Forstå og administrere Defender-eksperter for XDR-hendelsesoppdateringer

Artikkel
10/30/2024

Gjelder for:

Microsoft Defender XDR

Den følgende delen viser spørsmål som SOC-teamet ditt kan ha angående mottak av hendelsesvarsler.

I Microsoft Defender Portal og Graph Security API

Spørsmål	Svar
Hvordan vet jeg om en Defender Experts-analytiker har begynt å jobbe med en hendelse?	Når en Defender Experts-analytiker begynner å jobbe med en hendelse, oppdateres hendelsens Tilordnet til-feltet til Defender Experts.
Hvordan vet jeg om en Defender Experts-analytiker har løst en hendelse?	Når en Defender Experts-analytiker har løst en hendelse, oppdateres statusfeltet for hendelsen til Løst.
Hvordan vet jeg hvilken konklusjon som fikk en Defender Experts-analytiker til å løse en hendelse?	Når Defender Experts-analytikere løser en hendelse, endrer de hendelsens klassifiserings- og besluttsomhetsfelt og gir et kortfattet sammendrag i kommentardelen . Hvis en hendelse klassifiseres som en sann positiv, vises et omfattende undersøkelsessammendrag i undermenyen Administrert svar i Microsoft Defender-portalen.
Hvordan vet jeg hvilke handlinger en Defender Experts-analytiker tok i leieren min når jeg undersøkte en hendelse?	For hver hendelse de undersøker, oppsummerer Defender Experts-analytikeren alle handlinger de utførte i leieren din i hendelsens undersøkelsessammendrag plassert i undermenyen for administrert respons i Microsoft Defender-portalen. Du kan også hente informasjon om disse handlingene, og tidspunktene de logget på leieren, ved å søke i overvåkingsloggene dine enten i samsvarsportalen for Microsoft Purview eller gjennom API-en for administrasjonsaktivitet for Office 365.
Hvordan vet jeg om en Defender Experts-analytiker har sendt svarhandlinger til SOC-teamet mitt?	Defender Experts-analytikeren publiserer svarhandlingene de anbefaler SOC-teamet ditt til å utføre på en hendelse i undermenyen for administrert respons i Microsoft Defender-portalen. På dette tidspunktet oppdateres hendelsens Tilordnet til-felt til Kunde , og statusen oppdateres til Venter på kundehandling. Hendelseskontaktene dine, som du har angitt iKontakter forDefender-eksperter>> i Microsoft Defender-portalen, mottar også et tilsvarende e-postvarsel hvis det finnes svarhandlinger som krever din oppmerksomhet. Du vil også motta et Teams-varsel hvis du har konfigurert det i Settings>Defender Experts>Teams i Microsoft Defender-portalen.
Hvordan stiller jeg en Defender Experts-analytiker spørsmål om en undersøkelse eller responshandling?	Når en Defender Experts-analytiker publiserer undersøkelsessammendraget og anbefalte responshandlinger i undermenyen for administrert respons i en sann positiv hendelse, kan du bruke Chat-fanen i samme panel til å stille Defender Experts-teamet spørsmål om hendelsen og deres undersøkelse. Alternativt kan de angitte hendelseskontaktene svare direkte på Teams eller e-postvarslingen de mottok fra Defender-eksperter, for å stille spørsmål du måtte ha.
Hvordan vet jeg hvilke hendelser som har ventende responshandlinger?	Defender Experts-kortet på hjemmesiden for Microsoft Defender-portalen inneholder en kobling som viser en melding (for eksempel tre hendelser som venter på din handling). Hvis du velger denne koblingen, blir du omdirigert til en filtrert liste over hendelser som krever din oppmerksomhet. Du kan filtrere hendelseskøen i Microsoft Defender-portalen ved å velge Tilordnet som kunde eller Status som venter på kundehandling.

I Microsoft Sentinel

Spørsmål	Svar
Hvordan får jeg Defender Experts-oppdateringer i Sentinel?	Hvis du har aktivert datakoblingen mellom Microsoft Defender XDR og Microsoft Sentinel, synkroniseres oppdateringer gjort av Defender-eksperter i Defender til hendelser med Microsoft Sentinel. Finn ut mer. Feltene Tilordnet til, Status og Klassifisering i Microsoft Defender XDR-hendelser tilordnes de tilsvarende feltene i Sentinel, nemlig Eier, Status og Årsak til lukking.
Hvordan får jeg Defender Experts-oppdateringer i Sentinel til å utløse en strategiplan automatisk?	For å få Defender Experts-oppdateringer må du først konfigurere automatiseringsregler i Sentinel som utløses med følgende Defender Experts-oppdateringer: Når Eier-feltet i Microsoft Sentinel oppdateres til Defender-eksperter eller -kunde. Når Status-feltet i Microsoft Sentinel oppdateres til Aktiv eller Lukket, som tilsvarer henholdsvis Microsoft Defender XDR StatusActive og In Progress . Når Sentinel-merkesom venter på kundehandling , legges det til, som tilsvarer Microsoft Defender XDR-statussom venter på kundehandling. Deretter konfigurerer du strategibøker i Microsoft Sentinel til automatisk å synkronisere hendelsesoppdateringer eller sende hendelsesvarsler til andre apper. Send e-post eller Teams-melding, eller Slack-melding til SOC-teamet ditt når en Defender Experts-analytiker er tilordnet til en hendelse. Send SMS eller telefonsamtale via Azure Communications Services eller Twilio-kobling til SOC-kundeemnet når Defender Experts publiserer responshandling for teamet ditt. Opprett en oppgave eller billett i apper som Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty osv. for IT Ops-teamet.
Hvordan får jeg tilgang til handlinger for administrert respons publisert av Defender Experts fra Sentinel?	Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft Defender-portalen, oppdateres Eier-feltet automatisk til Kunde , og koden Venter på kundehandling er tilgjengelig i Sentinel. Du kan bruke disse feltendringene som en utløser for å se gjennom det administrerte svarpanelet for den tilsvarende hendelsen i Microsoft Defender-portalen.

Spørsmål

Svar

Hvordan får jeg Defender Experts-oppdateringer i Sentinel?

Hvis du har aktivert datakoblingen mellom Microsoft Defender XDR og Microsoft Sentinel, synkroniseres oppdateringer gjort av Defender-eksperter i Defender til hendelser med Microsoft Sentinel. Finn ut mer.

Feltene Tilordnet til, Status og Klassifisering i Microsoft Defender XDR-hendelser tilordnes de tilsvarende feltene i Sentinel, nemlig Eier, Status og Årsak til lukking.

Hvordan får jeg Defender Experts-oppdateringer i Sentinel til å utløse en strategiplan automatisk?

For å få Defender Experts-oppdateringer må du først konfigurere automatiseringsregler i Sentinel som utløses med følgende Defender Experts-oppdateringer:

Når Eier-feltet i Microsoft Sentinel oppdateres til Defender-eksperter eller -kunde.
Når Status-feltet i Microsoft Sentinel oppdateres til Aktiv eller Lukket, som tilsvarer henholdsvis Microsoft Defender XDR StatusActive og In Progress .
Når Sentinel-merkesom venter på kundehandling , legges det til, som tilsvarer Microsoft Defender XDR-statussom venter på kundehandling.

Deretter konfigurerer du strategibøker i Microsoft Sentinel til automatisk å synkronisere hendelsesoppdateringer eller sende hendelsesvarsler til andre apper.

Send e-post eller Teams-melding, eller Slack-melding til SOC-teamet ditt når en Defender Experts-analytiker er tilordnet til en hendelse.
Send SMS eller telefonsamtale via Azure Communications Services eller Twilio-kobling til SOC-kundeemnet når Defender Experts publiserer responshandling for teamet ditt.
Opprett en oppgave eller billett i apper som Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty osv. for IT Ops-teamet.

Hvordan får jeg tilgang til handlinger for administrert respons publisert av Defender Experts fra Sentinel?

Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft Defender-portalen, oppdateres Eier-feltet automatisk til Kunde , og koden Venter på kundehandling er tilgjengelig i Sentinel. Du kan bruke disse feltendringene som en utløser for å se gjennom det administrerte svarpanelet for den tilsvarende hendelsen i Microsoft Defender-portalen.

I tredjeparts-SIEM-, SOAR- eller ITSM-apper

Spørsmål	Svar
Hvordan får jeg Defender Experts-oppdateringer fra Microsoft Defender XDR til å synkronisere til tredjeparts sikkerhetsinformasjon og hendelsesbehandling (SIEM), sikkerhetsorkestrering, automatisering og respons (SOAR) eller IT-tjenesteadministrasjon (ITSM)-apper?	Du kan få Defender Experts-oppdateringer fra Microsoft Defender XDR gjennom Graph Security API (microsoft.graph.security.incident). Slik starter du synkroniseringsprosessen: Opprett tilordningen mellom feltene i Microsoft Defender XDR og de tilsvarende feltene i det ønskede programmet. Bestem om synkroniseringen skal være uni- eller toveis, og sørg for at det andre programmet støtter det. Utvikle, teste og distribuere synkroniseringsintegrasjonen. I de fleste tilfeller anbefales det å regelmessig undersøke Graph Security-API-en hvert minutt eller så for å se etter oppdateringer. Valider regelmessig at felttilordningen er oppdatert.
Kan jeg synkronisere handlinger for administrert respons publisert av Defender-eksperter i Microsoft Defender-portalen til tredjeparts-SIEM-, SOAR- eller ITSM-apper?	Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft Defender-portalen, endres Tilordnet til-feltet til Kunde , og Status-feltet oppdateres til Venter på kundehandling. Du kan synkronisere disse feltene via Graph Security-API-en og deretter bruke disse endringene som en utløser for å se gjennom handlingene for administrert svar i Microsoft Defender-portalen. Handlinger for administrert svar forventes å være tilgjengelige i Graph Security-API-en senere i år, og da vil det være mulig å synkronisere dem med tredjepartsappene dine.

Spørsmål

Svar

Hvordan får jeg Defender Experts-oppdateringer fra Microsoft Defender XDR til å synkronisere til tredjeparts sikkerhetsinformasjon og hendelsesbehandling (SIEM), sikkerhetsorkestrering, automatisering og respons (SOAR) eller IT-tjenesteadministrasjon (ITSM)-apper?

Du kan få Defender Experts-oppdateringer fra Microsoft Defender XDR gjennom Graph Security API (microsoft.graph.security.incident).

Slik starter du synkroniseringsprosessen:

Opprett tilordningen mellom feltene i Microsoft Defender XDR og de tilsvarende feltene i det ønskede programmet. Bestem om synkroniseringen skal være uni- eller toveis, og sørg for at det andre programmet støtter det.
Utvikle, teste og distribuere synkroniseringsintegrasjonen. I de fleste tilfeller anbefales det å regelmessig undersøke Graph Security-API-en hvert minutt eller så for å se etter oppdateringer.
Valider regelmessig at felttilordningen er oppdatert.

Kan jeg synkronisere handlinger for administrert respons publisert av Defender-eksperter i Microsoft Defender-portalen til tredjeparts-SIEM-, SOAR- eller ITSM-apper?

Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft Defender-portalen, endres Tilordnet til-feltet til Kunde , og Status-feltet oppdateres til Venter på kundehandling. Du kan synkronisere disse feltene via Graph Security-API-en og deretter bruke disse endringene som en utløser for å se gjennom handlingene for administrert svar i Microsoft Defender-portalen.

Handlinger for administrert svar forventes å være tilgjengelige i Graph Security-API-en senere i år, og da vil det være mulig å synkronisere dem med tredjepartsappene dine.

I andre kommunikasjonstjenester

Spørsmål	Svar
Kan jeg få Defender Experts-oppdateringer fra Microsoft Defender XDR via e-post?	Når en Defender Experts-analytiker publiserer anbefalte responshandlinger til en hendelse, vil de angitte hendelseskontaktene motta en tilsvarende e-postvarsling til e-postadressene som er angitt i Kontakter for Settings>Defender Experts>Notification i Microsoft Defender-portalen. I tillegg kan du konfigurere en Logic App til å sende alle hendelsesoppdateringer til den angitte e-postadressen(e) automatisk.
Kan jeg få Defender Experts-oppdateringer fra Microsoft Defender XDR i Microsoft Teams?	En toveis chatfunksjonalitet er tilgjengelig via et undermenypanel for administrert respons for en hendelse i Microsoft Defender-portalen. I tillegg får du varsler når et administrert svar publiseres og kan delta i chatsamtaler i sanntid med Defender-eksperter direkte i Microsoft Teams. Finn ut mer om hvordan du konfigurerer Teams
Kan jeg få Defender Experts-oppdateringer fra Microsoft Defender XDR som SMS- eller telefonsamtaleoppdateringer, eller i tredjeparts kommunikasjonstjenester som Slack?	Du kan konfigurere en Logic App til å gjøre dette for å sende varsler fra kommunikasjonstjenester som Slack, Twilio, Azure Communication Services osv.

Se også

Administrert gjenkjenning og svar

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.

Del via