Partage via

Présentation et gestion des mises à jour des incidents Defender Experts pour XDR

  • Article

S’applique à :

La section suivante répertorie les questions que votre équipe SOC peut avoir sur la réception des notifications d’incident.

Dans le portail Microsoft Defender et l’API de sécurité Graph

Questions Réponses
Comment savoir si un analyste Defender Experts a commencé à travailler sur un incident ? Lorsqu’un analyste Defender Experts commence à travailler sur un incident, le champ Affecté à l’incident est mis à jour en Experts Defender.
Comment savoir si un analyste Defender Experts a résolu un incident ? Lorsqu’un analyste Defender Experts a résolu un incident, le champ État de l’incident est mis à jour sur Résolu.
Comment savoir quelle conclusion a conduit un analyste Defender Experts à résoudre un incident ? Lorsque les analystes Defender Experts résolvent un incident, ils modifient les champs Classification et Détermination de l’incident et fournissent un résumé concis dans la section Commentaires .

Si un incident est classé comme étant vrai positif, un résumé complet de l’examen s’affiche dans le volet volant Réponse managée de votre portail Microsoft Defender.
Comment savoir quelles actions un analyste Defender Experts a effectuées dans mon locataire lors de l’enquête sur un incident ? Pour chaque incident qu’il examine, l’analyste Defender Experts résume toutes les actions qu’il a effectuées au sein de votre locataire dans le résumé d’investigation de l’incident situé dans le volet volant Réponse managée de votre portail Microsoft Defender.

Vous pouvez également récupérer des informations sur ces actions et les heures de connexion à votre locataire en effectuant une recherche dans vos journaux d’audit sur le portail de conformité Microsoft Purview ou via l’API Activité de gestion Office 365.
Comment savoir si un analyste Defender Experts a envoyé des actions de réponse pour mon équipe SOC ? L’analyste Defender Experts publie les actions de réponse qu’il recommande à votre équipe SOC d’effectuer sur un incident dans le panneau volant réponse managée d’un incident dans votre portail Microsoft Defender.

À ce stade, le champ Affecté à de l’incident est mis à jour en Client et son état est mis à jour sur En attente d’action du client.

Vos contacts d’incident, que vous avez désignés dans Paramètres Contacts> denotificationDes experts> Defender dans votre portail Microsoft Defender, reçoivent également une notification par e-mail correspondante si des actions de réponse nécessitent votre attention. Vous recevrez également des notifications Teams si vous l’avez configuré dans Paramètres>Defender Experts>Teams dans votre portail Microsoft Defender.
Comment poser des questions à un analyste Defender Experts sur une enquête ou une action de réponse ? Une fois qu’un analyste Defender Experts a publié son résumé d’enquête et ses actions de réponse recommandées dans le panneau volant Réponse gérée d’un incident vrai positif, vous pouvez utiliser l’onglet Conversation dans le même panneau pour poser des questions à l’équipe d’experts Defender sur l’incident et son investigation.

Sinon, vos contacts d’incident désignés peuvent répondre directement à la notification Teams ou par e-mail qu’ils ont reçue des experts Defender pour poser des questions que vous pourriez avoir.
Comment savoir quels incidents ont des actions de réponse en attente ? La carte Experts Defender dans votre page d’accueil du portail Microsoft Defender inclut un lien qui affiche un message (par exemple, 3 incidents en attente de votre action). La sélection de ce lien vous dirige vers une liste filtrée d’incidents nécessitant spécifiquement votre attention.

Vous pouvez filtrer la file d’attente des incidents dans votre portail Microsoft Defender en sélectionnant Affecté à en tant que Client ou État en tant qu’action client en attente.

Dans Microsoft Sentinel

Questions Réponses
Comment obtenir les mises à jour de Defender Experts dans Sentinel ? Si vous avez activé le connecteur de données entre Microsoft Defender XDR et Microsoft Sentinel, les mises à jour apportées par les experts Defender dans Defender aux incidents sont synchronisées avec Microsoft Sentinel. En savoir plus.

Les champs Affecté à, État et Classification dans les incidents Microsoft Defender XDR sont mappés aux champs correspondants dans Sentinel, à savoir Propriétaire, État et Raison de la fermeture.
Comment obtenir les mises à jour de Defender Experts dans Sentinel pour déclencher automatiquement un playbook ? Pour obtenir les mises à jour de Defender Experts, commencez par configurer des règles d’automatisation dans Sentinel qui sont déclenchées avec les mises à jour de Defender Experts suivantes :
  • Lorsque le champ Propriétaire dans Microsoft Sentinel est mis à jour vers Defender Experts ou Customer.
  • Lorsque le champ État de Microsoft Sentinel est mis à jour vers Actif ou Fermé, ce qui correspond respectivement à Microsoft Defender XDR StatusActive et In Progress .
  • Lorsque la balise Sentinel en attente d’action client est ajoutée, ce qui correspond à l’état Microsoft Defender XDR En attente d’action client.
Ensuite, configurez des playbooks dans Microsoft Sentinel pour synchroniser automatiquement les mises à jour des incidents ou envoyer des notifications d’incident dans d’autres applications.
  • Envoyez un e-mail, un message Teams ou un message Slack à votre équipe SOC lorsqu’un analyste Defender Experts est affecté à un incident.
  • Envoyez un SMS ou un appel téléphonique via Azure Communications Services ou le connecteur Twilio à votre responsable SOC lorsque Defender Experts publie une action de réponse pour votre équipe.
  • Créez une tâche ou un ticket dans des applications telles qu’Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. pour votre équipe des opérations informatiques.
Comment accéder aux actions de réponse managées publiées par Defender Experts à partir de Sentinel ? Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Propriétaire est automatiquement mis à jour en Client et l’étiquette En attente d’action client est disponible dans Sentinel. Vous pouvez utiliser ces modifications de champ comme déclencheur pour examiner le panneau de réponse managé pour l’incident correspondant dans le portail Microsoft Defender.

Dans les applications SIEM, SOAR ou ITSM tierces

Questions Réponses
Comment obtenir les mises à jour de Defender Experts de Microsoft Defender XDR pour les synchroniser avec des applications tierces de gestion des informations et des événements de sécurité (SIEM), d’orchestration de sécurité, d’automatisation et de réponse (SOAR) ou de gestion des services informatiques (ITSM) ? Vous pouvez obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR via l’API de sécurité Graph (microsoft.graph.security.incident).

Pour lancer le processus de synchronisation :
  1. Établissez le mappage entre les champs dans Microsoft Defender XDR et les champs correspondants dans l’application souhaitée. Déterminez si la synchronisation doit être unidirectionnelle ou bidirectionnelle et vérifiez que l’autre application le prend en charge.
  2. Développez, testez et déployez votre intégration de synchronisation. Dans la plupart des cas, il est recommandé d’interroger régulièrement l’API De sécurité Graph toutes les minutes environ pour rechercher les mises à jour.
  3. Vérifiez régulièrement que le mappage de champs est à jour.
Puis-je synchroniser des actions de réponse managées publiées par Les experts Defender dans le portail Microsoft Defender avec des applications SIEM, SOAR ou ITSM tierces ? Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Affecté à est remplacé par Client et le champ État est mis à jour en Action client en attente. Vous pouvez synchroniser ces champs via l’API De sécurité Graph, puis utiliser ces modifications comme déclencheur pour passer en revue les actions de réponse managées dans le portail Microsoft Defender.

Les actions de réponse managées devraient être disponibles dans l’API Graph Security plus tard cette année, à ce moment-là, il sera possible de les synchroniser avec vos applications tierces.

Dans d’autres services de communication

Questions Réponses
Puis-je obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR par e-mail ? Une fois qu’un analyste Defender Experts publie les actions de réponse recommandées à un incident, vos contacts d’incident désignés reçoivent une notification par e-mail correspondante aux adresses e-mail spécifiées dans Paramètres Contacts> denotificationDefender Experts> dans votre portail Microsoft Defender.

En outre, vous pouvez configurer une application logique pour envoyer automatiquement toutes les mises à jour d’incident à vos adresses e-mail désignées.
Puis-je obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR dans Microsoft Teams ? Une fonctionnalité de conversation bidirectionnel est accessible via le panneau volant réponse managée d’un incident dans votre portail Microsoft Defender.

En outre, vous recevez des notifications lorsqu’une réponse gérée est publiée et vous pouvez engager des conversations en temps réel avec des experts Defender directement dans Microsoft Teams. En savoir plus sur la configuration de Teams
Puis-je obtenir des mises à jour de Defender Experts à partir de Microsoft Defender XDR sous forme de mises à jour de SMS ou d’appels téléphoniques, ou dans des services de communication tiers tels que Slack ? Vous pouvez configurer une application logique pour envoyer des notifications à partir de services de communication tels que Slack, Twilio, Azure Communication Services, etc.

Voir aussi

Détection et réponse managées

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.