Forstå og administrere Defender-eksperter for XDR-hendelsesoppdateringer

Gjelder for:

Den følgende delen viser spørsmål som SOC-teamet ditt kan ha angående mottak av hendelsesvarsler.

I Microsoft 365 Defender portal og Graph Security-API

Spørsmål Svar
Hvordan vite om en Defender Experts-analytiker har begynt å jobbe med en hendelse? Når en Defender Experts-analytiker begynner å jobbe med en hendelse, oppdateres hendelsens Tilordnet til-feltet til Defender Experts.
Hvordan vet om en Defender Experts-analytiker har løst en hendelse? Når en Defender Experts-analytiker har løst en hendelse, oppdateres statusfeltet for hendelsen til Løst.
Hvordan vet hvilken konklusjon som fikk en Defender Experts-analytiker til å løse en hendelse? Når Defender Experts-analytikere løser en hendelse, endrer de hendelsens klassifiserings- og besluttsomhetsfelt og gir et kortfattet sammendrag i kommentardelen .

Hvis en hendelse klassifiseres som en sann positiv, vises et omfattende undersøkelsessammendrag i undermenyen administrert svar i Microsoft 365 Defender-portalen.
Hvordan vet hvilke handlinger en Defender Experts-analytiker tok i leieren min når jeg etterforsket en hendelse? For hver hendelse de undersøker, oppsummerer Defender Experts-analytikeren alle handlinger de utførte i leieren din i hendelsens undersøkelsessammendrag plassert i undermenyen for administrert respons i Microsoft 365 Defender-portalen.

Du kan også hente informasjon om disse handlingene, og tidspunktene de logget på leieren, ved å søke i overvåkingsloggene enten på Microsoft Purview-samsvarsportal eller gjennom API-en for Office 365 Management Activity.
Hvordan vite om en Defender Experts-analytiker har sendt noen responshandlinger for SOC-teamet mitt? Defender Experts-analytikeren publiserer svarhandlingene de anbefaler SOC-teamet ditt til å utføre på en hendelse i undermenyen for administrert respons i Microsoft 365 Defender-portalen.

På dette tidspunktet oppdateres hendelsens Tilordnet til-felt til Kunde , og statusen oppdateres til Venter på kundehandling.

Hendelseskontaktene dine, som du har angitt i Kontakter for Innstillinger>Defender Experts>Notification-kontakter i Microsoft 365 Defender-portalen, mottar også et tilsvarende e-postvarsel hvis det finnes svarhandlinger som krever din oppmerksomhet.
Hvordan stille en Defender Experts-analytiker spørsmål om en undersøkelse eller responshandling? Når en Defender Experts-analytiker publiserer undersøkelsessammendraget og anbefalte responshandlinger i undermenyen for administrert respons i en sann positiv hendelse, kan du bruke Chat-fanen i samme panel til å stille Defender Experts-teamet spørsmål om hendelsen og deres undersøkelse.

Alternativt kan dine angitte hendelseskontakter svare direkte på e-postmeldingen de mottok fra Defender-eksperter, for å stille spørsmål du måtte ha.
Hvordan vet hvilke hendelser som har ventende responshandlinger? Defender Experts-kortet på hjemmesiden for Microsoft 365 Defender-portalen inneholder en kobling som viser en melding (for eksempel tre hendelser som venter på din handling). Hvis du velger denne koblingen, blir du omdirigert til en filtrert liste over hendelser som krever din oppmerksomhet.

Du kan filtrere hendelseskøen i Microsoft 365 Defender-portalen ved å velge Tilordnet som kunde eller Status som venter på kundehandling.

I Microsoft Sentinel

Spørsmål Svar
Hvordan få Defender Experts-oppdateringer i Sentinel? Hvis du har aktivert datakoblingen mellom Microsoft 365 Defender og Microsoft Sentinel, synkroniseres oppdateringer gjort av Defender-eksperter i Defender til hendelser med Microsoft Sentinel. Finn ut mer.

Feltene Tilordnet til, Status og Klassifisering i Microsoft 365 Defender hendelser tilordnes de tilsvarende feltene i Sentinel, nemlig Eier, Status og Årsak til lukking.
Hvordan få Defender Experts-oppdateringer i Sentinel til å utløse en strategiplan automatisk? For å få Defender Experts-oppdateringer må du først konfigurere automatiseringsregler i Sentinel som utløses med følgende Defender Experts-oppdateringer:
  • Når Eier-feltet i Microsoft Sentinel oppdateres til Defender-eksperter eller -kunde.
  • Når Status-feltet i Microsoft Sentinel oppdateres til Aktiv eller Lukket, som tilsvarer henholdsvis Microsoft 365 Defender StatusActive og In Progress.
  • Når Sentinel-merkesom venter på kundehandling legges til, tilsvarer dette Microsoft 365 Defender status somventer på kundehandling.
Deretter konfigurerer du strategibøker i Microsoft Sentinel til automatisk å synkronisere hendelsesoppdateringer eller sende hendelsesvarsler til andre apper.
  • Send e-post eller Teams-melding, eller Slack-melding til SOC-teamet ditt når en Defender Experts-analytiker er tilordnet til en hendelse.
  • Send SMS eller telefonsamtale via Azure Communications Services eller Twilio-kobling til SOC-kundeemnet når Defender Experts publiserer responshandling for teamet ditt.
  • Opprett en oppgave eller billett i apper som Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty osv. for IT Ops-teamet.
Hvordan får jeg tilgang til handlinger for administrert respons publisert av Defender Experts fra Sentinel? Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft 365 Defender-portalen, oppdateres Eier-feltet automatisk til Kunde, og koden Venter på kundehandling er tilgjengelig i Sentinel. Du kan bruke disse feltendringene som en utløser for å se gjennom det administrerte svarpanelet for den tilsvarende hendelsen i Microsoft 365 Defender-portalen.

I tredjeparts-SIEM-, SOAR- eller ITSM-apper

Spørsmål Svar
Hvordan få Defender Experts-oppdateringer fra Microsoft 365 Defender til å synkronisere til tredjeparts sikkerhetsinformasjon og hendelsesbehandling (SIEM), sikkerhetsorkestrering, automatisering og respons (SOAR) eller ITSM-apper? Du kan få Defender Experts-oppdateringer fra Microsoft 365 Defender gjennom Graph Security API (microsoft.graph.security.incident.

Slik starter du synkroniseringsprosessen:
  1. Opprett tilordningen mellom feltene i Microsoft 365 Defender og de tilsvarende feltene i det ønskede programmet. Bestem om synkroniseringen skal være uni- eller toveis, og sørg for at det andre programmet støtter det.
  2. Utvikle, teste og distribuere synkroniseringsintegrasjonen. I de fleste tilfeller anbefales det å regelmessig undersøke Graph Security-API-en hvert minutt eller så for å se etter oppdateringer.
  3. Valider regelmessig at felttilordningen er oppdatert.
Kan jeg synkronisere handlinger for administrert respons publisert av Defender Experts i Microsoft 365 Defender portal til tredjeparts-SIEM-, SOAR- eller ITSM-apper? Når Defender-eksperter publiserer handlinger for administrert respons for en hendelse i Microsoft 365 Defender-portalen, endres Tilordnet til-feltet til Kunde, og Status-feltet oppdateres til Avventer kundehandling. Du kan synkronisere disse feltene via Graph Security-API-en og deretter bruke disse endringene som en utløser for å se gjennom handlingene for administrert svar i Microsoft 365 Defender-portalen.

Handlinger for administrert svar forventes å være tilgjengelige i Graph Security-API-en senere i år, og da vil det være mulig å synkronisere dem med tredjepartsappene dine.

I andre kommunikasjonstjenester

Spørsmål Svar
Kan jeg få Defender Experts-oppdateringer fra Microsoft 365 Defender via e-post? Når en Defender Experts-analytiker publiserer anbefalte responshandlinger til en hendelse, vil de angitte hendelseskontaktene motta en tilsvarende e-postvarsling til e-postadressene som er angitt i Kontakter for Innstillinger>Defender Experts>Notification i Microsoft 365 Defender-portalen.

I tillegg kan du konfigurere en Logic App til å sende alle hendelsesoppdateringer til den angitte e-postadressen(e) automatisk.
Kan jeg få Defender Experts-oppdateringer fra Microsoft 365 Defender i Microsoft Teams? En toveis chatfunksjonalitet er tilgjengelig via et undermenypanel for administrert respons for hendelsen i Microsoft 365 Defender-portalen.

I tillegg kan du konfigurere en Logic App til å sende alle hendelsesoppdateringer til den angitte e-postadressen(e) automatisk.
Kan jeg få Defender Experts-oppdateringer fra Microsoft 365 Defender som SMS- eller telefonsamtaleoppdateringer, eller i tredjeparts kommunikasjonstjenester som Slack? Du kan konfigurere en Logic App til å gjøre dette for å sende varsler fra kommunikasjonstjenester som Slack, Twilio, Azure Communication Services osv.

Se også

Slik fungerer Microsoft Defender-eksperter for XDR-tillatelser

Tips

Vil du lære mer? Kommunmuner deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft 365 Defender teknisk fellesskap.