Entender e gerenciar especialistas do Defender para atualizações de incidentes XDR

Artigo
04/26/2024

Aplica-se a:

Microsoft Defender XDR

A seção a seguir lista as perguntas que sua equipe do SOC pode ter sobre o recebimento de notificações de incidentes.

Em Microsoft Defender portal e API de Segurança do Graph

Perguntas	Respostas
Como fazer sabe se um analista do Defender Experts começou a trabalhar em um incidente?	Quando um analista do Defender Experts começa a trabalhar em um incidente, o campo Atribuído ao incidente é atualizado para Especialistas do Defender.
Como fazer sabe se um analista do Defender Experts resolveu um incidente?	Quando um analista do Defender Experts resolve um incidente, o campo Status do incidente é atualizado para Resolvido.
Como fazer sabe qual conclusão levou um analista do Defender Experts a resolve um incidente?	Quando os analistas do Defender Experts resolve um incidente, eles modificam os campos classificação e determinação do incidente e fornecem um resumo conciso em sua seção Comentários. Se um incidente for classificado como um True Positive, um resumo abrangente da investigação será exibido no painel de sobrevoo de resposta gerenciada em seu portal Microsoft Defender.
Como fazer sabe quais ações um analista do Defender Experts tomou no meu locatário ao investigar um incidente?	Para cada incidente que eles investigam, o analista do Defender Experts resume todas as ações executadas dentro de seu locatário no resumo de Investigação do incidente localizado no painel de sobrevoo de resposta gerenciada em seu portal Microsoft Defender. Você também pode recuperar informações sobre essas ações e as vezes que elas entraram em seu locatário pesquisando seus logs de auditoria no portal de conformidade do Microsoft Purview ou por meio da API de Atividade de Gerenciamento de Office 365.
Como fazer sabe se um analista do Defender Experts enviou alguma ação de resposta para minha equipe do SOC?	O analista do Defender Experts publica as ações de resposta que recomendam que sua equipe do SOC execute em um incidente no painel de sobrevoo de resposta gerenciada de um incidente no portal do Microsoft Defender. Neste momento, o campo Atribuído ao incidente é atualizado para o Cliente e seu Status é atualizado para Aguardar a Ação do Cliente. Seus contatos de incidente, que você designou em Configurações contatos>de notificaçãode especialistas> do Defender em seu portal Microsoft Defender, também receberão uma notificação de email correspondente se houver ações de resposta que exigem sua atenção. Você também receberá notificações do Teams se tiver configurado isso no Configurações>Do Defender Experts>Teams em seu portal Microsoft Defender.
Como fazer fazer perguntas a um analista do Defender Experts sobre uma investigação ou ação de resposta?	Depois que um analista do Defender Experts publicar seu resumo da investigação e recomendar ações de resposta no painel de sobrevoo de resposta gerenciada de um incidente True Positive, você pode usar a guia Chat no mesmo painel para fazer perguntas à equipe do Defender Experts sobre o incidente e sua investigação. Como alternativa, seus contatos de incidente designados podem responder diretamente ao Teams ou à notificação por email recebida por especialistas do Defender para fazer qualquer pergunta que você possa ter.
Como fazer sabe quais incidentes têm ações de resposta pendentes?	O cartão do Defender Experts na página inicial do portal Microsoft Defender inclui um link que exibe uma mensagem (por exemplo, três incidentes aguardando sua ação). A seleção desse link direciona você para uma lista filtrada de incidentes que exigem especificamente sua atenção. Você pode filtrar a fila de incidentes em seu portal Microsoft Defender selecionando Atribuído como Cliente ou Status como Aguardando Ação do Cliente.

No Microsoft Sentinel

Perguntas	Respostas
Como fazer obter atualizações do Defender Experts no Sentinel?	Se você habilitou o conector de dados entre Microsoft Defender XDR e o Microsoft Sentinel, as atualizações feitas pelo Defender Experts no Defender para incidentes serão sincronizadas com o Microsoft Sentinel. Saiba mais. Os campos Atribuídos a, Status e Classificação em incidentes de Microsoft Defender XDR são mapeados para os campos correspondentes no Sentinel, ou seja, Proprietário, Status e Razão para fechamento.
Como fazer obter atualizações do Defender Experts no Sentinel para disparar automaticamente um guia estratégico?	Para obter atualizações do Defender Experts, primeiro, configure regras de automação no Sentinel que são disparadas com as seguintes atualizações do Defender Experts: Quando o campo Proprietário no Microsoft Sentinel é atualizado para Especialistas ou Cliente do Defender. Quando o campo Status no Microsoft Sentinel é atualizado para Ativo ou Fechado, que corresponde a Microsoft Defender XDR StatusAtivo e Em Andamento, respectivamente. Quando a marca Sentinel aguardando a ação do cliente é adicionada, o que corresponde ao status Microsoft Defender XDR aguardando a ação do cliente. Em seguida, configure guias estratégicos no Microsoft Sentinel para sincronizar automaticamente atualizações de incidentes ou enviar notificações de incidentes para outros aplicativos. Envie email ou mensagem do Teams ou mensagem do Slack para sua equipe do SOC quando um analista do Defender Experts é atribuído a um incidente. Envie SMS ou chamada telefônica por meio dos Serviços de Comunicação do Azure ou do conector do Twilio para o líder do SOC quando o Defender Experts publicar uma ação de resposta para sua equipe. Create uma tarefa ou tíquete em aplicativos como Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty etc. para sua equipe de Operações de TI.
Como posso acessar ações de resposta gerenciada publicadas pelo Defender Experts do Sentinel?	Depois que os Especialistas do Defender publicam ações de resposta gerenciada para um incidente em seu portal de Microsoft Defender, o campo Proprietário é atualizado automaticamente para o Cliente e a marca Aguardando Ação do Cliente está disponível no Sentinel. Você pode usar essas alterações de campo como um gatilho para examinar o painel de resposta gerenciada para o incidente correspondente no portal Microsoft Defender.

Perguntas

Respostas

Como fazer obter atualizações do Defender Experts no Sentinel?

Se você habilitou o conector de dados entre Microsoft Defender XDR e o Microsoft Sentinel, as atualizações feitas pelo Defender Experts no Defender para incidentes serão sincronizadas com o Microsoft Sentinel. Saiba mais.

Os campos Atribuídos a, Status e Classificação em incidentes de Microsoft Defender XDR são mapeados para os campos correspondentes no Sentinel, ou seja, Proprietário, Status e Razão para fechamento.

Como fazer obter atualizações do Defender Experts no Sentinel para disparar automaticamente um guia estratégico?

Para obter atualizações do Defender Experts, primeiro, configure regras de automação no Sentinel que são disparadas com as seguintes atualizações do Defender Experts:

Quando o campo Proprietário no Microsoft Sentinel é atualizado para Especialistas ou Cliente do Defender.
Quando o campo Status no Microsoft Sentinel é atualizado para Ativo ou Fechado, que corresponde a Microsoft Defender XDR StatusAtivo e Em Andamento, respectivamente.
Quando a marca Sentinel aguardando a ação do cliente é adicionada, o que corresponde ao status Microsoft Defender XDR aguardando a ação do cliente.

Em seguida, configure guias estratégicos no Microsoft Sentinel para sincronizar automaticamente atualizações de incidentes ou enviar notificações de incidentes para outros aplicativos.

Envie email ou mensagem do Teams ou mensagem do Slack para sua equipe do SOC quando um analista do Defender Experts é atribuído a um incidente.
Envie SMS ou chamada telefônica por meio dos Serviços de Comunicação do Azure ou do conector do Twilio para o líder do SOC quando o Defender Experts publicar uma ação de resposta para sua equipe.
Create uma tarefa ou tíquete em aplicativos como Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty etc. para sua equipe de Operações de TI.

Como posso acessar ações de resposta gerenciada publicadas pelo Defender Experts do Sentinel?

Depois que os Especialistas do Defender publicam ações de resposta gerenciada para um incidente em seu portal de Microsoft Defender, o campo Proprietário é atualizado automaticamente para o Cliente e a marca Aguardando Ação do Cliente está disponível no Sentinel. Você pode usar essas alterações de campo como um gatilho para examinar o painel de resposta gerenciada para o incidente correspondente no portal Microsoft Defender.

Em aplicativos SIEM, SOAR ou ITSM de terceiros

Perguntas	Respostas
Como fazer obter atualizações do Defender Experts do Microsoft Defender XDR para sincronizar com aplicativos SIEM (gerenciamento de eventos e informações de segurança) de terceiros, orquestração de segurança, automação e resposta (SOAR) ou aplicativos de GERENCIAMENTO de serviços de TI (ITSM)?	Você pode obter atualizações do Defender Experts do Microsoft Defender XDR por meio do API de Segurança graph (microsoft.graph.security.incident). Para iniciar o processo de sincronização: Estabeleça o mapeamento entre campos em Microsoft Defender XDR e os campos correspondentes no aplicativo desejado. Determine se a sincronização deve ser uni ou bidirecional e verifique se o outro aplicativo dá suporte a isso. Desenvolva, teste e implante sua integração de sincronização. Na maioria dos casos, é recomendável sondar periodicamente o Graph API de Segurança a cada minuto ou mais para marcar para atualizações. Valide periodicamente se o mapeamento de campo está atualizado.
Posso sincronizar ações de resposta gerenciada publicadas pelo Defender Experts no portal Microsoft Defender para aplicativos SIEM, SOAR ou ITSM de terceiros?	Depois que os Especialistas do Defender publicam ações de resposta gerenciada para um incidente em seu portal de Microsoft Defender, o campo Atribuído a é alterado para Cliente e o campo Status é atualizado para Aguardar a Ação do Cliente. Você pode sincronizar esses campos por meio do API de Segurança graph e, em seguida, usar essas alterações como um gatilho para examinar as ações de resposta gerenciada no portal Microsoft Defender. Espera-se que as ações de resposta gerenciada estejam disponíveis no Graph API de Segurança ainda este ano, momento em que será possível sincronizá-las com seus aplicativos de terceiros.

Perguntas

Respostas

Como fazer obter atualizações do Defender Experts do Microsoft Defender XDR para sincronizar com aplicativos SIEM (gerenciamento de eventos e informações de segurança) de terceiros, orquestração de segurança, automação e resposta (SOAR) ou aplicativos de GERENCIAMENTO de serviços de TI (ITSM)?

Você pode obter atualizações do Defender Experts do Microsoft Defender XDR por meio do API de Segurança graph (microsoft.graph.security.incident).

Para iniciar o processo de sincronização:

Estabeleça o mapeamento entre campos em Microsoft Defender XDR e os campos correspondentes no aplicativo desejado. Determine se a sincronização deve ser uni ou bidirecional e verifique se o outro aplicativo dá suporte a isso.
Desenvolva, teste e implante sua integração de sincronização. Na maioria dos casos, é recomendável sondar periodicamente o Graph API de Segurança a cada minuto ou mais para marcar para atualizações.
Valide periodicamente se o mapeamento de campo está atualizado.

Posso sincronizar ações de resposta gerenciada publicadas pelo Defender Experts no portal Microsoft Defender para aplicativos SIEM, SOAR ou ITSM de terceiros?

Depois que os Especialistas do Defender publicam ações de resposta gerenciada para um incidente em seu portal de Microsoft Defender, o campo Atribuído a é alterado para Cliente e o campo Status é atualizado para Aguardar a Ação do Cliente. Você pode sincronizar esses campos por meio do API de Segurança graph e, em seguida, usar essas alterações como um gatilho para examinar as ações de resposta gerenciada no portal Microsoft Defender.

Espera-se que as ações de resposta gerenciada estejam disponíveis no Graph API de Segurança ainda este ano, momento em que será possível sincronizá-las com seus aplicativos de terceiros.

Em outros serviços de comunicação

Perguntas	Respostas
Posso obter atualizações do Defender Experts de Microsoft Defender XDR por email?	Depois que um analista do Defender Experts publicar ações de resposta recomendadas para um incidente, seus contatos de incidente designados receberão uma notificação de email correspondente aos endereços de email especificados em Configurações Contatos>de notificaçãode especialistas> do Defender em seu portal Microsoft Defender. Além disso, você pode configurar um Aplicativo Lógico para enviar todas as atualizações de incidentes para seus endereços de email designados automaticamente.
Posso obter atualizações do Defender Experts do Microsoft Defender XDR no Microsoft Teams?	Uma funcionalidade de chat bidirecional é acessível por meio do painel de sobrevoo de resposta gerenciada de um incidente em seu portal de Microsoft Defender. Além disso, você recebe notificações quando uma resposta gerenciada é postada e pode se envolver em conversas de chat em tempo real com especialistas do Defender diretamente no Microsoft Teams. Saiba mais sobre como configurar o Teams
Posso obter atualizações do Defender Experts de Microsoft Defender XDR como atualizações de SMS ou chamadas telefônicas ou em serviços de comunicação de terceiros, como o Slack?	Você pode configurar um Aplicativo Lógico para fazer isso para enviar notificações de serviços de comunicação como Slack, Twilio, Serviços de Comunicação do Azure etc.

Confira também

Detecção e resposta gerenciadas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.

Compartilhar via