了解和管理 Defender Experts for XDR 事件更新
适用于:
以下部分列出了 SOC 团队在接收 事件通知时可能提出的问题。
在 Microsoft Defender 门户和图形安全 API 中
| 问题 | 答案 |
|---|---|
| 如何知道 Defender 专家分析师是否已开始处理事件? | 当 Defender 专家分析师开始处理事件时,事件的“ 已分配到 ”字段将更新为 Defender Experts。 |
| 如何知道 Defender 专家分析师是否已解决事件? | 当 Defender Experts 分析师解决事件时,事件的 “状态” 字段将更新为 “已解决”。 |
| 如何知道是什么结论导致 Defender 专家分析师解决了事件? | Defender 专家分析人员解决事件时,会修改事件的 “分类 和 确定” 字段,并在其 “注释 ”部分提供简明的摘要。 如果事件被分类为“真正”,则会在 Microsoft Defender 门户的“托管响应”浮出控件面板中显示全面的调查摘要。 |
| 如何知道 Defender 专家分析师在调查事件时对我的租户采取了哪些操作? | 对于他们调查的每个事件,Defender 专家分析师都会在 Microsoft Defender 门户的托管响应浮出控件面板中的事件调查摘要中汇总他们在租户中执行的任何操作。 还可以通过在 Microsoft Purview 合规性门户上或通过 Office 365 管理活动 API 搜索审核日志 来检索有关这些操作的信息,以及这些操作登录到租户的时间。 |
| 如何知道 Defender 专家分析师是否为我的 SOC 团队发送了任何响应操作? | Defender 专家分析师在 Microsoft Defender 门户中的 托管响应 浮出面板中发布建议 SOC 团队对事件执行的响应操作。 此时,事件的“ 分配到 ”字段将更新为 “客户” ,其 “状态 ”将更新为 “正在等待客户操作”。 Microsoft Defender 门户中的“设置Defender 专家>通知联系人”>中指定的事件联系人也会收到相应的电子邮件通知,如果有需要你注意的响应操作。如果你已在 Microsoft Defender 门户中的“设置Defender 专家>Teams”>中设置它,你还会收到 Teams 通知。 |
| 如何向 Defender 专家分析师询问有关调查或响应操作的问题? | Defender 专家分析师在 True Positive 事件的 托管响应 浮出面板中发布其调查摘要和建议的响应操作后,可以使用同一面板中的“ 聊天 ”选项卡向 Defender 专家团队询问有关事件及其调查的问题。 或者,指定的事件联系人可以直接回复他们从 Defender 专家收到的 Teams 或电子邮件通知,询问你可能有的任何问题。 |
| 如何知道哪些事件具有挂起的响应操作? | Microsoft Defender 门户主页中的 Defender 专家卡包含一个链接,该链接显示消息 (例如 3 个等待操作 的事件) 。 选择此链接会将你定向到经过筛选的事件列表,这些事件专门需要你注意。 可以通过选择“ 已分配到 ”作为 “客户 ”或“ 状态 ”作为“ 等待客户操作”,在 Microsoft Defender 门户中筛选事件队列。 |
在 Microsoft Sentinel 中
| 问题 | 答案 |
|---|---|
| 如何在 Sentinel 中获取 Defender 专家更新? | 如果已在 Microsoft Defender XDR 和 Microsoft Sentinel 之间启用数据连接器,则 Defender 中 Defender 专家对事件的更新会与 Microsoft Sentinel 同步。
了解详细信息。 Microsoft Defender XDR 事件中的“分配到”、“状态”和“分类”字段映射到 Sentinel 中的相应字段,即“所有者”、“状态”和“关闭原因”。 |
| 如何在 Sentinel 中获取 Defender 专家更新以自动触发 playbook? | 若要获取 Defender 专家更新,请先在 Sentinel 中设置自动化规则,这些规则通过以下 Defender 专家更新触发:
|
| 如何访问 Defender Experts 从 Sentinel 发布的托管响应操作? | 在 Microsoft Defender 门户中发布事件的托管响应操作后, “所有者” 字段会自动更新为 “客户 ”,并且 Sentinel 中提供了“ 等待客户操作” 标记。 可以使用这些字段更改作为触发器,在 Microsoft Defender 门户中查看相应事件的托管响应面板。 |
在第三方 SIEM、SOAR 或 ITSM 应用中
| 问题 | 答案 |
|---|---|
| 如何从 Microsoft Defender XDR 获取 Defender 专家更新,以同步到第三方安全信息和事件管理 (SIEM) 、安全业务流程、自动化和响应 (SOAR) ,或 IT 服务管理 (ITSM) 应用? | 可以通过 图形安全 API 从 Microsoft Defender XDR 获取 Defender 专家更新, (microsoft.graph.security.incident) 。 若要启动同步过程,请执行以下操作:
|
| 是否可以将 Defender 专家在 Microsoft Defender 门户中发布的托管响应操作同步到第三方 SIEM、SOAR 或 ITSM 应用? | Defender 专家在 Microsoft Defender 门户中发布事件的托管响应操作后,“ 分配到 ”字段将更改为 “客户 ”,并将 “状态” 字段更新为 “正在等待客户操作”。 可以通过 Graph 安全 API 同步这些字段,然后将这些更改用作触发器,在 Microsoft Defender 门户中查看托管响应操作。 托管响应操作预计将在今年晚些时候在 Graph 安全 API 中提供,届时可以将它们与第三方应用同步。 |
在其他通信服务中
| 问题 | 答案 |
|---|---|
| 是否可以通过电子邮件从 Microsoft Defender XDR 获取 Defender 专家更新? | Defender 专家分析师发布针对事件的建议响应操作后,指定的事件联系人将收到相应的电子邮件通知,该电子邮件通知指向 Microsoft Defender 门户中 的“设置>Defender 专家>通知联系人 ”中指定的电子邮件地址。 此外,可以将 逻辑应用配置为 将所有事件更新发送到指定的电子邮件地址, (es) 。 |
| 是否可以从 Microsoft Teams 中的 Microsoft Defender XDR 获取 Defender 专家更新? | 可通过 Microsoft Defender 门户中的事件 托管响应 浮出控件面板访问双向聊天功能。 此外,在发布托管响应时,你会收到通知,并且可以直接在 Microsoft Teams 中与 Defender 专家进行实时聊天对话。 详细了解如何设置 Teams |
| 我是否可以从 Microsoft Defender XDR 获取 Defender 专家更新,例如短信或电话呼叫更新,或者在 Slack 等第三方通信服务中获取 Defender 专家更新? | 可以将 逻辑应用配置为 执行此操作,以从 Slack、Twilio、Azure 通信服务等通信服务发送通知。 |
另请参阅
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。