Informacje o aktualizacjach zdarzeń XDR i zarządzanie nimi
Dotyczy:
W poniższej sekcji wymieniono pytania zespołu SOC dotyczące otrzymywania powiadomień o zdarzeniach.
W portalu usługi Microsoft Defender i interfejsie API zabezpieczeń programu Graph
Pytania | Odpowiedzi |
---|---|
Skąd mam wiedzieć, czy analityk Defender Experts rozpoczął pracę nad incydentem? | Gdy analityk defender experts rozpoczyna pracę nad incydentem, pole Przypisane do zdarzenia jest aktualizowane do ekspertów usługi Defender. |
Skąd mam wiedzieć, czy analityk Defender Experts rozwiązał zdarzenie? | Gdy analityk ekspertów usługi Defender rozwiązał zdarzenie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Rozwiązano. |
Skąd mogę wiedzieć, jaki wniosek skłonił analityka defender experts do rozwiązania incydentu? | Gdy analitycy defender experts rozwiązują zdarzenie, modyfikują pola Klasyfikacja i determinacja incydentu i udostępniają zwięzłe podsumowanie w sekcji Komentarze . Jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, w panelu wysuwnym Zarządzana odpowiedź w portalu usługi Microsoft Defender zostanie wyświetlone kompleksowe podsumowanie badania. |
Skąd mogę wiedzieć, jakie akcje podjął analityk defender experts w mojej dzierżawie podczas badania incydentu? | W przypadku każdego badanego incydentu analityk Defender Experts podsumowuje wszystkie akcje wykonywane w dzierżawie w podsumowaniu badania incydentu znajdującym się w panelu wysuwanym Odpowiedź zarządzana w portalu usługi Microsoft Defender. Możesz również pobrać informacje o tych akcjach i godzinach logowania do dzierżawy, wyszukując dzienniki inspekcji w portalu zgodności usługi Microsoft Purview lub za pośrednictwem interfejsu API działania zarządzania usługi Office 365. |
Skąd mam wiedzieć, czy analityk Defender Experts wysłał jakieś akcje odpowiedzi dla mojego zespołu SOC? | Analityk Defender Experts publikuje akcje reagowania, które zaleca zespołowi SOC, aby wykonał zdarzenie w panelu wysuwanym Zarządzana odpowiedź zdarzenia w portalu usługi Microsoft Defender. W tej chwili pole Przypisane do zdarzenia zostanie zaktualizowane do klienta , a jego stan zostanie zaktualizowany do pozycji Oczekiwanie na akcję klienta. Twoje kontakty dotyczące incydentów, które zostały wyznaczone w obszarze Ustawienia> Kontaktypowiadomieńekspertów> w usłudze Defender w portalu usługi Microsoft Defender, również otrzymują odpowiednie powiadomienie e-mail, jeśli istnieją akcje reagowania wymagające Twojej uwagi. Otrzymasz również powiadomienia usługi Teams, jeśli zostały skonfigurowane w obszarze Ustawienia>Usługi Defender Experts>Teams w portalu usługi Microsoft Defender. |
Jak zadać analitykowi Defender Experts pytania dotyczące badania lub akcji reagowania? | Po opublikowaniu przez analityka ekspertów usługi Defender podsumowania badania i zalecanych działań odpowiedzi w panelu wysuwanej odpowiedzi zarządzanej zdarzenia prawdziwie pozytywnego możesz użyć karty Czat w tym samym panelu, aby zadać zespołowi ekspertów usługi Defender pytania dotyczące incydentu i ich badania. Alternatywnie wyznaczone kontakty dotyczące incydentów mogą bezpośrednio odpowiadać na powiadomienia zespołów lub e-mail otrzymane od ekspertów usługi Defender w celu zadawania wszelkich pytań. |
Skąd mogę wiedzieć, które zdarzenia mają oczekujące akcje odpowiedzi? | Karta Defender Experts na stronie głównej portalu usługi Microsoft Defender zawiera link, który wyświetla komunikat (na przykład 3 zdarzenia oczekujące na akcję). Wybranie tego linku powoduje wyświetlenie filtrowanej listy zdarzeń wymagających uwagi. Kolejkę zdarzeń można filtrować w portalu usługi Microsoft Defender, wybierając pozycję Przypisano doklienta lubStan jako Oczekująca akcja klienta. |
W usłudze Microsoft Sentinel
Pytania | Odpowiedzi |
---|---|
Jak uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel? | Jeśli włączono łącznik danych między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, aktualizacje wprowadzone przez ekspertów usługi Defender w usłudze Defender do zdarzeń są synchronizowane z usługą Microsoft Sentinel.
Dowiedz się więcej. Pola Przypisane do, Stan i Klasyfikacja w zdarzeniach XDR usługi Microsoft Defender są mapowane na odpowiednie pola w usłudze Sentinel, a mianowicie Właściciel, Stan i Przyczyna zamknięcia. |
Jak uzyskać aktualizacje ekspertów usługi Defender w usłudze Sentinel, aby automatycznie wyzwolić podręcznik? | Aby uzyskać aktualizacje ekspertów usługi Defender, najpierw skonfiguruj reguły automatyzacji w usłudze Sentinel, które są wyzwalane za pomocą następujących aktualizacji ekspertów usługi Defender:
|
Jak mogę uzyskać dostęp do zarządzanych akcji odpowiedzi opublikowanych przez ekspertów usługi Defender z usługi Sentinel? | Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu usługi Microsoft Defender, pole Właściciel zostanie automatycznie zaktualizowane do pozycji Klient , a tag Awaiting Customer Action (Oczekiwanie na akcję klienta ) jest dostępny w usłudze Sentinel. Tych zmian pól można użyć jako wyzwalacza, aby przejrzeć panel odpowiedzi zarządzanej pod kątem odpowiedniego zdarzenia w portalu usługi Microsoft Defender. |
W aplikacjach SIEM, SOAR lub ITSM innych firm
Pytania | Odpowiedzi |
---|---|
Jak uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w celu synchronizacji z aplikacjami do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM), aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR) lub zarządzania usługami IT (ITSM)? | Aktualizacje ekspertów usługi Defender można uzyskać z usługi Microsoft Defender XDR za pośrednictwem interfejsu API zabezpieczeń programu Graph (microsoft.graph.security.incident). Aby zainicjować proces synchronizacji:
|
Czy mogę zsynchronizować akcje odpowiedzi zarządzanej opublikowane przez ekspertów usługi Defender w portalu usługi Microsoft Defender z aplikacjami SIEM, SOAR lub ITSM innych firm? | Gdy eksperci usługi Defender opublikują akcje reagowania zarządzanego dla zdarzenia w portalu usługi Microsoft Defender, pole Przypisane do zostanie zmienione na Klient , a pole Stan zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta. Te pola można zsynchronizować za pośrednictwem interfejsu API zabezpieczeń programu Graph, a następnie użyć tych zmian jako wyzwalacza do przeglądania zarządzanych akcji odpowiedzi w portalu usługi Microsoft Defender. Akcje odpowiedzi zarządzanej powinny być dostępne w interfejsie API zabezpieczeń programu Graph jeszcze w tym roku, w tym czasie będzie można je zsynchronizować z aplikacjami innych firm. |
W innych usługach komunikacyjnych
Pytania | Odpowiedzi |
---|---|
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w wiadomości e-mail? | Gdy analityk Defender Experts opublikuje zalecane akcje reagowania na zdarzenie, wyznaczone kontakty dotyczące incydentów otrzymają odpowiednie powiadomienie e-mail na adresy e-mail określone w temacie Ustawienia> Kontaktypowiadomieńekspertów> usługi Defender w portalu usługi Microsoft Defender. Ponadto można skonfigurować aplikację logiki w celu automatycznego wysyłania wszystkich aktualizacji zdarzeń na wyznaczone adresy e-mail. |
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR w usłudze Microsoft Teams? | Funkcja czatu dwukierunkowego jest dostępna za pośrednictwem panelu wysuwanego managed response zdarzenia w portalu usługi Microsoft Defender. Ponadto otrzymujesz powiadomienia po opublikowaniu odpowiedzi zarządzanej i możesz prowadzić rozmowy na czacie w czasie rzeczywistym z ekspertami usługi Defender bezpośrednio w usłudze Microsoft Teams. Dowiedz się więcej o konfigurowaniu aplikacji Teams |
Czy mogę uzyskać aktualizacje ekspertów usługi Defender z usługi Microsoft Defender XDR jako aktualizacje wiadomości SMS lub połączeń telefonicznych lub w usługach komunikacyjnych innych firm, takich jak Slack? | Możesz skonfigurować aplikację logiki w taki sposób, aby wysyłała powiadomienia z usług komunikacyjnych, takich jak Slack, Twilio, Azure Communication Services itp. |
Zobacz też
Wykrywanie zarządzane i reagowanie
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.