Az XDR-incidensfrissítésekhez készült Defender-szakértők ismertetése és kezelése
Érintett szolgáltatás:
A következő szakasz felsorolja azokat a kérdéseket, amelyek az SOC-csapatnak az incidensértesítések fogadásával kapcsolatban merülhetnek fel.
A Microsoft Defender portalon és a Graph Biztonság
| Kérdések | Válaszok |
|---|---|
| Hogyan tudja, hogy egy Defender-szakértők elemzője elkezdett-e dolgozni egy incidensen? | Amikor egy Defender-szakértők elemzője elkezd dolgozni egy incidensen, az incidens hozzárendelt mezője a Defender-szakértőkre frissül. |
| Hogyan tudja, hogy egy Defender-szakértők elemzője megoldotta-e az incidenst? | Ha egy Defender-szakértők elemzője megoldott egy incidenst, az incidens Állapota mezője a Megoldva állapotra frissül. |
| Hogyan tudja, milyen következtetés vezetett a Defender-szakértők elemzőihez egy incidens megoldásához? | Amikor a Defender-szakértők elemzői feloldanak egy incidenst, módosítják az incidens Besorolás és meghatározás mezőit, és tömör összefoglalást adnak a Megjegyzések szakaszban. Ha egy incidens valódi pozitívként van besorolva, a Microsoft Defender portál Felügyelt válasz úszó paneljén megjelenik egy átfogó vizsgálat összefoglalása. |
| Hogyan tudja, milyen műveleteket végzett egy Defender-szakértők elemzője a bérlőben egy incidens kivizsgálásakor? | A Defender szakértői elemzője minden általuk vizsgált incidens esetében összefoglalja a bérlőn végrehajtott műveleteket az incidens vizsgálatának összefoglalásában, amely a Microsoft Defender portál Felügyelt válasz úszó paneljén található. A műveletekkel és a bérlőbe való bejelentkezésük idejével kapcsolatos információkat is lekérheti az auditnaplókban a Microsoft Purview megfelelőségi portál vagy a Office 365 Management Activity API-n keresztül. |
| Hogyan tudja, hogy egy Defender-szakértők elemzője küldött-e válaszműveleteket az SOC-csapatomnak? | A Defender-szakértők elemzője közzéteszi azokat a válaszműveleteket, amelyeket az SOC-csapatnak javasolnak, hogy hajtsanak végre egy incidenst egy incidens felügyelt válasz úszó paneljén a Microsoft Defender portálon. Az incidens Hozzárendelve mezője ekkor frissül az Ügyfélre , az Állapota pedig az Ügyfélműveletre vár. Az incidensek névjegyei, amelyeket a Beállítások>Defender szakértői>értesítési kapcsolattartói között jelölt ki a Microsoft Defender portálon, szintén kapnak egy megfelelő e-mail-értesítést, ha vannak olyan válaszműveletek, amelyek beavatkozást igényelnek. Teams-értesítéseket is kapni fog, ha beállította azt a Beállítások>Defender-szakértők>csapataiban a Microsoft Defender portálon. |
| Hogyan a Defender-szakértők elemzőinek kérdéseit feltenni egy vizsgálat vagy válaszművelet kapcsán? | Miután egy Defender-szakértők elemzője közzétette a vizsgálat összefoglalását és az ajánlott válaszműveleteket egy Valódi pozitív incidens felügyelt válasz úszó paneljén, az ugyanazon a panelen található Csevegés lapon kérdéseket tehet fel a Defender-szakértők csapatának az incidenssel és a vizsgálatukkal kapcsolatban. Azt is megteheti, hogy a kijelölt incidensek kapcsolattartói közvetlenül válaszolnak a Teamsre vagy a Defender-szakértőktől kapott e-mail-értesítésre, hogy felteszhessenek önnek bármilyen kérdést. |
| Hogyan tudja, hogy mely incidensek rendelkeznek függőben lévő válaszműveletekkel? | A defender-szakértők kártya a Microsoft Defender portál kezdőlapján tartalmaz egy hivatkozást, amely egy üzenetet jelenít meg (például 3 incidens, amely a műveletre vár). Ha ezt a hivatkozást választja, a kifejezetten figyelmet igénylő incidensek szűrt listájára irányítja. Az incidenssort a Microsoft Defender portálon szűrheti, ha a Felelősügyfélként vagy állapotkéntügyfélműveletre vár lehetőséget választja. |
A Microsoft Sentinelben
| Kérdések | Válaszok |
|---|---|
| Hogyan Defender-szakértők frissítéseit a Sentinelben? | Ha engedélyezte az adatösszekötőt a Microsoft Defender XDR és a Microsoft Sentinel között, a Defender szakértői által az incidensekre vonatkozó Defender-frissítések szinkronizálódnak a Microsoft Sentinellel. További információ. Az incidensek hozzárendelt, állapot- és besorolási mezői Microsoft Defender XDR incidensekben a Sentinel megfelelő mezőire vannak leképezve, nevezetesen a Tulajdonos, az Állapot és a Lezárás oka mezőkre. |
| Hogyan Defender-szakértők frissítéseit a Sentinelben, hogy automatikusan aktiváljon egy forgatókönyvet? | A Defender-szakértők frissítéseinek beszerzéséhez először állítson be automatizálási szabályokat a Sentinelben, amelyek a következő Defender-szakértők frissítéseivel aktiválódnak:
|
| Hogyan érhetem el a Defender szakértői által a Sentinelből közzétett felügyelt válaszműveleteket? | Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Tulajdonos mező automatikusan frissül az Ügyfélre, és az Ügyfélműveletre vár címke elérhető a Sentinelben. Ezeket a mezőmódosításokat eseményindítóként használhatja a megfelelő incidens felügyelt válaszpaneljének áttekintéséhez a Microsoft Defender portálon. |
Külső SIEM-, SOAR- vagy ITSM-alkalmazásokban
| Kérdések | Válaszok |
|---|---|
| Hogyan a Defender-szakértők frissítéseit a Microsoft Defender XDR- és a külső biztonsági információk és események kezelése (SIEM), a biztonsági vezénylés, az automatizálás és a reagálás (SOAR) vagy az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokba való szinkronizáláshoz? | A Defender-szakértők frissítéseit Microsoft Defender XDR a Graph Biztonság (microsoft.graph.security.incident) segítségével szerezheti be. A szinkronizálási folyamat kezdeményezése:
|
| Szinkronizálhatom a Defender szakértői által Microsoft Defender portálon közzétett felügyelt válaszműveleteket külső SIEM-, SOAR- vagy ITSM-alkalmazásokba? | Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Hozzárendelt mező Ügyfélre változik, az Állapot mező pedig Az ügyfélműveletre vár. Ezeket a mezőket a Graph Biztonság szinkronizálhatja, majd ezeket a módosításokat eseményindítóként használhatja a felügyelt válaszműveletek áttekintéséhez a Microsoft Defender portálon. A felügyelt válaszműveletek várhatóan az év későbbi részében lesznek elérhetők a Graph Biztonság, és ekkor szinkronizálhatók lesznek a külső alkalmazásokkal. |
Más kommunikációs szolgáltatásokban
| Kérdések | Válaszok |
|---|---|
| Kaphatok Defender-szakértőknek frissítéseket Microsoft Defender XDR e-mailben? | Miután a Defender-szakértők elemzője közzétette a javasolt válaszműveleteket egy incidensben, a kijelölt incidens kapcsolattartói e-mail-értesítést kapnak a Beállítások>Defender-szakértők>értesítési kapcsolattartói a Microsoft Defender portálon megadott e-mail-címekre. Emellett úgy is konfigurálhat egy logikai alkalmazást , hogy az összes incidensfrissítést automatikusan elküldje a kijelölt e-mail-címre(ok)ra. |
| Kaphatok Defender-szakértőknek frissítéseket Microsoft Defender XDR a Microsoft Teamsben? | A kétirányú csevegési funkciók az incidens felügyelt válasz úszó paneljén érhetők el a Microsoft Defender portálon. Emellett értesítéseket is kap egy felügyelt válasz közzétételekor, és közvetlenül a Microsoft Teamsen belül folytathat valós idejű csevegéseket a Defender szakértőivel. További információ a Teams beállításáról |
| Kaphatok Defender-szakértőknek frissítéseket Microsoft Defender XDR SMS- vagy telefonhívás-frissítésként, vagy külső kommunikációs szolgáltatásokban, például a Slackben? | Konfigurálhat egy logikai alkalmazást úgy, hogy értesítéseket küldjön olyan kommunikációs szolgáltatásokból, mint a Slack, a Twilio, a Azure Communication Services stb. |
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: