Informacje o aktualizacjach zdarzeń XDR i zarządzanie nimi
Dotyczy:
W poniższej sekcji wymieniono pytania zespołu SOC dotyczące otrzymywania powiadomień o zdarzeniach.
W portalu Microsoft Defender i interfejs API Zabezpieczenia programu Graph
Pytania | Odpowiedzi |
---|---|
Jak mogę wiedzieć, czy analityk Defender Experts rozpoczął pracę nad incydentem? | Gdy analityk defender experts rozpoczyna pracę nad incydentem, pole Przypisane do zdarzenia jest aktualizowane do ekspertów usługi Defender. |
Jak mogę wiedzieć, czy analityk Defender Experts rozwiązał zdarzenie? | Gdy analityk ekspertów usługi Defender rozwiązał zdarzenie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Rozwiązano. |
Jak mogę wiedzieć, jaki wniosek skłonił analityka defender experts do rozwiązania incydentu? | Gdy analitycy defender experts rozwiązują zdarzenie, modyfikują pola Klasyfikacja i determinacja incydentu i udostępniają zwięzłe podsumowanie w sekcji Komentarze . Jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie dodatnie, kompleksowe podsumowanie badania zostanie wyświetlone w panelu wysuwanym Zarządzana odpowiedź w portalu Microsoft Defender. |
Jak mogę wiedzieć, jakie działania podjął analityk defender experts w mojej dzierżawie podczas badania incydentu? | W przypadku każdego badanego incydentu analityk Defender Experts podsumowuje wszystkie akcje wykonywane w dzierżawie w podsumowaniu badania incydentu znajdującym się w panelu wysuwanym Odpowiedź zarządzana w portalu Microsoft Defender. Możesz również pobrać informacje o tych akcjach i godzinach logowania do dzierżawy, wyszukując dzienniki inspekcji na portal zgodności Microsoft Purview lub za pośrednictwem interfejsu API działania zarządzania Office 365. |
Jak mogę wiedzieć, czy analityk Defender Experts wysłał jakieś akcje odpowiedzi dla mojego zespołu SOC? | Analityk Defender Experts publikuje akcje reagowania, które zaleca zespołowi SOC, aby wykonał zdarzenie w panelu wysuwanym Zarządzana odpowiedź zdarzenia w portalu Microsoft Defender. W tej chwili pole Przypisane do zdarzenia zostanie zaktualizowane do klienta , a jego stan zostanie zaktualizowany do pozycji Oczekiwanie na akcję klienta. Twoje kontakty dotyczące incydentów, które zostały wyznaczone w obszarze Ustawienia> Kontaktypowiadomieńekspertów> w usłudze Defender w portalu Microsoft Defender, również otrzymują odpowiednie powiadomienie e-mail, jeśli istnieją akcje reagowania wymagające Twojej uwagi. Otrzymasz również powiadomienia usługi Teams, jeśli zostały skonfigurowane w usłudze Settings>Defender Experts>Teams w portalu Microsoft Defender. |
Jak mogę zadać analitykowi Defender Experts pytania dotyczące badania lub akcji reagowania? | Po opublikowaniu przez analityka ekspertów usługi Defender podsumowania badania i zalecanych działań odpowiedzi w panelu wysuwanej odpowiedzi zarządzanej zdarzenia prawdziwie pozytywnego możesz użyć karty Czat w tym samym panelu, aby zadać zespołowi ekspertów usługi Defender pytania dotyczące incydentu i ich badania. Alternatywnie wyznaczone kontakty dotyczące incydentów mogą bezpośrednio odpowiadać na powiadomienia zespołów lub e-mail otrzymane od ekspertów usługi Defender w celu zadawania wszelkich pytań. |
Jak mogę wiedzieć, które zdarzenia mają oczekujące akcje odpowiedzi? | Karta Defender Experts na stronie głównej portalu Microsoft Defender zawiera link, który wyświetla komunikat (na przykład 3 zdarzenia oczekujące na akcję). Wybranie tego linku powoduje wyświetlenie filtrowanej listy zdarzeń wymagających uwagi. Kolejkę zdarzeń można filtrować w portalu Microsoft Defender, wybierając pozycję Przypisane doklienta lubStan jako Oczekujące na działanie klienta. |
W usłudze Microsoft Sentinel
Pytania | Odpowiedzi |
---|---|
Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel? | Jeśli włączono łącznik danych między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, aktualizacje wprowadzone przez ekspertów usługi Defender w usłudze Defender do zdarzeń są synchronizowane z usługą Microsoft Sentinel. Dowiedz się więcej. Pola Przypisane do, Stan i Klasyfikacja w Microsoft Defender XDR zdarzenia są mapowane na odpowiednie pola w usłudze Sentinel, a mianowicie Właściciel, Stan i Przyczyna zamknięcia. |
Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel, aby automatycznie wyzwolić podręcznik? | Aby uzyskać aktualizacje ekspertów usługi Defender, najpierw skonfiguruj reguły automatyzacji w usłudze Sentinel, które są wyzwalane za pomocą następujących aktualizacji ekspertów usługi Defender:
|
Jak mogę uzyskać dostęp do zarządzanych akcji odpowiedzi opublikowanych przez ekspertów usługi Defender z usługi Sentinel? | Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Właściciel zostanie automatycznie zaktualizowane do pozycji Klient, a tag Oczekiwanie na akcję klienta jest dostępny w usłudze Sentinel. Tych zmian pól można użyć jako wyzwalacza, aby przejrzeć zarządzany panel odpowiedzi dla odpowiedniego zdarzenia w portalu Microsoft Defender. |
W aplikacjach SIEM, SOAR lub ITSM innych firm
Pytania | Odpowiedzi |
---|---|
Jak mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w celu synchronizacji z aplikacjami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aranżacją zabezpieczeń, automatyzacją i reagowaniem (SOAR) lub aplikacjami do zarządzania usługami IT (ITSM)? | Aktualizacje ekspertów usługi Defender można uzyskać z Microsoft Defender XDR za pośrednictwem interfejs API Zabezpieczenia programu Graph (microsoft.graph.security.incident). Aby zainicjować proces synchronizacji:
|
Czy mogę zsynchronizować akcje odpowiedzi zarządzanej opublikowane przez ekspertów usługi Defender w portalu Microsoft Defender do aplikacji SIEM, SOAR lub ITSM innych firm? | Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Przypisane do zostanie zmienione na Klient, a pole Stan zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta. Te pola można zsynchronizować za pośrednictwem interfejs API Zabezpieczenia programu Graph, a następnie użyć tych zmian jako wyzwalacza do przeglądania zarządzanych akcji odpowiedzi w portalu Microsoft Defender. Akcje odpowiedzi zarządzanej powinny być dostępne w programie Graph interfejs API Zabezpieczenia jeszcze w tym roku. W tym czasie będzie można je zsynchronizować z aplikacjami innych firm. |
W innych usługach komunikacyjnych
Pytania | Odpowiedzi |
---|---|
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w wiadomości e-mail? | Gdy analityk defender experts opublikuje zalecane akcje reagowania na zdarzenie, wyznaczone kontakty dotyczące incydentów otrzymają odpowiednie powiadomienie e-mail na adresy e-mail określone w obszarze Ustawienia>Eksperci defendera>Kontakty powiadomień w portalu Microsoft Defender. Ponadto można skonfigurować aplikację logiki w celu automatycznego wysyłania wszystkich aktualizacji zdarzeń na wyznaczone adresy e-mail. |
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w usłudze Microsoft Teams? | Funkcja czatu dwukierunkowego jest dostępna za pośrednictwem panelu wysuwanego managed response zdarzenia w portalu Microsoft Defender. Ponadto otrzymujesz powiadomienia po opublikowaniu odpowiedzi zarządzanej i możesz prowadzić rozmowy na czacie w czasie rzeczywistym z ekspertami usługi Defender bezpośrednio w usłudze Microsoft Teams. Dowiedz się więcej o konfigurowaniu aplikacji Teams |
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR jako aktualizacje wiadomości SMS lub połączeń telefonicznych lub w usługach komunikacyjnych innych firm, takich jak Slack? | Możesz skonfigurować aplikację logiki w taki sposób, aby wysyłała powiadomienia z usług komunikacyjnych, takich jak Slack, Twilio, Azure Communication Services itp. |
Zobacz też
Wykrywanie zarządzane i reagowanie
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla