Udostępnij za pośrednictwem


Informacje o aktualizacjach zdarzeń XDR i zarządzanie nimi

Dotyczy:

W poniższej sekcji wymieniono pytania zespołu SOC dotyczące otrzymywania powiadomień o zdarzeniach.

W portalu usługi Microsoft Defender i interfejsie API zabezpieczeń programu Graph

Pytania Odpowiedzi
Skąd mam wiedzieć, czy analityk Defender Experts rozpoczął pracę nad incydentem? Gdy analityk defender experts rozpoczyna pracę nad incydentem, pole Przypisane do zdarzenia jest aktualizowane do ekspertów usługi Defender.
Skąd mam wiedzieć, czy analityk Defender Experts rozwiązał zdarzenie? Gdy analityk ekspertów usługi Defender rozwiązał zdarzenie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Rozwiązano.
Skąd mogę wiedzieć, jaki wniosek skłonił analityka defender experts do rozwiązania incydentu? Gdy analitycy defender experts rozwiązują zdarzenie, modyfikują pola Klasyfikacja i determinacja incydentu i udostępniają zwięzłe podsumowanie w sekcji Komentarze .

Jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, w panelu wysuwnym Zarządzana odpowiedź w portalu usługi Microsoft Defender zostanie wyświetlone kompleksowe podsumowanie badania.
Skąd mogę wiedzieć, jakie akcje podjął analityk defender experts w mojej dzierżawie podczas badania incydentu? W przypadku każdego badanego incydentu analityk Defender Experts podsumowuje wszystkie akcje wykonywane w dzierżawie w podsumowaniu badania incydentu znajdującym się w panelu wysuwanym Odpowiedź zarządzana w portalu usługi Microsoft Defender.

Możesz również pobrać informacje o tych akcjach i godzinach logowania do dzierżawy, wyszukując dzienniki inspekcji w portalu zgodności usługi Microsoft Purview lub za pośrednictwem interfejsu API działania zarządzania usługi Office 365.
Skąd mam wiedzieć, czy analityk Defender Experts wysłał jakieś akcje odpowiedzi dla mojego zespołu SOC? Analityk Defender Experts publikuje akcje reagowania, które zaleca zespołowi SOC, aby wykonał zdarzenie w panelu wysuwanym Zarządzana odpowiedź zdarzenia w portalu usługi Microsoft Defender.

W tej chwili pole Przypisane do zdarzenia zostanie zaktualizowane do klienta , a jego stan zostanie zaktualizowany do pozycji Oczekiwanie na akcję klienta.

Twoje kontakty dotyczące incydentów, które zostały wyznaczone w obszarze Ustawienia> Kontaktypowiadomieńekspertów> w usłudze Defender w portalu usługi Microsoft Defender, również otrzymują odpowiednie powiadomienie e-mail, jeśli istnieją akcje reagowania wymagające Twojej uwagi. Otrzymasz również powiadomienia usługi Teams, jeśli zostały skonfigurowane w obszarze Ustawienia>Usługi Defender Experts>Teams w portalu usługi Microsoft Defender.
Jak zadać analitykowi Defender Experts pytania dotyczące badania lub akcji reagowania? Po opublikowaniu przez analityka ekspertów usługi Defender podsumowania badania i zalecanych działań odpowiedzi w panelu wysuwanej odpowiedzi zarządzanej zdarzenia prawdziwie pozytywnego możesz użyć karty Czat w tym samym panelu, aby zadać zespołowi ekspertów usługi Defender pytania dotyczące incydentu i ich badania.

Alternatywnie wyznaczone kontakty dotyczące incydentów mogą bezpośrednio odpowiadać na powiadomienia zespołów lub e-mail otrzymane od ekspertów usługi Defender w celu zadawania wszelkich pytań.
Skąd mogę wiedzieć, które zdarzenia mają oczekujące akcje odpowiedzi? Karta Defender Experts na stronie głównej portalu usługi Microsoft Defender zawiera link, który wyświetla komunikat (na przykład 3 zdarzenia oczekujące na akcję). Wybranie tego linku powoduje wyświetlenie filtrowanej listy zdarzeń wymagających uwagi.

Kolejkę zdarzeń można filtrować w portalu usługi Microsoft Defender, wybierając pozycję Przypisano doklienta lubStan jako Oczekująca akcja klienta.

W usłudze Microsoft Sentinel

Pytania Odpowiedzi
Jak uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel? Jeśli włączono łącznik danych między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, aktualizacje wprowadzone przez ekspertów usługi Defender w usłudze Defender do zdarzeń są synchronizowane z usługą Microsoft Sentinel. Dowiedz się więcej.

Pola Przypisane do, Stan i Klasyfikacja w zdarzeniach XDR usługi Microsoft Defender są mapowane na odpowiednie pola w usłudze Sentinel, a mianowicie Właściciel, Stan i Przyczyna zamknięcia.
Jak uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel, aby automatycznie wyzwolić podręcznik? Aby uzyskać aktualizacje ekspertów usługi Defender, najpierw skonfiguruj reguły automatyzacji w usłudze Sentinel, które są wyzwalane za pomocą następujących aktualizacji ekspertów usługi Defender:
  • Gdy pole Właściciel w usłudze Microsoft Sentinel zostanie zaktualizowane do usługi Defender Experts lub Customer.
  • Gdy pole Stan w usłudze Microsoft Sentinel zostanie zaktualizowane do wartości Aktywne lub Zamknięte, co odpowiada odpowiednio stanowi XDR usługi Microsoft Defender ipostępowi.
  • Po dodaniu tagu usługi Sentinel oczekującego na akcję klienta, co odpowiada stanowi XDR usługi Microsoft Defender w oczekiwaniu na akcję klienta.
Następnie skonfiguruj podręczniki w usłudze Microsoft Sentinel, aby automatycznie synchronizować aktualizacje zdarzeń lub wysyłać powiadomienia o zdarzeniach do innych aplikacji.
  • Wyślij wiadomość e-mail lub wiadomość usługi Teams lub wiadomość Slack do zespołu SOC, gdy analityk defender experts zostanie przypisany do zdarzenia.
  • Wyślij wiadomość SMS lub telefon za pośrednictwem usługi Azure Communications Services lub łącznika Twilio do potencjalnego klienta SOC, gdy usługa Defender Experts opublikuje akcję odpowiedzi dla twojego zespołu.
  • Utwórz zadanie lub bilet w aplikacjach takich jak Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty itp. dla zespołu itd.
Jak mogę uzyskać dostęp do zarządzanych akcji odpowiedzi opublikowanych przez ekspertów usługi Defender z usługi Sentinel? Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu usługi Microsoft Defender, pole Właściciel zostanie automatycznie zaktualizowane do pozycji Klient , a tag Awaiting Customer Action (Oczekiwanie na akcję klienta ) jest dostępny w usłudze Sentinel. Tych zmian pól można użyć jako wyzwalacza, aby przejrzeć panel odpowiedzi zarządzanej pod kątem odpowiedniego zdarzenia w portalu usługi Microsoft Defender.

W aplikacjach SIEM, SOAR lub ITSM innych firm

Pytania Odpowiedzi
Jak uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w celu synchronizacji z aplikacjami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR) lub zarządzania usługami IT (ITSM)? Aktualizacje ekspertów usługi Defender można uzyskać z usługi Microsoft Defender XDR za pośrednictwem interfejsu API zabezpieczeń programu Graph (microsoft.graph.security.incident).

Aby zainicjować proces synchronizacji:
  1. Ustal mapowanie między polami w usłudze Microsoft Defender XDR i odpowiednimi polami w żądanej aplikacji. Określ, czy synchronizacja powinna być jednokierunkowa, czy dwukierunkowa, i upewnij się, że inna aplikacja to obsługuje.
  2. Opracowywanie, testowanie i wdrażanie integracji synchronizacji. W większości przypadków zaleca się okresowe sondowanie interfejsu API zabezpieczeń programu Graph co minutę w celu sprawdzenia dostępności aktualizacji.
  3. Okresowo sprawdzaj, czy mapowanie pól jest aktualne.
Czy mogę zsynchronizować akcje odpowiedzi zarządzanej opublikowane przez ekspertów usługi Defender w portalu usługi Microsoft Defender z aplikacjami SIEM, SOAR lub ITSM innych firm? Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu usługi Microsoft Defender, pole Przypisane do zostanie zmienione na Klient , a pole Stan zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta. Te pola można zsynchronizować za pośrednictwem interfejsu API zabezpieczeń programu Graph, a następnie użyć tych zmian jako wyzwalacza do przeglądania zarządzanych akcji odpowiedzi w portalu usługi Microsoft Defender.

Akcje odpowiedzi zarządzanej powinny być dostępne w interfejsie API zabezpieczeń programu Graph jeszcze w tym roku, w tym czasie będzie można je zsynchronizować z aplikacjami innych firm.

W innych usługach komunikacyjnych

Pytania Odpowiedzi
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w wiadomości e-mail? Gdy analityk Defender Experts opublikuje zalecane akcje reagowania na zdarzenie, wyznaczone kontakty dotyczące incydentów otrzymają odpowiednie powiadomienie e-mail na adresy e-mail określone w temacie Ustawienia> Kontaktypowiadomieńekspertów> usługi Defender w portalu usługi Microsoft Defender.

Ponadto można skonfigurować aplikację logiki w celu automatycznego wysyłania wszystkich aktualizacji zdarzeń na wyznaczone adresy e-mail.
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w usłudze Microsoft Teams? Funkcja czatu dwukierunkowego jest dostępna za pośrednictwem panelu wysuwanego managed response zdarzenia w portalu usługi Microsoft Defender.

Ponadto otrzymujesz powiadomienia po opublikowaniu odpowiedzi zarządzanej i możesz prowadzić rozmowy na czacie w czasie rzeczywistym z ekspertami usługi Defender bezpośrednio w usłudze Microsoft Teams. Dowiedz się więcej o konfigurowaniu aplikacji Teams
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR jako aktualizacje wiadomości SMS lub połączeń telefonicznych lub w usługach komunikacyjnych innych firm, takich jak Slack? Możesz skonfigurować aplikację logiki w taki sposób, aby wysyłała powiadomienia z usług komunikacyjnych, takich jak Slack, Twilio, Azure Communication Services itp.

Zobacz też

Wykrywanie zarządzane i reagowanie

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.