiseksi. Vahvista säännöllisesti, että kentän yhdistäminen on ajan tasalla.
Voinko synkronoida Defender Expertsin Microsoft Defender -portaalissa julkaisemat hallitut vastaustoiminnot kolmannen osapuolen SIEM-, SOAR- tai ITSM-sovelluksiin?	Kun Defender-asiantuntijat julkaisevat tapahtuman hallitut vastaustoiminnot Microsoft Defender -portaalissa, Vastuuhenkilö-kentäksi vaihdetaan Asiakas ja Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia. Voit synkronoida nämä kentät Graph Security -ohjelmointirajapinnan kautta ja tarkastella sitten hallittujen vastausten toimintoja Microsoft Defender -portaalissa näiden muutosten avulla. Hallittujen vastaustoimintojen odotetaan olevan käytettävissä Graph Security -ohjelmointirajapinnassa myöhemmin tänä vuonna, jolloin ne voidaan synkronoida kolmannen osapuolen sovelluksiisi.

Kysymyksiä

Vastauksia

Miten saan Defender Experts -päivitykset Microsoft Defender XDR:ltä synkronoidakseni kolmannen osapuolen suojaustiedot ja tapahtumien hallinnan (SIEM), suojauksen orkestroinnin, automaation ja vastauksen (SOAR) tai IT-palvelun hallinta (ITSM) -sovellukset?

Voit saada Defender Experts -päivitykset Microsoft Defender XDR:ltä Graph Security -ohjelmointirajapinnan kautta (microsoft.graph.security.incident).

Synkronointiprosessin aloittaminen:

Muodosta yhdistäminen kenttien välille Microsoft Defender XDR:ssä ja vastaavat kentät halutussa sovelluksessa. Selvitä, onko synkronoinnin oltava yksi- vai kaksisuuntainen, ja varmista, että toinen sovellus tukee sitä.
Kehitä, testaa ja ota käyttöön synkronoinnin integrointi. Useimmissa tapauksissa suosittelemme, että teet säännöllisesti kyselyn Graph Security -ohjelmointirajapinnasta noin minuutin välein päivitysten tarkistamiseksi.
Vahvista säännöllisesti, että kentän yhdistäminen on ajan tasalla.

Voinko synkronoida Defender Expertsin Microsoft Defender -portaalissa julkaisemat hallitut vastaustoiminnot kolmannen osapuolen SIEM-, SOAR- tai ITSM-sovelluksiin?

Kun Defender-asiantuntijat julkaisevat tapahtuman hallitut vastaustoiminnot Microsoft Defender -portaalissa, Vastuuhenkilö-kentäksi vaihdetaan Asiakas ja Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia. Voit synkronoida nämä kentät Graph Security -ohjelmointirajapinnan kautta ja tarkastella sitten hallittujen vastausten toimintoja Microsoft Defender -portaalissa näiden muutosten avulla.

Hallittujen vastaustoimintojen odotetaan olevan käytettävissä Graph Security -ohjelmointirajapinnassa myöhemmin tänä vuonna, jolloin ne voidaan synkronoida kolmannen osapuolen sovelluksiisi.

Muissa viestintäpalveluissa

Kysymyksiä	Vastauksia
Voinko saada Defender Experts -päivityksiä Microsoft Defender XDR:ltä sähköpostitse?	Kun Defender experts -analyytikko julkaisee suositellut vastaustoiminnot tapahtumaan, määritetyt tapauksen yhteyshenkilöt saavat vastaavan sähköposti-ilmoituksen sähköpostiosoitteisiin, jotka on määritetty kohdassa Asetukset>Defender-asiantuntijoiden>ilmoitusten yhteystiedot Microsoft Defender -portaalissa. Lisäksi voit määrittää Logic Appin lähettämään kaikki tapauspäivitykset määritettyyn sähköpostiosoitteeseesi automaattisesti.
Voinko saada Defender Experts -päivityksiä Microsoft Defender XDR:ltä Microsoft Teamsissa?	Kaksisuuntaista keskustelutoimintoa voi käyttää Microsoft Defender -portaalin hallitun vastauksen pikaikkunapaneelin kautta. Lisäksi saat ilmoituksia, kun hallittu vastaus julkaistaan, ja voit käydä reaaliaikaisia keskustelukeskusteluja Defender-asiantuntijoiden kanssa suoraan Microsoft Teamsissa. Lisätietoja Teamsin määrittämisestä
Voinko saada Defender Experts -päivityksiä Microsoft Defender XDR:ltä tekstiviesteihin tai puhelupäivityksiin tai kolmannen osapuolen viestintäpalveluihin, kuten Slackiin?	Voit määrittää Logic Appin tekemään tämän, jotta voit lähettää ilmoituksia viestintäpalveluista, kuten Slackistä, Twiliosta, Azure Communication Servicesistä jne.

Tutustu myös seuraaviin ohjeartikkeleihin:

Hallittu tunnistaminen ja reagointi

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

Jaa