XDR olay güncelleştirmeleri için Defender Uzmanlarını anlama ve yönetme

Makale
07/04/2024

Şunlar için geçerlidir:

Microsoft Defender XDR

Aşağıdaki bölümde, SOC ekibinizin olay bildirimlerinin alınmasıyla ilgili olarak sahip olabileceği soruları listelemektedir.

Microsoft Defender portalında ve Graph Güvenlik API'sinde

Soru	Cevap
Defender Uzmanları analistlerinin bir olay üzerinde çalışmaya başlayıp başlamadığını nasıl bilebilirim?	Defender Uzmanları analisti bir olay üzerinde çalışmaya başladığında, olayın Atanan alanı Defender Uzmanları olarak güncelleştirilir.
Defender Uzmanları analistlerinin bir olayı çözümleyip çözmediğini nasıl bilebilirim?	Defender Uzmanları analisti bir olayı çözümlediğinde, olayın Durum alanı Çözüldü olarak güncelleştirilir.
Defender Uzmanları analistlerinin bir olayı çözmesine neden olan sonucu nasıl anbilirim?	Defender Uzmanları analistleri bir olayı çözümlediğinde, olayın Sınıflandırma ve Belirleme alanlarını değiştirir ve Açıklamalar bölümünde kısa bir özet sağlar. Bir olay Gerçek Pozitif olarak sınıflandırılırsa, Microsoft Defender portalınızın Yönetilen yanıt açılır panelinde kapsamlı bir Araştırma özeti görüntülenir.
Defender Uzmanları analistlerinin bir olayı araştırırken kiracımda hangi eylemleri yaptığını nasıl bilebilirim?	Araştırdıkları her olay için Defender Uzmanları analisti, kiracınızda gerçekleştirdikleri tüm eylemleri Microsoft Defender portalınızdaki Yönetilen yanıt açılır panelinde bulunan olayın Araştırma özetinde özetler. Microsoft Purview uyumluluk portalında veya Office 365 Yönetim Etkinliği API'si aracılığıyla denetim günlüklerinizi arayarak bu eylemler ve kiracınızda oturum açma süreleri hakkındaki bilgileri de alabilirsiniz.
Defender Uzmanları analistlerinin SOC ekibim için herhangi bir yanıt eylemi gönderip göndermediğini nasıl bilebilirim?	Defender Uzmanları analisti, SOC ekibinizin bir olay üzerinde gerçekleştirmesini önerdiği yanıt eylemlerini Microsoft Defender portalınızdaki bir olayın Yönetilen yanıt açılır penceresinde yayımlar. Şu anda olayın Atanan alanı Müşteri olarak, Durumu ise Bekleyen Müşteri Eylemi olarak güncelleştirilir. Microsoft Defender portalınızdaki Ayarlar>Defender Uzmanlar>Bildirimi kişilerindebelirttiğiniz olay kişileriniz, ilgilenmenizi gerektiren yanıt eylemleri varsa ilgili e-posta bildirimini de alır. Microsoft Defender portalınızdaki Ayarlar>Defender Uzmanlar>Ekipleri'nde ayarladıysanız bir Teams bildirimleri de alırsınız.
Defender Uzmanları analistlerine bir araştırma veya yanıt eylemi hakkında nasıl soru sorabilirim?	Defender Uzmanları analisti, Gerçek Pozitif bir olayın Yönetilen yanıt açılır panelinde araştırma özetini ve önerilen yanıt eylemlerini yayımladıktan sonra, Defender Uzmanlar ekibine olay ve soruşturmaları hakkında sorular sormak için aynı paneldeki Sohbet sekmesini kullanabilirsiniz. Alternatif olarak, belirlenen olay kişileriniz, sahip olabileceğiniz soruları sormak için Defender Uzmanlarından aldıkları Teams'e veya e-posta bildirimine doğrudan yanıt verebilir.
Hangi olayların bekleyen yanıt eylemleri olduğunu nasıl bilebilirim?	Microsoft Defender portalı giriş sayfanızdaki Defender Uzmanları kartı, bir ileti görüntüleyen bir bağlantı içerir (örneğin, eyleminizi bekleyen 3 olay). Bu bağlantıyı seçtiğinizde, özellikle dikkatinizi gerektiren filtrelenmiş bir olay listesine yönlendirilirsiniz. Microsoft Defender portalınızda Müşteri olarak atanan'ı veya Müşteri Eylemi Bekleniyor olarak Durum'u seçerek olay kuyruğuna filtreleyebilirsiniz.

Microsoft Sentinel'de

Soru	Cevap
Sentinel'de Defender Uzmanları güncelleştirmelerini nasıl alabilirim?	Microsoft Defender XDR ile Microsoft Sentinel arasında veri bağlayıcısını etkinleştirdiyseniz, Defender'daki Defender Uzmanları tarafından olaylara yönelik yapılan güncelleştirmeler Microsoft Sentinel ile eşitlenir. Daha fazla bilgi edinin. Microsoft Defender XDR olaylarındaki Atanan, Durum ve Sınıflandırma alanları Sentinel'deki sahip, durum ve kapatma nedeni olarak karşılık gelen alanlarla eşlenir.
Bir playbook'u otomatik olarak tetiklemeleri için Sentinel'deki Defender Uzmanları güncelleştirmelerini nasıl edinebilirim?	Defender Uzmanları güncelleştirmelerini almak için öncelikle Sentinel'de aşağıdaki Defender Uzmanlar güncelleştirmeleriyle tetiklenen otomasyon kurallarını ayarlayın: Microsoft Sentinel'deki Sahip alanı Defender Uzmanları veya Müşteri olarak güncelleştirildiğinde. Microsoft Sentinel'deki Durum alanı, sırasıyla Microsoft Defender XDR DurumuEtkin ve Devam Ediyor'a karşılık gelen Etkin veya Kapalı olarak güncelleştirildiğinde. Müşteri EylemiNi Bekleyen Sentinel Etiketi eklendiğinde, Bu, Microsoft Defender XDR DurumBekleyen Müşteri Eylemi'ne karşılık gelir. Ardından, olay güncelleştirmelerini otomatik olarak eşitlemek veya olay bildirimlerini diğer uygulamalara göndermek için Microsoft Sentinel'de playbook'ları ayarlayın. Bir olaya Defender Uzmanlar analisti atandığında SOC ekibinize e-posta veya Teams iletisi ya da Slack iletisi gönderin. Defender Uzmanları ekibiniz için yanıt eylemi yayımladığında SOC liderinize Azure Communications Services veya Twilio bağlayıcısı aracılığıyla SMS veya telefon araması gönderin. BT Operasyon ekibiniz için Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty gibi uygulamalarda bir görev veya bilet oluşturun.
Sentinel'den Defender Uzmanları tarafından yayımlanan yönetilen yanıt eylemlerine nasıl erişebilirim?	Defender Uzmanları Microsoft Defender portalınızda bir olay için yönetilen yanıt eylemlerini yayımladıktan sonra Sahip alanı otomatik olarak Müşteri olarak güncelleştirilir ve Sentinel'de Bekleyen Müşteri Eylemi etiketi kullanılabilir. Bu alan değişikliklerini, Microsoft Defender portalında ilgili olayın yönetilen yanıt panelini gözden geçirmek için tetikleyici olarak kullanabilirsiniz.

Soru

Cevap

Sentinel'de Defender Uzmanları güncelleştirmelerini nasıl alabilirim?

Microsoft Defender XDR ile Microsoft Sentinel arasında veri bağlayıcısını etkinleştirdiyseniz, Defender'daki Defender Uzmanları tarafından olaylara yönelik yapılan güncelleştirmeler Microsoft Sentinel ile eşitlenir. Daha fazla bilgi edinin.

Microsoft Defender XDR olaylarındaki Atanan, Durum ve Sınıflandırma alanları Sentinel'deki sahip, durum ve kapatma nedeni olarak karşılık gelen alanlarla eşlenir.

Bir playbook'u otomatik olarak tetiklemeleri için Sentinel'deki Defender Uzmanları güncelleştirmelerini nasıl edinebilirim?

Defender Uzmanları güncelleştirmelerini almak için öncelikle Sentinel'de aşağıdaki Defender Uzmanlar güncelleştirmeleriyle tetiklenen otomasyon kurallarını ayarlayın:

Microsoft Sentinel'deki Sahip alanı Defender Uzmanları veya Müşteri olarak güncelleştirildiğinde.
Microsoft Sentinel'deki Durum alanı, sırasıyla Microsoft Defender XDR DurumuEtkin ve Devam Ediyor'a karşılık gelen Etkin veya Kapalı olarak güncelleştirildiğinde.
Müşteri EylemiNi Bekleyen Sentinel Etiketi eklendiğinde, Bu, Microsoft Defender XDR DurumBekleyen Müşteri Eylemi'ne karşılık gelir.

Ardından, olay güncelleştirmelerini otomatik olarak eşitlemek veya olay bildirimlerini diğer uygulamalara göndermek için Microsoft Sentinel'de playbook'ları ayarlayın.

Bir olaya Defender Uzmanlar analisti atandığında SOC ekibinize e-posta veya Teams iletisi ya da Slack iletisi gönderin.
Defender Uzmanları ekibiniz için yanıt eylemi yayımladığında SOC liderinize Azure Communications Services veya Twilio bağlayıcısı aracılığıyla SMS veya telefon araması gönderin.
BT Operasyon ekibiniz için Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty gibi uygulamalarda bir görev veya bilet oluşturun.

Sentinel'den Defender Uzmanları tarafından yayımlanan yönetilen yanıt eylemlerine nasıl erişebilirim?

Defender Uzmanları Microsoft Defender portalınızda bir olay için yönetilen yanıt eylemlerini yayımladıktan sonra Sahip alanı otomatik olarak Müşteri olarak güncelleştirilir ve Sentinel'de Bekleyen Müşteri Eylemi etiketi kullanılabilir. Bu alan değişikliklerini, Microsoft Defender portalında ilgili olayın yönetilen yanıt panelini gözden geçirmek için tetikleyici olarak kullanabilirsiniz.

Üçüncü taraf SIEM, SOAR veya ITSM uygulamalarında

Soru	Cevap
Üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik düzenlemesi, otomasyon ve yanıt (SOAR) veya BT hizmet yönetimi (ITSM) uygulamalarıyla eşitlemek için Microsoft Defender XDR'den Defender Uzmanları güncelleştirmelerini nasıl alabilirim?	Defender Uzmanları güncelleştirmelerini Graph Güvenlik API'sinden (microsoft.graph.security.incident) Microsoft Defender XDR'den alabilirsiniz. Eşitleme işlemini başlatmak için: Microsoft Defender XDR'deki alanlar ile istenen uygulamadaki ilgili alanlar arasında eşlemeyi oluşturun. Eşitlemenin tek yönlü mü yoksa çift yönlü mü olması gerektiğini belirleyin ve diğer uygulamanın bunu desteklediğinden emin olun. Eşitleme tümleştirmenizi geliştirin, test edin ve dağıtın. Çoğu durumda güncelleştirmeleri denetlemek için Graph Güvenlik API'sini dakikada bir veya daha fazla düzenli aralıklarla yoklamanızı öneririz. Alan eşlemesinin güncel olduğunu düzenli aralıklarla doğrulayın.
Microsoft Defender portalında Defender Uzmanları tarafından yayımlanan yönetilen yanıt eylemlerini üçüncü taraf SIEM, SOAR veya ITSM uygulamalarıyla eşitleyebilir miyim?	Defender Uzmanları Microsoft Defender portalınızda bir olay için yönetilen yanıt eylemlerini yayımladıktan sonra, Atanan alanı Müşteri olarak değiştirilir ve Durum alanı Müşteri Eylemi Bekleniyor olarak güncelleştirilir. Graph Güvenlik API'sini kullanarak bu alanları eşitleyebilir ve ardından bu değişiklikleri tetikleyici olarak kullanarak Microsoft Defender portalındaki yönetilen yanıt eylemlerini gözden geçirebilirsiniz. Yönetilen yanıt eylemlerinin bu yılın sonlarında Graph Güvenlik API'sinde kullanılabilir olması beklenir ve bu sırada bunları üçüncü taraf uygulamalarınızla eşitlemeniz mümkün olacaktır.

Soru

Cevap

Üçüncü taraf güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik düzenlemesi, otomasyon ve yanıt (SOAR) veya BT hizmet yönetimi (ITSM) uygulamalarıyla eşitlemek için Microsoft Defender XDR'den Defender Uzmanları güncelleştirmelerini nasıl alabilirim?

Defender Uzmanları güncelleştirmelerini Graph Güvenlik API'sinden (microsoft.graph.security.incident) Microsoft Defender XDR'den alabilirsiniz.

Eşitleme işlemini başlatmak için:

Microsoft Defender XDR'deki alanlar ile istenen uygulamadaki ilgili alanlar arasında eşlemeyi oluşturun. Eşitlemenin tek yönlü mü yoksa çift yönlü mü olması gerektiğini belirleyin ve diğer uygulamanın bunu desteklediğinden emin olun.
Eşitleme tümleştirmenizi geliştirin, test edin ve dağıtın. Çoğu durumda güncelleştirmeleri denetlemek için Graph Güvenlik API'sini dakikada bir veya daha fazla düzenli aralıklarla yoklamanızı öneririz.
Alan eşlemesinin güncel olduğunu düzenli aralıklarla doğrulayın.

Microsoft Defender portalında Defender Uzmanları tarafından yayımlanan yönetilen yanıt eylemlerini üçüncü taraf SIEM, SOAR veya ITSM uygulamalarıyla eşitleyebilir miyim?

Defender Uzmanları Microsoft Defender portalınızda bir olay için yönetilen yanıt eylemlerini yayımladıktan sonra, Atanan alanı Müşteri olarak değiştirilir ve Durum alanı Müşteri Eylemi Bekleniyor olarak güncelleştirilir. Graph Güvenlik API'sini kullanarak bu alanları eşitleyebilir ve ardından bu değişiklikleri tetikleyici olarak kullanarak Microsoft Defender portalındaki yönetilen yanıt eylemlerini gözden geçirebilirsiniz.

Yönetilen yanıt eylemlerinin bu yılın sonlarında Graph Güvenlik API'sinde kullanılabilir olması beklenir ve bu sırada bunları üçüncü taraf uygulamalarınızla eşitlemeniz mümkün olacaktır.

Diğer iletişim hizmetlerinde

Soru	Cevap
Microsoft Defender XDR'den Defender Uzmanlar güncelleştirmelerini e-postayla alabilir miyim?	Defender Uzmanları analisti bir olay için önerilen yanıt eylemlerini yayımladıktan sonra, belirlenen olay kişileriniz Microsoft Defender portalınızdaki Ayarlar>Defender Uzmanlar>Bildirimi kişilerinde belirtilen e-posta adreslerine karşılık gelen bir e-posta bildirimi alır. Ayrıca, mantıksal uygulamayı tüm olay güncelleştirmelerini belirlenen e-posta adreslerinize otomatik olarak gönderecek şekilde yapılandırabilirsiniz .
Microsoft Teams'de Microsoft Defender XDR'den Defender Uzmanlar güncelleştirmelerini alabilir miyim?	İki yönlü sohbet işlevine, Microsoft Defender portalınızdaki bir olayın Yönetilen yanıt açılır paneli aracılığıyla erişilebilir. Ayrıca, Yönetilen yanıt gönderildiğinde bildirimler alırsınız ve doğrudan Microsoft Teams'in içinden Defender Uzmanlarıyla gerçek zamanlı sohbet konuşmalarına katılabilirsiniz. Teams'i ayarlama hakkında daha fazla bilgi edinin
Microsoft Defender XDR'den SMS veya telefon araması güncelleştirmeleri olarak ya da Slack gibi üçüncü taraf iletişim hizmetlerinde Defender Uzmanları güncelleştirmelerini alabilir miyim?	Slack, Twilio, Azure İletişim Hizmetleri gibi iletişim hizmetlerinden bildirim göndermek için bunu yapmak için bir Mantıksal Uygulama yapılandırabilirsiniz .

Ayrıca bkz.

Yönetilen algılama ve yanıt

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

Aracılığıyla paylaş