Compartilhar via


Compreender e gerir especialistas em Defender para atualizações de incidentes XDR

Aplica-se a:

A secção seguinte lista as perguntas que a sua equipa do SOC pode ter relativamente à receção de notificações de incidentes.

No portal do Microsoft Defender e na Graph Security API

Perguntas Respostas
Como posso saber se um analista de Especialistas em Defender começou a trabalhar num incidente? Quando um analista de Especialistas em Defender começa a trabalhar num incidente, o campo Atribuído ao incidente é atualizado para Especialistas do Defender.
Como posso saber se um analista de Especialistas em Defender resolveu um incidente? Quando um analista de Especialistas em Defender resolve um incidente, o campo Estado do incidente é atualizado para Resolvido.
Como posso saber que conclusão levou um analista de Especialistas do Defender a resolver um incidente? Quando os analistas do Defender Experts resolvem um incidente, modificam os campos Classificação e Determinação do incidente e fornecem um resumo conciso na secção Comentários .

Se um incidente for classificado como Verdadeiro Positivo, é apresentado um resumo abrangente da Investigação no painel de lista de opções Resposta gerida no portal do Microsoft Defender.
Como posso saber que ações um analista de Especialistas do Defender tomou no meu inquilino ao investigar um incidente? Para cada incidente que investigarem, o analista de Especialistas em Defender resume todas as ações efetuadas no seu inquilino no resumo investigação do incidente localizado no painel de lista de opções Resposta gerida no portal do Microsoft Defender.

Também pode obter informações sobre estas ações e as horas em que iniciaram sessão no seu inquilino ao pesquisar os seus registos de auditoria no portal de conformidade do Microsoft Purview ou através da API de Atividade de Gestão do Office 365.
Como posso saber se um analista de Especialistas em Defender enviou alguma ação de resposta para a minha equipa do SOC? O analista de Especialistas em Defender publica as ações de resposta que recomendam à sua equipa do SOC para realizar um incidente no painel de lista de opções Resposta gerida de um incidente no portal do Microsoft Defender.

Neste momento, o campo Atribuído ao incidente é atualizado para o Cliente e o respetivo Estado é atualizado para Aguardar Ação do Cliente.

Os seus contactos de incidentes, que designou em Definições Contactos> denotificaçãode Especialistas em> Defender no portal do Microsoft Defender, também recebem uma notificação por e-mail correspondente se existirem ações de resposta que exijam a sua atenção. Também receberá notificações do Teams se a tiver configurado noTeams deEspecialistas> em Definições> do Defender no seu portal do Microsoft Defender.
Como posso fazer perguntas a um analista de Especialistas do Defender sobre uma ação de investigação ou resposta? Depois de um analista de Especialistas em Defender publicar o resumo da investigação e as ações de resposta recomendadas no painel de lista de opções Resposta gerida de um incidente True Positive, pode utilizar o separador Chat no mesmo painel para fazer perguntas à equipa de Especialistas do Defender sobre o incidente e a respetiva investigação.

Em alternativa, os seus contactos de incidentes designados podem responder diretamente ao Teams ou notificação por e-mail que receberam dos Especialistas do Defender para fazer quaisquer perguntas que possa ter.
Como posso saber que incidentes têm ações de resposta pendentes? O cartão Especialistas do Defender na home page do portal do Microsoft Defender inclui uma ligação que apresenta uma mensagem (por exemplo, 3 incidentes à espera da sua ação). Selecionar esta ligação direciona-o para uma lista filtrada de incidentes que requerem especificamente a sua atenção.

Pode filtrar a fila de incidentes no portal do Microsoft Defender ao selecionar Atribuído a como Cliente ou Estado como A aguardar Ação do Cliente.

No Microsoft Sentinel

Perguntas Respostas
Como obtenho atualizações de Especialistas em Defender no Sentinel? Se tiver ativado o conector de dados entre o Microsoft Defender XDR e o Microsoft Sentinel, as atualizações feitas por Especialistas do Defender no Defender para incidentes são sincronizadas com o Microsoft Sentinel. Saiba mais.

Os campos Atribuído a, Estado e Classificação em incidentes XDR do Microsoft Defender são mapeados para os campos correspondentes no Sentinel, nomeadamente Proprietário, Estado e Motivo do encerramento.
Como posso obter atualizações de Especialistas em Defender no Sentinel para acionar automaticamente um manual de procedimentos? Para obter as atualizações dos Especialistas do Defender, primeiro, configure as regras de automatização no Sentinel que são acionadas com as seguintes atualizações de Especialistas em Defender:
  • Quando o campo Proprietário no Microsoft Sentinel é atualizado para Especialistas do Defender ou Cliente.
  • Quando o campo Estado no Microsoft Sentinel é atualizado para Ativo ou Fechado, o que corresponde ao Estadodo Microsoft Defender XDR Ativo e Em Curso , respetivamente.
  • Quando a Etiqueta Sentinel a Aguardar Ação do Cliente é adicionada, o que corresponde ao Estado XDR do Microsoft Defender a Aguardar Ação do Cliente.
Em seguida, configure manuais de procedimentos no Microsoft Sentinel para sincronizar automaticamente atualizações de incidentes ou enviar notificações de incidentes para outras aplicações.
  • Envie um e-mail, mensagem do Teams ou mensagem do Slack à sua equipa do SOC quando um analista de Especialistas em Defender for atribuído a um incidente.
  • Envie SMS ou chamada telefónica através do conector do Azure Communications Services ou do Twilio para a sua oportunidade potencial do SOC quando os Especialistas do Defender publicarem a ação de resposta para a sua equipa.
  • Crie uma tarefa ou pedido de suporte em aplicações como o Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, etc. para a sua equipa de Operações de TI.
Como posso aceder a ações de resposta gerida publicadas por Especialistas do Defender a partir do Sentinel? Assim que os Especialistas em Defender publicarem ações de resposta gerida para um incidente no portal do Microsoft Defender, o campo Proprietário é atualizado automaticamente para o Cliente e a etiqueta A aguardar Ação do Cliente está disponível no Sentinel. Pode utilizar estas alterações de campo como acionador para rever o painel de resposta gerida do incidente correspondente no portal do Microsoft Defender.

Em aplicações SIEM, SOAR ou ITSM de terceiros

Perguntas Respostas
Como posso obter atualizações de Especialistas em Defender do Microsoft Defender XDR para sincronizar com aplicações de gestão de informações e eventos de segurança (SIEM), orquestração de segurança, automatização e resposta (SOAR) ou gestão de serviços de TI (ITSM) de terceiros? Pode obter atualizações de Especialistas em Defender do Microsoft Defender XDR através da Graph Security API (microsoft.graph.security.incident).

Para iniciar o processo de sincronização:
  1. Estabeleça o mapeamento entre os campos no Microsoft Defender XDR e os campos correspondentes na aplicação pretendida. Determine se a sincronização deve ser uni ou bidirecional e certifique-se de que a outra aplicação o suporta.
  2. Desenvolva, teste e implemente a integração de sincronização. Na maioria dos casos, é recomendado consultar periodicamente a Graph Security API a cada minuto para procurar atualizações.
  3. Valide periodicamente se o mapeamento de campos está atualizado.
Posso sincronizar as ações de resposta gerida publicadas pelos Especialistas do Defender no portal do Microsoft Defender para aplicações SIEM, SOAR ou ITSM de terceiros? Assim que os Especialistas em Defender publicarem ações de resposta geridas para um incidente no portal do Microsoft Defender, o campo Atribuído a é alterado para Cliente e o campo Estado é atualizado para Aguardar Ação do Cliente. Pode sincronizar estes campos através da Graph Security API e, em seguida, utilizar estas alterações como acionador para rever as ações de resposta gerida no portal do Microsoft Defender.

Espera-se que as ações de resposta geridas estejam disponíveis na Graph Security API ainda este ano, altura em que será possível sincronizá-las com as suas aplicações de terceiros.

Noutros serviços de comunicação

Perguntas Respostas
Posso obter atualizações de Especialistas em Defender a partir do Microsoft Defender XDR por e-mail? Assim que um analista de Especialistas em Defender publicar as ações de resposta recomendadas a um incidente, os seus contactos de incidentes designados receberão uma notificação por e-mail correspondente aos endereços de e-mail especificados em Definições Contactos> deNotificaçãode Especialistas> em Defender no seu portal do Microsoft Defender.

Além disso, pode configurar uma Aplicação Lógica para enviar automaticamente todas as atualizações de incidentes para os endereços de e-mail designados.
Posso obter atualizações de Especialistas em Defender a partir do Microsoft Defender XDR no Microsoft Teams? Uma funcionalidade de chat bidirecional é acessível através do painel de lista de opções Resposta gerida de um incidente no portal do Microsoft Defender.

Além disso, recebe notificações quando uma resposta gerida é publicada e pode participar em conversações em tempo real com Especialistas do Defender diretamente no Microsoft Teams. Saiba mais sobre como configurar o Teams
Posso obter atualizações de Especialistas em Defender do Microsoft Defender XDR como atualizações de sms ou chamadas telefónicas ou em serviços de comunicação de terceiros, como o Slack? Pode configurar uma Aplicação Lógica para o fazer para enviar notificações de serviços de comunicação como o Slack, Twilio, Azure Communication Services, etc.

Confira também

Detecção e resposta gerenciadas

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.