Informacje o aktualizacjach zdarzeń XDR i zarządzanie nimi

Artykuł
04/30/2024

Dotyczy:

Microsoft Defender XDR

W poniższej sekcji wymieniono pytania zespołu SOC dotyczące otrzymywania powiadomień o zdarzeniach.

W portalu Microsoft Defender i interfejs API Zabezpieczenia programu Graph

Pytania	Odpowiedzi
Jak mogę wiedzieć, czy analityk Defender Experts rozpoczął pracę nad incydentem?	Gdy analityk defender experts rozpoczyna pracę nad incydentem, pole Przypisane do zdarzenia jest aktualizowane do ekspertów usługi Defender.
Jak mogę wiedzieć, czy analityk Defender Experts rozwiązał zdarzenie?	Gdy analityk ekspertów usługi Defender rozwiązał zdarzenie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Rozwiązano.
Jak mogę wiedzieć, jaki wniosek skłonił analityka defender experts do rozwiązania incydentu?	Gdy analitycy defender experts rozwiązują zdarzenie, modyfikują pola Klasyfikacja i determinacja incydentu i udostępniają zwięzłe podsumowanie w sekcji Komentarze . Jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie dodatnie, kompleksowe podsumowanie badania zostanie wyświetlone w panelu wysuwanym Zarządzana odpowiedź w portalu Microsoft Defender.
Jak mogę wiedzieć, jakie działania podjął analityk defender experts w mojej dzierżawie podczas badania incydentu?	W przypadku każdego badanego incydentu analityk Defender Experts podsumowuje wszystkie akcje wykonywane w dzierżawie w podsumowaniu badania incydentu znajdującym się w panelu wysuwanym Odpowiedź zarządzana w portalu Microsoft Defender. Możesz również pobrać informacje o tych akcjach i godzinach logowania do dzierżawy, wyszukując dzienniki inspekcji na portal zgodności Microsoft Purview lub za pośrednictwem interfejsu API działania zarządzania Office 365.
Jak mogę wiedzieć, czy analityk Defender Experts wysłał jakieś akcje odpowiedzi dla mojego zespołu SOC?	Analityk Defender Experts publikuje akcje reagowania, które zaleca zespołowi SOC, aby wykonał zdarzenie w panelu wysuwanym Zarządzana odpowiedź zdarzenia w portalu Microsoft Defender. W tej chwili pole Przypisane do zdarzenia zostanie zaktualizowane do klienta , a jego stan zostanie zaktualizowany do pozycji Oczekiwanie na akcję klienta. Twoje kontakty dotyczące incydentów, które zostały wyznaczone w obszarze Ustawienia> Kontaktypowiadomieńekspertów> w usłudze Defender w portalu Microsoft Defender, również otrzymują odpowiednie powiadomienie e-mail, jeśli istnieją akcje reagowania wymagające Twojej uwagi. Otrzymasz również powiadomienia usługi Teams, jeśli zostały skonfigurowane w usłudze Settings>Defender Experts>Teams w portalu Microsoft Defender.
Jak mogę zadać analitykowi Defender Experts pytania dotyczące badania lub akcji reagowania?	Po opublikowaniu przez analityka ekspertów usługi Defender podsumowania badania i zalecanych działań odpowiedzi w panelu wysuwanej odpowiedzi zarządzanej zdarzenia prawdziwie pozytywnego możesz użyć karty Czat w tym samym panelu, aby zadać zespołowi ekspertów usługi Defender pytania dotyczące incydentu i ich badania. Alternatywnie wyznaczone kontakty dotyczące incydentów mogą bezpośrednio odpowiadać na powiadomienia zespołów lub e-mail otrzymane od ekspertów usługi Defender w celu zadawania wszelkich pytań.
Jak mogę wiedzieć, które zdarzenia mają oczekujące akcje odpowiedzi?	Karta Defender Experts na stronie głównej portalu Microsoft Defender zawiera link, który wyświetla komunikat (na przykład 3 zdarzenia oczekujące na akcję). Wybranie tego linku powoduje wyświetlenie filtrowanej listy zdarzeń wymagających uwagi. Kolejkę zdarzeń można filtrować w portalu Microsoft Defender, wybierając pozycję Przypisane doklienta lubStan jako Oczekujące na działanie klienta.

W usłudze Microsoft Sentinel

Pytania	Odpowiedzi
Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel?	Jeśli włączono łącznik danych między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, aktualizacje wprowadzone przez ekspertów usługi Defender w usłudze Defender do zdarzeń są synchronizowane z usługą Microsoft Sentinel. Dowiedz się więcej. Pola Przypisane do, Stan i Klasyfikacja w Microsoft Defender XDR zdarzenia są mapowane na odpowiednie pola w usłudze Sentinel, a mianowicie Właściciel, Stan i Przyczyna zamknięcia.
Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel, aby automatycznie wyzwolić podręcznik?	Aby uzyskać aktualizacje ekspertów usługi Defender, najpierw skonfiguruj reguły automatyzacji w usłudze Sentinel, które są wyzwalane za pomocą następujących aktualizacji ekspertów usługi Defender: Gdy pole Właściciel w usłudze Microsoft Sentinel zostanie zaktualizowane do usługi Defender Experts lub Customer. Gdy pole Stan w usłudze Microsoft Sentinel zostanie zaktualizowane do wartości Aktywne lub Zamknięte, co odpowiada odpowiednio Microsoft Defender XDR Stanaktywny i W toku. Po dodaniu tagu usługi Sentinel oczekującego na akcję klienta, co odpowiada Microsoft Defender XDR stanoczekiwania na akcję klienta. Następnie skonfiguruj podręczniki w usłudze Microsoft Sentinel, aby automatycznie synchronizować aktualizacje zdarzeń lub wysyłać powiadomienia o zdarzeniach do innych aplikacji. Wyślij wiadomość e-mail lub wiadomość usługi Teams lub wiadomość Slack do zespołu SOC, gdy analityk defender experts zostanie przypisany do zdarzenia. Wyślij wiadomość SMS lub telefon za pośrednictwem usługi Azure Communications Services lub łącznika Twilio do potencjalnego klienta SOC, gdy usługa Defender Experts opublikuje akcję odpowiedzi dla twojego zespołu. Twórca zadania lub biletu w aplikacjach, takich jak Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty itp. dla zespołu itd.
Jak mogę uzyskać dostęp do zarządzanych akcji odpowiedzi opublikowanych przez ekspertów usługi Defender z usługi Sentinel?	Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Właściciel zostanie automatycznie zaktualizowane do pozycji Klient, a tag Oczekiwanie na akcję klienta jest dostępny w usłudze Sentinel. Tych zmian pól można użyć jako wyzwalacza, aby przejrzeć zarządzany panel odpowiedzi dla odpowiedniego zdarzenia w portalu Microsoft Defender.

Pytania

Odpowiedzi

Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel?

Jeśli włączono łącznik danych między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, aktualizacje wprowadzone przez ekspertów usługi Defender w usłudze Defender do zdarzeń są synchronizowane z usługą Microsoft Sentinel. Dowiedz się więcej.

Pola Przypisane do, Stan i Klasyfikacja w Microsoft Defender XDR zdarzenia są mapowane na odpowiednie pola w usłudze Sentinel, a mianowicie Właściciel, Stan i Przyczyna zamknięcia.

Jak mogę uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel, aby automatycznie wyzwolić podręcznik?

Aby uzyskać aktualizacje ekspertów usługi Defender, najpierw skonfiguruj reguły automatyzacji w usłudze Sentinel, które są wyzwalane za pomocą następujących aktualizacji ekspertów usługi Defender:

Gdy pole Właściciel w usłudze Microsoft Sentinel zostanie zaktualizowane do usługi Defender Experts lub Customer.
Gdy pole Stan w usłudze Microsoft Sentinel zostanie zaktualizowane do wartości Aktywne lub Zamknięte, co odpowiada odpowiednio Microsoft Defender XDR Stanaktywny i W toku.
Po dodaniu tagu usługi Sentinel oczekującego na akcję klienta, co odpowiada Microsoft Defender XDR stanoczekiwania na akcję klienta.

Następnie skonfiguruj podręczniki w usłudze Microsoft Sentinel, aby automatycznie synchronizować aktualizacje zdarzeń lub wysyłać powiadomienia o zdarzeniach do innych aplikacji.

Wyślij wiadomość e-mail lub wiadomość usługi Teams lub wiadomość Slack do zespołu SOC, gdy analityk defender experts zostanie przypisany do zdarzenia.
Wyślij wiadomość SMS lub telefon za pośrednictwem usługi Azure Communications Services lub łącznika Twilio do potencjalnego klienta SOC, gdy usługa Defender Experts opublikuje akcję odpowiedzi dla twojego zespołu.
Twórca zadania lub biletu w aplikacjach, takich jak Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty itp. dla zespołu itd.

Jak mogę uzyskać dostęp do zarządzanych akcji odpowiedzi opublikowanych przez ekspertów usługi Defender z usługi Sentinel?

Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Właściciel zostanie automatycznie zaktualizowane do pozycji Klient, a tag Oczekiwanie na akcję klienta jest dostępny w usłudze Sentinel. Tych zmian pól można użyć jako wyzwalacza, aby przejrzeć zarządzany panel odpowiedzi dla odpowiedniego zdarzenia w portalu Microsoft Defender.

W aplikacjach SIEM, SOAR lub ITSM innych firm

Pytania	Odpowiedzi
Jak mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w celu synchronizacji z aplikacjami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aranżacją zabezpieczeń, automatyzacją i reagowaniem (SOAR) lub aplikacjami do zarządzania usługami IT (ITSM)?	Aktualizacje ekspertów usługi Defender można uzyskać z Microsoft Defender XDR za pośrednictwem interfejs API Zabezpieczenia programu Graph (microsoft.graph.security.incident). Aby zainicjować proces synchronizacji: Ustal mapowanie między polami w Microsoft Defender XDR i odpowiednimi polami w żądanej aplikacji. Określ, czy synchronizacja powinna być jednokierunkowa, czy dwukierunkowa, i upewnij się, że inna aplikacja to obsługuje. Opracowywanie, testowanie i wdrażanie integracji synchronizacji. W większości przypadków zaleca się okresowe sondowanie interfejs API Zabezpieczenia programu Graph co minutę w celu sprawdzenia dostępności aktualizacji. Okresowo sprawdzaj, czy mapowanie pól jest aktualne.
Czy mogę zsynchronizować akcje odpowiedzi zarządzanej opublikowane przez ekspertów usługi Defender w portalu Microsoft Defender do aplikacji SIEM, SOAR lub ITSM innych firm?	Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Przypisane do zostanie zmienione na Klient, a pole Stan zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta. Te pola można zsynchronizować za pośrednictwem interfejs API Zabezpieczenia programu Graph, a następnie użyć tych zmian jako wyzwalacza do przeglądania zarządzanych akcji odpowiedzi w portalu Microsoft Defender. Akcje odpowiedzi zarządzanej powinny być dostępne w programie Graph interfejs API Zabezpieczenia jeszcze w tym roku. W tym czasie będzie można je zsynchronizować z aplikacjami innych firm.

Pytania

Odpowiedzi

Jak mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w celu synchronizacji z aplikacjami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aranżacją zabezpieczeń, automatyzacją i reagowaniem (SOAR) lub aplikacjami do zarządzania usługami IT (ITSM)?

Aktualizacje ekspertów usługi Defender można uzyskać z Microsoft Defender XDR za pośrednictwem interfejs API Zabezpieczenia programu Graph (microsoft.graph.security.incident).

Aby zainicjować proces synchronizacji:

Ustal mapowanie między polami w Microsoft Defender XDR i odpowiednimi polami w żądanej aplikacji. Określ, czy synchronizacja powinna być jednokierunkowa, czy dwukierunkowa, i upewnij się, że inna aplikacja to obsługuje.
Opracowywanie, testowanie i wdrażanie integracji synchronizacji. W większości przypadków zaleca się okresowe sondowanie interfejs API Zabezpieczenia programu Graph co minutę w celu sprawdzenia dostępności aktualizacji.
Okresowo sprawdzaj, czy mapowanie pól jest aktualne.

Czy mogę zsynchronizować akcje odpowiedzi zarządzanej opublikowane przez ekspertów usługi Defender w portalu Microsoft Defender do aplikacji SIEM, SOAR lub ITSM innych firm?

Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu Microsoft Defender, pole Przypisane do zostanie zmienione na Klient, a pole Stan zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta. Te pola można zsynchronizować za pośrednictwem interfejs API Zabezpieczenia programu Graph, a następnie użyć tych zmian jako wyzwalacza do przeglądania zarządzanych akcji odpowiedzi w portalu Microsoft Defender.

Akcje odpowiedzi zarządzanej powinny być dostępne w programie Graph interfejs API Zabezpieczenia jeszcze w tym roku. W tym czasie będzie można je zsynchronizować z aplikacjami innych firm.

W innych usługach komunikacyjnych

Pytania	Odpowiedzi
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w wiadomości e-mail?	Gdy analityk defender experts opublikuje zalecane akcje reagowania na zdarzenie, wyznaczone kontakty dotyczące incydentów otrzymają odpowiednie powiadomienie e-mail na adresy e-mail określone w obszarze Ustawienia>Eksperci defendera>Kontakty powiadomień w portalu Microsoft Defender. Ponadto można skonfigurować aplikację logiki w celu automatycznego wysyłania wszystkich aktualizacji zdarzeń na wyznaczone adresy e-mail.
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR w usłudze Microsoft Teams?	Funkcja czatu dwukierunkowego jest dostępna za pośrednictwem panelu wysuwanego managed response zdarzenia w portalu Microsoft Defender. Ponadto otrzymujesz powiadomienia po opublikowaniu odpowiedzi zarządzanej i możesz prowadzić rozmowy na czacie w czasie rzeczywistym z ekspertami usługi Defender bezpośrednio w usłudze Microsoft Teams. Dowiedz się więcej o konfigurowaniu aplikacji Teams
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z Microsoft Defender XDR jako aktualizacje wiadomości SMS lub połączeń telefonicznych lub w usługach komunikacyjnych innych firm, takich jak Slack?	Możesz skonfigurować aplikację logiki w taki sposób, aby wysyłała powiadomienia z usług komunikacyjnych, takich jak Slack, Twilio, Azure Communication Services itp.

Zobacz też

Wykrywanie zarządzane i reagowanie

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Udostępnij za pośrednictwem