הבנה וניהול של עדכוני אירועים של Defender Experts for XDR

מאמר
07/04/2024

חל על:

Microsoft Defender XDR

הסעיף הבא מפרט שאלות שייתכן שיש לצוות SOC בנוגע לקבלת הודעות על אירועים.

ב- API של פורטל Microsoft Defender ואבטחה של Graph

שאלות	תשובות
כיצד אוכל לדעת אם אנליסט של Defender Experts התחיל לעבוד על מקרה?	כאשר אנליסט Defender Experts מתחיל לעבוד על מקרה, השדה מוקצה ל של האירוע מתעדכן ל- Defender Experts.
כיצד אוכל לדעת אם אנליסט של Defender Experts פתר מקרה?	כאשר אנליסט Defender Experts פתר מקרה, השדה 'מצב' של האירוע מתעדכן ל'נפתר'.
כיצד אוכל לדעת איזו מסקנה הובילה אנליסט של Defender Experts כדי לפתור תקרית?	כאשר אנליסטים של Defender Experts פותרים מקרה, הם משנה את שדות הסיווג והה קביעה של האירוע ומספקים סיכום תמציתי במקטע ההערות שלו. אם מקרה מסווג כ'חיובי אמיתי', סיכום מקיף של 'חקירה' מופיע בלוח הנשלף של התגובה המנוהלת בפורטל Microsoft Defender.
כיצד אוכל לדעת אילו פעולות אנליסט Defender Experts ביצע בדייר שלי בעת חקירת מקרה?	עבור כל מקרה שהוא חוקר, אנליסט Defender Experts מסכם את כל הפעולות שהוא ביצע בתוך הדייר שלך בסיכום החקירה של המקרה הממוקם בלוח הנשלף של התגובה המנוהלת בפורטל Microsoft Defender שלך. באפשרותך גם לאחזר מידע אודות פעולות אלה ואת הזמנים שבהם הם התחברו לדייר שלך, על-ידי חיפוש ביומני הביקורת שלך בפורטל התאימות של Microsoft Purview או באמצעות ה- API של פעילות הניהול של Office 365.
כיצד אוכל לדעת אם אנליסט Defender Experts שלח פעולות תגובה עבור צוות SOC שלי?	אנליסט Defender Experts מפרסם את פעולות התגובה שהם ממליצים לצוות SOC שלך לבצע באירוע בלוח הנשלף של תגובה מנוהלת של אירוע בפורטל Microsoft Defender. בשלב זה, השדה מוקצה לתקרית מתעדכן ללקוח והמצבשלו מתעדכן לפעולת ממתין ללקוח. אנשי הקשר של האירוע שלך,> אשר יייעדת באנשי קשר של הודעותשל Settings Defender Experts> בפורטל Microsoft Defender שלך, מקבלים גם הם הודעת דואר אלקטרוני תואמת אם קיימות פעולות תגובה הדורשות את תשומת לבך. תקבל גם הודעות Teams אם הגדרת אותה ב-Settings>Defender Experts>Teams בפורטל Microsoft Defender שלך.
כיצד ניתן לשאול שאלות אנליסטיות של Defender Experts לגבי חקירה או פעולת תגובה?	לאחר שמנתח Defender Experts מפרסם את סיכום החקירה שלו ופעולות תגובה מומלצות בלוח הנשלף של התגובה המנוהלת של אירוע חיובי אמיתי, באפשרותך להשתמש בכרטיסיה צ'אט באותו לוח כדי לשאול את צוות Defender Experts שאלות לגבי המקרה והחקירה שלו. לחלופין, אנשי הקשר הייעודיים שלך לתקריות יכולים להגיב ישירות ל-Teams או להודעת הדואר האלקטרוני שהם קיבלו ממומחים של Defender כדי לשאול כל שאלה שעשויה להיות לך.
כיצד אוכל לדעת אילו אירועים כוללים פעולות תגובה ממתינות?	כרטיס Defender Experts בדף הבית של פורטל Microsoft Defender שלך כולל קישור המציג הודעה (לדוגמה, 3 אירועים הממתינים לפעולה שלך). בחירה בקישור זה תפנה אותך לרשימת אירועים מסוננים שדורשים את תשומת לבך באופן ספציפי. באפשרותך לסנן את תור האירועים בפורטל Microsoft Defender על-ידי בחירה באפשרות מוקצה ללקוח או למצבכממתין לפעולת הלקוח.

ב- Microsoft Sentinel

שאלות	תשובות
כיצד ניתן לקבל עדכונים של Defender Experts ב- Sentinel?	אם הפעלת את מחבר הנתונים בין Microsoft Defender XDR ל- Microsoft Sentinel, עדכונים שבוצעו על-ידי Defender Experts ב- Defender לתקריות מסונכרנים עם Microsoft Sentinel. למידע נוסף. השדות Assigned to, Status ו- Classification באירועי XDR של Microsoft Defender ממופים לשדות המתאימים ב- Sentinel, שם הבעלים, המצב והסיבה לסיום.
כיצד ניתן לקבל עדכונים של Defender Experts ב- Sentinel כדי להפעיל ספר הפעלות באופן אוטומטי?	כדי לקבל עדכונים של Defender Experts, הגדר תחילה כללי אוטומציה ב- Sentinel המופעלים באמצעות העדכונים הבאים של Defender Experts: כאשר השדה 'בעלים ' ב- Microsoft Sentinel מתעדכן ל- Defender Experts אוללקוח. כאשר השדה מצב ב- Microsoft Sentinel מתעדכן לפעיל או סגור, התואם למצב XDR פעיל של Microsoft Defender ולמצב 'מתבצע' בהתאמה. כאשר תג Sentinelממתין לפעולת הלקוח נוסף, אשר תואם למצב XDR של Microsoft Defender ממתיןלפעולת הלקוח. לאחר מכן, הגדר ספרי הפעלות ב- Microsoft Sentinel כדי לסנכרן באופן אוטומטי עדכוני אירועים או לשלוח הודעות מקרה לאפליקציות אחרות. שלח דואר אלקטרוני, או הודעת Teams, או הודעת מרווח לצוות SOC כאשר אנליסט Defender Experts מוקצה לתקרית. שלח SMS או שיחת טלפון באמצעות Azure Communications Services או מחבר Twilio אל הפניה ל- SOC כאשר Defender Experts מפרסם פעולת תגובה עבור הצוות שלך. צור משימה או כרטיס באפליקציות כגון Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty וכדומה עבור צוות מבצעים ה- IT שלך.
כיצד ניתן לגשת לפעולות תגובה מנוהלות שפורסמו על-ידי Defender Experts מ- Sentinel?	לאחר ש- Defender Experts מפרסמים פעולות תגובה מנוהלות עבור אירוע בפורטל Microsoft Defender שלך, השדה 'בעלים' מתעדכן ללקוח באופן אוטומטי, ותגית ממתין לפעולת הלקוח זמינה ב- Sentinel. באפשרותך להשתמש בשינויי שדות אלה כגורם מפעיל כדי לסקור את לוח התגובה המנוהל עבור המקרה המתאים בפורטל Microsoft Defender.

שאלות

תשובות

כיצד ניתן לקבל עדכונים של Defender Experts ב- Sentinel?

אם הפעלת את מחבר הנתונים בין Microsoft Defender XDR ל- Microsoft Sentinel, עדכונים שבוצעו על-ידי Defender Experts ב- Defender לתקריות מסונכרנים עם Microsoft Sentinel. למידע נוסף.

השדות Assigned to, Status ו- Classification באירועי XDR של Microsoft Defender ממופים לשדות המתאימים ב- Sentinel, שם הבעלים, המצב והסיבה לסיום.

כיצד ניתן לקבל עדכונים של Defender Experts ב- Sentinel כדי להפעיל ספר הפעלות באופן אוטומטי?

כדי לקבל עדכונים של Defender Experts, הגדר תחילה כללי אוטומציה ב- Sentinel המופעלים באמצעות העדכונים הבאים של Defender Experts:

כאשר השדה 'בעלים ' ב- Microsoft Sentinel מתעדכן ל- Defender Experts אוללקוח.
כאשר השדה מצב ב- Microsoft Sentinel מתעדכן לפעיל או סגור, התואם למצב XDR פעיל של Microsoft Defender ולמצב 'מתבצע' בהתאמה.
כאשר תג Sentinelממתין לפעולת הלקוח נוסף, אשר תואם למצב XDR של Microsoft Defender ממתיןלפעולת הלקוח.

לאחר מכן, הגדר ספרי הפעלות ב- Microsoft Sentinel כדי לסנכרן באופן אוטומטי עדכוני אירועים או לשלוח הודעות מקרה לאפליקציות אחרות.

שלח דואר אלקטרוני, או הודעת Teams, או הודעת מרווח לצוות SOC כאשר אנליסט Defender Experts מוקצה לתקרית.
שלח SMS או שיחת טלפון באמצעות Azure Communications Services או מחבר Twilio אל הפניה ל- SOC כאשר Defender Experts מפרסם פעולת תגובה עבור הצוות שלך.
צור משימה או כרטיס באפליקציות כגון Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty וכדומה עבור צוות מבצעים ה- IT שלך.

כיצד ניתן לגשת לפעולות תגובה מנוהלות שפורסמו על-ידי Defender Experts מ- Sentinel?

לאחר ש- Defender Experts מפרסמים פעולות תגובה מנוהלות עבור אירוע בפורטל Microsoft Defender שלך, השדה 'בעלים' מתעדכן ללקוח באופן אוטומטי, ותגית ממתין לפעולת הלקוח זמינה ב- Sentinel. באפשרותך להשתמש בשינויי שדות אלה כגורם מפעיל כדי לסקור את לוח התגובה המנוהל עבור המקרה המתאים בפורטל Microsoft Defender.

באפליקציות של ספקים חיצוניים SIEM, SOAR או ITSM

שאלות	תשובות
כיצד ניתן לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR לסינכרון עם מידע אבטחה וניהול אירועים של ספקים חיצוניים (SIEM), תזמור אבטחה, אוטומציה ותגובה (SOAR) או אפליקציות של ניהול שירותי IT (ITSM)?	באפשרותך לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR באמצעות ה- API של אבטחת Graph (microsoft.graph.security.incident). כדי ליזום את תהליך הסינכרון: צור את המיפוי בין שדות ב- Microsoft Defender XDR לבין השדות המתאימים ביישום הרצוי. קבע אם על הסינכרון להיות חד-כיווני או דו-כיווני וודא שהיישום האחר תומך ב- זה. פתח, בדוק ופרוס את שילוב הסינכרון שלך. ברוב המקרים, מומלץ לתשאל מעת לעת את ה- API של אבטחת Graph מדי דקה בערך כדי לבדוק אם קיימים עדכונים. אמת מעת לעת שמיפוי השדות מעודכן.
האם ניתן לסנכרן פעולות תגובה מנוהלות שפורסמו על-ידי Defender Experts בפורטל Microsoft Defender לאפליקציות SIEM, SOAR או ITSM של ספקים חיצוניים?	לאחר ש- Defender Experts מפרסמים פעולות תגובה מנוהלות עבור אירוע בפורטל Microsoft Defender, השדה מוקצה ל משתנה ללקוח, ושדה המצב מתעדכן לפעולת הלקוח הממתינת. באפשרותך לסנכרן שדות אלה באמצעות ה- API של אבטחת Graph ולאחר מכן להשתמש בשינויים אלה כגורם מפעיל כדי לסקור את פעולות התגובה המנוהלות בפורטל Microsoft Defender. פעולות תגובה מנוהלות צפויות להיות זמינות ב- API של אבטחת Graph בהמשך השנה, ולאחר מכן ניתן יהיה לסנכרן אותן עם אפליקציות של ספקים חיצוניים.

שאלות

תשובות

כיצד ניתן לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR לסינכרון עם מידע אבטחה וניהול אירועים של ספקים חיצוניים (SIEM), תזמור אבטחה, אוטומציה ותגובה (SOAR) או אפליקציות של ניהול שירותי IT (ITSM)?

באפשרותך לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR באמצעות ה- API של אבטחת Graph (microsoft.graph.security.incident).

כדי ליזום את תהליך הסינכרון:

צור את המיפוי בין שדות ב- Microsoft Defender XDR לבין השדות המתאימים ביישום הרצוי. קבע אם על הסינכרון להיות חד-כיווני או דו-כיווני וודא שהיישום האחר תומך ב- זה.
פתח, בדוק ופרוס את שילוב הסינכרון שלך. ברוב המקרים, מומלץ לתשאל מעת לעת את ה- API של אבטחת Graph מדי דקה בערך כדי לבדוק אם קיימים עדכונים.
אמת מעת לעת שמיפוי השדות מעודכן.

האם ניתן לסנכרן פעולות תגובה מנוהלות שפורסמו על-ידי Defender Experts בפורטל Microsoft Defender לאפליקציות SIEM, SOAR או ITSM של ספקים חיצוניים?

לאחר ש- Defender Experts מפרסמים פעולות תגובה מנוהלות עבור אירוע בפורטל Microsoft Defender, השדה מוקצה ל משתנה ללקוח, ושדה המצב מתעדכן לפעולת הלקוח הממתינת. באפשרותך לסנכרן שדות אלה באמצעות ה- API של אבטחת Graph ולאחר מכן להשתמש בשינויים אלה כגורם מפעיל כדי לסקור את פעולות התגובה המנוהלות בפורטל Microsoft Defender.

פעולות תגובה מנוהלות צפויות להיות זמינות ב- API של אבטחת Graph בהמשך השנה, ולאחר מכן ניתן יהיה לסנכרן אותן עם אפליקציות של ספקים חיצוניים.

בשירותים אחרים של תקשורת

שאלות	תשובות
האם ניתן לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR בדואר אלקטרוני?	לאחר שננתח Defender Experts מפרסם פעולות תגובה מומלצות באירוע, > אנשי הקשר המיועדים לתקריות יקבלו הודעת דואר אלקטרוני תואמת לכתובות הדואר האלקטרוני שצוינו בהגדרות אנשי קשר של הודעותמומחי Defender> בפורטל Microsoft Defender שלך. בנוסף, באפשרותך לקבוע תצורה של יישום לוגי כדי לשלוח את כל עדכוני האירועים אל כתובות הדואר האלקטרוני הייעודיות שלך באופן אוטומטי.
האם אוכל לקבל עדכונים של Defender Experts מ- Microsoft Defender XDR ב- Microsoft Teams?	פונקציונליות של צ'אט דו-כיווני נגישה באמצעות לוח נשלף של תגובה מנוהלת של אירוע בפורטל Microsoft Defender. בנוסף, אתה מקבל הודעות כאשר תגובה מנוהלת מתפרסמת ובאפשרותך לבצע שיחות צ'אט בזמן אמת עם Defender Experts ישירות בתוך Microsoft Teams. קבל מידע נוסף על הגדרת Teams
האם ניתן לקבל עדכונים ל- Defender Experts מ- Microsoft Defender XDR בתור עדכוני SMS או שיחת טלפון, או בשירותי תקשורת של ספקים חיצוניים, כגון Slack?	באפשרותך לקבוע תצורה של יישום לוגי לשם כך כדי לשלוח הודעות מתוך שירותי תקשורת כגון Slack, Twilio, Azure Communication Services וכן הלאה.

למידע נוסף

זיהוי ותגובה מנוהלים

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

שתף באמצעות