Présentation et gestion des mises à jour des incidents Defender Experts pour XDR

Article
04/26/2024

S’applique à :

Microsoft Defender XDR

La section suivante répertorie les questions que votre équipe SOC peut avoir sur la réception des notifications d’incident.

Dans Microsoft Defender portail et API de sécurité Graph

Questions	Réponses
Comment faire savoir si un analyste Defender Experts a commencé à travailler sur un incident ?	Lorsqu’un analyste Defender Experts commence à travailler sur un incident, le champ Affecté à l’incident est mis à jour en Experts Defender.
Comment faire savoir si un analyste Defender Experts a résolu un incident ?	Lorsqu’un analyste Defender Experts a résolu un incident, le champ État de l’incident est mis à jour sur Résolu.
Comment faire savez quelle conclusion a conduit un analyste Defender Experts à résoudre un incident ?	Lorsque les analystes Defender Experts résolvent un incident, ils modifient les champs Classification et Détermination de l’incident et fournissent un résumé concis dans la section Commentaires . Si un incident est classé comme étant un vrai positif, un résumé complet de l’enquête s’affiche dans le volet volant Réponse gérée de votre portail Microsoft Defender.
Comment faire savoir quelles actions un analyste Defender Experts a effectuées sur mon locataire lors de l’enquête sur un incident ?	Pour chaque incident qu’il examine, l’analyste Defender Experts récapitule toutes les actions qu’il a effectuées au sein de votre locataire dans le résumé d’investigation de l’incident situé dans le panneau volant Réponse managée de votre portail Microsoft Defender. Vous pouvez également récupérer des informations sur ces actions et les heures de connexion à votre locataire en effectuant une recherche dans vos journaux d’audit sur le portail de conformité Microsoft Purview ou via l’API activité de gestion Office 365.
Comment faire savoir si un analyste Defender Experts a envoyé des actions de réponse pour mon équipe SOC ?	L’analyste Defender Experts publie les actions de réponse qu’il recommande à votre équipe SOC d’effectuer sur un incident dans le panneau volant réponse managée d’un incident dans votre portail Microsoft Defender. À ce stade, le champ Affecté à de l’incident est mis à jour en Client et son état est mis à jour sur En attente d’action du client. Vos contacts d’incident, que vous avez désignés dans Paramètres Contacts> denotificationDefender Experts> dans votre portail Microsoft Defender, reçoivent également une notification par e-mail correspondante si des actions de réponse nécessitent votre attention.
Comment faire poser des questions à un analyste Defender Experts sur une enquête ou une action de réponse ?	Une fois qu’un analyste Defender Experts a publié son résumé d’enquête et ses actions de réponse recommandées dans le panneau volant Réponse gérée d’un incident vrai positif, vous pouvez utiliser l’onglet Conversation dans le même panneau pour poser des questions à l’équipe d’experts Defender sur l’incident et son investigation. Sinon, vos contacts d’incident désignés peuvent répondre directement à l’e-mail qu’ils ont reçu des experts Defender pour vous poser toutes les questions que vous pourriez avoir.
Comment faire savoir quels incidents ont des actions de réponse en attente ?	Le carte Defender Experts dans votre page d’accueil du portail Microsoft Defender inclut un lien qui affiche un message (par exemple, 3 incidents en attente de votre action). La sélection de ce lien vous dirige vers une liste filtrée d’incidents nécessitant spécifiquement votre attention. Vous pouvez filtrer la file d’attente des incidents dans votre portail Microsoft Defender en sélectionnant Affecté à en tant que Client ou État en tant qu’action client en attente.

Dans Microsoft Sentinel

Questions	Réponses
Comment faire obtenir les mises à jour de Defender Experts dans Sentinel ?	Si vous avez activé le connecteur de données entre Microsoft Defender XDR et Microsoft Sentinel, les mises à jour apportées par les experts Defender dans Defender aux incidents sont synchronisées avec Microsoft Sentinel. En savoir plus. Les champs Affecté à, État et Classification dans Microsoft Defender XDR incidents sont mappés aux champs correspondants dans Sentinel, à savoir Propriétaire, État et Raison de la fermeture.
Comment faire obtenir les mises à jour de Defender Experts dans Sentinel pour déclencher automatiquement un playbook ?	Pour obtenir les mises à jour de Defender Experts, commencez par configurer des règles d’automatisation dans Sentinel qui sont déclenchées avec les mises à jour de Defender Experts suivantes : Lorsque le champ Propriétaire dans Microsoft Sentinel est mis à jour vers Defender Experts ou Customer. Lorsque le champ État de Microsoft Sentinel est mis à jour en Actif ou Fermé, ce qui correspond à Microsoft Defender XDR Étatactif et en cours, respectivement. Lorsque la balise Sentinel en attente d’action client est ajoutée, ce qui correspond à Microsoft Defender XDR ÉtatEn attente d’action client. Ensuite, configurez des playbooks dans Microsoft Sentinel pour synchroniser automatiquement les mises à jour des incidents ou envoyer des notifications d’incident dans d’autres applications. Envoyez un e-mail, un message Teams ou un message Slack à votre équipe SOC lorsqu’un analyste Defender Experts est affecté à un incident. Envoyez un SMS ou un appel téléphonique via Azure Communications Services ou le connecteur Twilio à votre responsable SOC lorsque Defender Experts publie une action de réponse pour votre équipe. Create une tâche ou un ticket dans des applications telles qu’Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. pour votre équipe des opérations informatiques.
Comment accéder aux actions de réponse managées publiées par Defender Experts à partir de Sentinel ?	Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Propriétaire est automatiquement mis à jour en Client et l’étiquette En attente d’action client est disponible dans Sentinel. Vous pouvez utiliser ces modifications de champ comme déclencheur pour examiner le panneau de réponse managée pour l’incident correspondant dans le portail Microsoft Defender.

Questions

Réponses

Comment faire obtenir les mises à jour de Defender Experts dans Sentinel ?

Si vous avez activé le connecteur de données entre Microsoft Defender XDR et Microsoft Sentinel, les mises à jour apportées par les experts Defender dans Defender aux incidents sont synchronisées avec Microsoft Sentinel. En savoir plus.

Les champs Affecté à, État et Classification dans Microsoft Defender XDR incidents sont mappés aux champs correspondants dans Sentinel, à savoir Propriétaire, État et Raison de la fermeture.

Comment faire obtenir les mises à jour de Defender Experts dans Sentinel pour déclencher automatiquement un playbook ?

Pour obtenir les mises à jour de Defender Experts, commencez par configurer des règles d’automatisation dans Sentinel qui sont déclenchées avec les mises à jour de Defender Experts suivantes :

Lorsque le champ Propriétaire dans Microsoft Sentinel est mis à jour vers Defender Experts ou Customer.
Lorsque le champ État de Microsoft Sentinel est mis à jour en Actif ou Fermé, ce qui correspond à Microsoft Defender XDR Étatactif et en cours, respectivement.
Lorsque la balise Sentinel en attente d’action client est ajoutée, ce qui correspond à Microsoft Defender XDR ÉtatEn attente d’action client.

Ensuite, configurez des playbooks dans Microsoft Sentinel pour synchroniser automatiquement les mises à jour des incidents ou envoyer des notifications d’incident dans d’autres applications.

Envoyez un e-mail, un message Teams ou un message Slack à votre équipe SOC lorsqu’un analyste Defender Experts est affecté à un incident.
Envoyez un SMS ou un appel téléphonique via Azure Communications Services ou le connecteur Twilio à votre responsable SOC lorsque Defender Experts publie une action de réponse pour votre équipe.
Create une tâche ou un ticket dans des applications telles qu’Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. pour votre équipe des opérations informatiques.

Comment accéder aux actions de réponse managées publiées par Defender Experts à partir de Sentinel ?

Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Propriétaire est automatiquement mis à jour en Client et l’étiquette En attente d’action client est disponible dans Sentinel. Vous pouvez utiliser ces modifications de champ comme déclencheur pour examiner le panneau de réponse managée pour l’incident correspondant dans le portail Microsoft Defender.

Dans les applications SIEM, SOAR ou ITSM tierces

Questions	Réponses
Comment faire obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR pour les synchroniser avec des applications tierces de gestion des informations et des événements de sécurité (SIEM), d’orchestration de sécurité, d’automatisation et de réponse (SOAR) ou de gestion des services informatiques (ITSM) ?	Vous pouvez obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR via l’API de sécurité Graph (microsoft.graph.security.incident). Pour lancer le processus de synchronisation : Établissez le mappage entre les champs dans Microsoft Defender XDR et les champs correspondants dans l’application souhaitée. Déterminez si la synchronisation doit être unidirectionnelle ou bidirectionnelle et vérifiez que l’autre application le prend en charge. Développez, testez et déployez votre intégration de synchronisation. Dans la plupart des cas, il est recommandé d’interroger régulièrement le API de sécurité Graph toutes les minutes environ pour case activée les mises à jour. Vérifiez régulièrement que le mappage de champs est à jour.
Puis-je synchroniser des actions de réponse managées publiées par Defender Experts dans Microsoft Defender portail avec des applications SIEM, SOAR ou ITSM tierces ?	Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Affecté à est remplacé par Client et le champ État est mis à jour en Action client en attente. Vous pouvez synchroniser ces champs via le API de sécurité Graph, puis utiliser ces modifications comme déclencheur pour passer en revue les actions de réponse managées dans le portail Microsoft Defender. Les actions de réponse managées devraient être disponibles dans le API de sécurité Graph plus tard cette année, à quel moment il sera possible de les synchroniser avec vos applications tierces.

Questions

Réponses

Comment faire obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR pour les synchroniser avec des applications tierces de gestion des informations et des événements de sécurité (SIEM), d’orchestration de sécurité, d’automatisation et de réponse (SOAR) ou de gestion des services informatiques (ITSM) ?

Vous pouvez obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR via l’API de sécurité Graph (microsoft.graph.security.incident).

Pour lancer le processus de synchronisation :

Établissez le mappage entre les champs dans Microsoft Defender XDR et les champs correspondants dans l’application souhaitée. Déterminez si la synchronisation doit être unidirectionnelle ou bidirectionnelle et vérifiez que l’autre application le prend en charge.
Développez, testez et déployez votre intégration de synchronisation. Dans la plupart des cas, il est recommandé d’interroger régulièrement le API de sécurité Graph toutes les minutes environ pour case activée les mises à jour.
Vérifiez régulièrement que le mappage de champs est à jour.

Puis-je synchroniser des actions de réponse managées publiées par Defender Experts dans Microsoft Defender portail avec des applications SIEM, SOAR ou ITSM tierces ?

Une fois que les experts Defender ont publié des actions de réponse managées pour un incident dans votre portail Microsoft Defender, le champ Affecté à est remplacé par Client et le champ État est mis à jour en Action client en attente. Vous pouvez synchroniser ces champs via le API de sécurité Graph, puis utiliser ces modifications comme déclencheur pour passer en revue les actions de réponse managées dans le portail Microsoft Defender.

Les actions de réponse managées devraient être disponibles dans le API de sécurité Graph plus tard cette année, à quel moment il sera possible de les synchroniser avec vos applications tierces.

Dans d’autres services de communication

Questions	Réponses
Puis-je obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR par e-mail ?	Une fois qu’un analyste Defender Experts publie les actions de réponse recommandées à un incident, vos contacts d’incident désignés reçoivent une notification par e-mail correspondante aux adresses e-mail spécifiées dans Paramètres Contacts> denotificationDefender Experts> dans votre portail Microsoft Defender. En outre, vous pouvez configurer une application logique pour envoyer automatiquement toutes les mises à jour d’incident à vos adresses e-mail désignées.
Puis-je obtenir les mises à jour de Defender Experts à partir de Microsoft Defender XDR dans Microsoft Teams ?	Une fonctionnalité de conversation bidirectionnel est accessible via le panneau volant réponse managée d’un incident dans votre portail Microsoft Defender. En outre, vous pouvez configurer une application logique pour envoyer automatiquement toutes les mises à jour d’incident à vos adresses e-mail désignées.
Puis-je obtenir des mises à jour de Defender Experts à partir de Microsoft Defender XDR sous forme de mises à jour par SMS ou d’appels téléphoniques, ou dans des services de communication tiers tels que Slack ?	Vous pouvez configurer une application logique pour envoyer des notifications à partir de services de communication tels que Slack, Twilio, Azure Communication Services, etc.

Voir aussi

Détection et réponse managées

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.