瞭解和管理適用於 XDR 事件更新的 Defender 專家
適用於:
下一節列出SOC小組在收到 事件通知時可能遇到的問題。
在 Microsoft Defender 入口網站和圖形安全性 API 中
| 問題 | 答案 |
|---|---|
| 如何知道Defender專家分析師是否已開始處理事件? | 當 Defender 專家分析師開始處理事件時,事件的 [ 指派給 ] 欄位會更新為 Defender 專家。 |
| 如何知道Defender專家分析師是否已解決事件? | 當 Defender 專家分析師解決事件時,事件的 [ 狀態] 字 段會更新為 [ 已解決]。 |
| 如何知道哪一個結論導致 Defender 專家分析師解決事件? | 當 Defender 專家分析師解決事件時,他們會修改事件的 [ 分類 和 判斷 ] 欄位,並在其 [ 批注 ] 區段中提供簡要摘要。 如果事件分類為 True Positive,Microsoft Defender 入口網站的 [受控回應] 飛出視窗面板中會出現完整的調查摘要。 |
| 如何知道 Defender 專家分析師在調查事件時,在我的租用戶中採取的動作? | 針對他們調查的每一個事件,Defender 專家分析師會在事件的 [ 調查摘要 ] 中摘要說明他們在租用戶內執行的任何動作,該摘要位於 Microsoft Defender 入口網站的 [受控 回應 ] 飛出視窗面板中。 您也可以在 Microsoft Purview 合規性入口網站或透過 Office 365 管理活動 API 搜尋 稽核記錄 ,以擷取這些動作及其登入租用戶時間的相關信息。 |
| 如何知道Defender專家分析師是否已為SOC小組傳送任何回應動作? | Defender 專家分析師會發佈回應動作,建議您的SOC小組在Microsoft Defender入口網站中事件的受控 回應 飛出視窗面板中,對事件執行回應動作。 此時,事件的 [ 指派給 ] 字段會更新為 [客戶 ],且其 狀態 會更新為 [等待客戶採取動作]。 您在 MicrosoftDefender 入口網站中設定Defender 專家>通知聯繫人中>指定的事件聯繫人,如果有需要您注意的回應動作,也會收到對應的電子郵件通知。如果您已在 Microsoft Defender 入口網站的 [設定>Defender 專家>Teams] 中進行設定,您也會收到 Teams 通知。 |
| 如何詢問 Defender 專家分析師有關調查或回應動作的問題? | 當 Defender 專家分析師在 True Positive 事件的 [受控 回應 ] 飛出視窗面板中發佈其調查摘要和建議的回應動作之後,您可以使用相同面板中的 [ 聊天] 索引卷標,向 Defender 專家小組詢問有關事件及其調查的相關問題。 或者,您指定的事件聯繫人可以直接回應來自 Defender 專家的 Teams 或電子郵件通知,詢問您可能遇到的任何問題。 |
| 如何知道哪些事件有擱置的回應動作? | Microsoft Defender 入口網站首頁中的 [Defender 專家] 卡片包含一個連結,其中顯示訊息 (例如, 等待您採取動作的 3 個事件) 。 選取此連結會將您導向到特別需要注意的事件篩選清單。 您可以在 Microsoft Defender 入口網站中篩選事件佇列,方法是選取 [指派為客戶] 或 [狀態] 作為 [等待客戶動作]。 |
在 Microsoft Sentinel 中
| 問題 | 答案 |
|---|---|
| 如何在 Sentinel 中取得 Defender 專家更新? | 如果您已啟用 Microsoft Defender XDR 與 Microsoft Sentinel 之間的數據連接器,Defender 中 Defender 專家對事件所做的更新會與 Microsoft Sentinel 同步處理。
深入了解。 Microsoft Defender XDR 事件中的 [ 指派給]、[ 狀態] 和 [ 分類 ] 字段會對應至 Sentinel 中的對應字段,也就是 [擁有者]、[ 狀態] 和 [ 關閉原因]。 |
| 如何讓 Sentinel 中的 Defender 專家更新自動觸發劇本? | 若要取得 Defender 專家更新,請先在 Sentinel 中設定使用下列 Defender 專家更新觸發的自動化規則:
|
| 如何存取 Defender 專家從 Sentinel 發佈的受控回應動作? | 當 Defender 專家在您的 Microsoft Defender 入口網站中發佈事件的受控回應動作之後,[ 擁有者 ] 字段會自動更新為 [客戶 ],而 [ 等待客戶動作 ] 卷標可在 Sentinel 中使用。 您可以使用這些欄位變更作為觸發程式,在 Microsoft Defender 入口網站中檢閱對應事件的受控響應面板。 |
在第三方 SIEM、SOAR 或 ITSM 應用程式中
| 問題 | 答案 |
|---|---|
| 如何從 Microsoft Defender XDR 取得 Defender 專家更新,以同步至 SIEM) 、安全性協調流程、自動化和回應 ( (SOAR) ,或 IT 服務管理 (ITSM) 應用程式的第三方安全性資訊和事件管理? | 您可以透過 microsoft.graph.security.incident (Graph 安全性 API,從 Microsoft Defender XDR 取得 Defender 專家更新) 。 若要起始同步處理程式:
|
| 我可以將 Defender 專家在 Microsoft Defender 入口網站中發佈的受控回應動作同步處理到第三方 SIEM、SOAR 或 ITSM 應用程式嗎? | 一旦 Defender 專家在您的 Microsoft Defender 入口網站中發佈事件的受控回應動作,[ 指派給 ] 字段就會變更為 [客戶 ],且 [ 狀態] 字 段會更新為 [ 等待客戶動作]。 您可以透過 Graph 安全性 API 同步這些欄位,然後使用這些變更作為觸發程式,在 Microsoft Defender 入口網站中檢閱受控回應動作。 受控回應動作預計會在今年稍後的 Graph 安全性 API 中提供,屆時可以將其與您的第三方應用程式同步處理。 |
在其他通訊服務中
| 問題 | 答案 |
|---|---|
| 我可以在電子郵件中從 Microsoft Defender XDR 取得 Defender 專家更新嗎? | 當 Defender 專家分析師將建議的回應動作發佈至事件之後,您指定的事件聯繫人將會收到對應的電子郵件通知,連至您 Microsoft Defender 入口網站中設定Defender 專家>通知聯繫人中>所指定的電子郵件位址。 此外,您可以 設定邏輯應用程式 自動將所有事件更新傳送至指定的電子郵件地址 (es) 。 |
| 我可以從 Microsoft Teams 中的 Microsoft Defender XDR 取得 Defender 專家更新嗎? | 您可以在 Microsoft Defender 入口網站中,透過事件的 [受控 回應 ] 飛出視窗面板存取雙向聊天功能。 此外,您會在受控回應張貼時收到通知,並可直接在 Microsoft Teams 中與 Defender 專家進行即時聊天交談。 深入瞭解設定Teams |
| 我可以從 Microsoft Defender XDR 取得 Defender 專家更新作為 SMS 或電話更新,或在 Slack 等第三方通訊服務中取得更新嗎? | 您可以 設定邏輯應用程式 來執行此動作,以從 Slack、Twilio、Azure 通訊服務等通訊服務傳送通知。 |
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。