Поделиться через

Совместная работа в Microsoft Teams (общедоступная предварительная версия)

  • Статья

Microsoft Sentinel поддерживает прямую интеграцию с Microsoft Teams, позволяя переходить непосредственно к работе в команде по конкретным инцидентам.

Внимание

Интеграция с Microsoft Teams сейчас доступна в качестве предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Обзор

Интеграция с Microsoft Teams непосредственно из Microsoft Sentinel позволяет командам удобно сотрудничать в организации и с внешними заинтересованными лицами.

Используйте Microsoft Teams с группой по инцидентам Microsoft Sentinel, чтобы централизовать взаимодействие и координацию между соответствующими сотрудниками. Команды по инцидентам особенно полезны при использовании в качестве выделенного связующего звена для работы с текущими инцидентами высокого уровня серьезности.

Организации, которые уже используют Microsoft Teams для коммуникации и совместной работы, благодаря интеграции с Microsoft Sentinel могут применять данные безопасности в обсуждениях и повседневной работе.

Команда по инцидентам Microsoft Sentinel всегда располагает новейшими данными из Microsoft Sentinel, чтобы в распоряжении ваших команд была наиболее актуальная информация.

Необходимые разрешения

Чтобы создать команды из Microsoft Sentinel:

  • У пользователя, создающего команду, должны быть разрешения на запись инцидентов в Microsoft Sentinel. Например, идеально подходит роль респондента Azure Sentinel (ее разрешения минимально необходимы для этой задачи).

  • У пользователя, создающего команду, также должны быть соответствующие разрешения в Microsoft Teams.

  • Запросить и получить доступ к созданной команде может любой пользователь Microsoft Sentinel, включая пользователей с ролями читателя, респондента и участника.

Использование команды по инциденту для расследования

Проводите расследование вместе с командой по инциденту, интегрировав Microsoft Teams непосредственно из инцидента.

Чтобы создать команду по инциденту:

  1. В Microsoft Sentinel в сетке Управление угрозами>Инциденты выберите инцидент, который вы изучаете в данный момент.

  2. В нижней части области инцидента, отображаемой справа, выберите "Действия">"Создать команду (предварительная версия)".

    Создайте команду для совместной работы в команде инцидентов.

    Панель "Команда по инциденту" открывается справа. Задайте следующие параметры для команды по инциденту:

    • Имя команды — автоматически задается по имени инцидента. При необходимости измените имя, чтобы оно было более понятным.

    • Описание команды: введите содержательное описание команды по инциденту.

    • Добавление групп и участников. Выберите одного или нескольких пользователей Microsoft Entra и (или) групп, которые нужно добавить в группу инцидентов. При выборе пользователей и групп они будут отображаться в списке "Выбранные группы и пользователи" под списком "Добавление групп и участников".

      Совет

      Если вы регулярно работаете с теми же пользователями и группами, вы можете выбрать звездочку рядом с каждой из них в списке "Выбранные группы и пользователи", чтобы сохранить их в избранном.

      Избранные команды автоматически выбираются при следующем создании команды. Если вы хотите удалить избранное из следующей команды, нажмите кнопку "Удалить" или снова выберите звезду, чтобы удалить команду из избранного полностью.

  3. Завершив добавление пользователей и групп, выберите "Создать команду", чтобы создать команду по инциденту.

    В области инцидента появится ссылка на новую команду по инциденту под названием Имя команды.

    Щелкните ссылку интеграции Teams, добавленную в инцидент.

  4. Выберите ссылку Интеграция с Teams, чтобы переключиться в Microsoft Teams, где все данные об инциденте представлены на вкладке Страница инцидента.

    Страница инцидента в Microsoft Teams.

Продолжайте обсуждение с целью расследования в Teams столько, сколько понадобится. Вы можете получить полные сведения об инциденте непосредственно в командах.

Совет

  • Если вам необходимо добавить в команду отдельных пользователей, это можно сделать в Microsoft Teams с помощью кнопки Добавить дополнительных пользователей на вкладке Записи.

  • При закрытии инцидента соответствующая команда по инциденту, созданная в Microsoft Teams, архивируется. В случае повторного открытия инцидента соответствующая команда по инциденту также снова открывается в Microsoft Teams, чтобы вы могли продолжить обсуждение.

Дальнейшие действия

Дополнительные сведения см. в разделе: