瞭解和管理適用於 XDR 事件更新的 Defender 專家

發行項
05/02/2024

適用於：

Microsoft Defender XDR

下一節列出SOC小組在收到事件通知時可能遇到的問題。

在 Microsoft Defender 入口網站和 Graph 安全性 API

問題	答案
如何? 知道Defender專家分析師是否已開始處理事件？	當 Defender 專家分析師開始處理事件時，事件的 [ 指派給 ] 欄位會更新為 Defender 專家。
如何? 知道Defender專家分析師是否已解決事件？	當 Defender 專家分析師解決事件時，事件的 [ 狀態] 字段會更新為 [ 已解決]。
如何? 知道哪一個結論導致 Defender 專家分析師解決事件？	當 Defender 專家分析師解決事件時，他們會修改事件的 [ 分類和判斷 ] 欄位，並在其 [ 批注 ] 區段中提供簡要摘要。如果事件分類為 True Positive，則 Microsoft Defender 入口網站的 [受控回應] 飛出視窗面板中會出現完整的調查摘要。
如何? 知道Defender專家分析師在調查事件時，在我的租用戶中採取的動作為何？	針對他們調查的每一個事件，Defender 專家分析師會在您 Microsoft Defender 入口網站的 [受控回應] 飛出視窗面板中，於事件的 [調查摘要] 中，摘要說明他們在租用戶內執行的任何動作。您也可以藉由在 Microsoft Purview 合規性入口網站或透過 Office 365 管理活動 API 搜尋稽核記錄，來擷取這些動作及其登入租用戶時間的相關信息。
如何? 知道Defender專家分析師是否已為我的SOC小組傳送任何回應動作？	Defender 專家分析師會發佈回應動作，建議您的SOC小組在Microsoft Defender入口網站中事件的受控回應飛出窗口面板中，對事件執行回應動作。此時，事件的 [ 指派給 ] 字段會更新為 [客戶 ]，且其狀態會更新為 [等待客戶採取動作]。您在 Microsoft Defender 入口網站的 [設定>Defender 專家>通知聯繫人] 中指定的事件聯繫人，如果有需要您注意的回應動作，也會收到對應的電子郵件通知。如果您已在 Microsoft Defender 入口網站的 [設定>Defender 專家>Teams] 中設定 Teams 通知，您也會收到該通知。
如何? 詢問Defender專家分析師有關調查或回應動作的問題嗎？	當 Defender 專家分析師在 True Positive 事件的 [受控回應 ] 飛出視窗面板中發佈其調查摘要和建議的回應動作之後，您可以使用相同面板中的 [ 聊天] 索引卷標，向 Defender 專家小組詢問有關事件及其調查的相關問題。或者，您指定的事件聯繫人可以直接回應來自 Defender 專家的 Teams 或電子郵件通知，詢問您可能遇到的任何問題。
如何? 知道哪些事件有擱置的響應動作？	Microsoft Defender 入口網站首頁中的Defender專家卡片包含一個連結，其中顯示訊息 (例如，等候您動作的3個事件) 。選取此連結會將您導向到特別需要注意的事件篩選清單。您可以在 Microsoft Defender 入口網站中篩選事件佇列，方法是選取 [指派為客戶] 或 [狀態] 作為 [等待客戶動作]。

在 Microsoft Sentinel 中

問題	答案
如何? 在 Sentinel 中取得 Defender 專家更新嗎？	如果您已在 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 之間啟用數據連接器，Defender 中 Defender 專家對事件所做的更新會與 Microsoft Sentinel 同步處理。深入了解。 Microsoft Defender 全面偵測回應事件中的 [指派給]、[狀態] 和 [分類] 字段會對應至 Sentinel 中的對應欄位，也就是 [擁有者]、[狀態] 和 [關閉原因]。
如何? 取得 Sentinel 中的 Defender 專家更新，以自動觸發劇本嗎？	若要取得 Defender 專家更新，請先在 Sentinel 中設定使用下列 Defender 專家更新觸發的自動化規則：當 Microsoft Sentinel 中的 [ 擁有者 ] 字段更新為 [Defender 專家 ] 或 [ 客戶] 時。當 Microsoft Sentinel 中的 [狀態] 欄位更新為 [作用中] 或 [已關閉] 時，分別對應至 [狀態作用中] 和 [進行中] Microsoft Defender 全面偵測回應。新增 Sentinel Tag等候客戶動作時，這會對應至 Microsoft Defender 全面偵測回應等待客戶動作的狀態。接下來，在 Microsoft Sentinel 中設定劇本，以自動同步事件更新或將事件通知傳送至其他應用程式。當 Defender 專家分析師獲指派事件時，將電子郵件、Teams 訊息或 Slack 訊息傳送給您的 SOC 小組。當 Defender 專家為您的小組發佈回應動作時，透過 Azure 通訊服務或 Twilio 連接器傳送簡訊或電話給 SOC 負責人。 Create 適用於 IT Ops 小組的 Azure DevOps、ServiceNow、Jira、ZenDesk、FreshService、PagerDuty 等應用程式中的工作或票證。
如何存取 Defender 專家從 Sentinel 發佈的受控回應動作？	一旦 Defender 專家在您的 Microsoft Defender 入口網站中發佈事件的受控回應動作，[擁有者] 字段就會自動更新為 [客戶]，而 [等待客戶動作] 卷標可在 Sentinel 中使用。您可以使用這些欄位變更作為觸發程式，在入口網站中檢閱對應事件的受控回應面板 Microsoft Defender。

問題

答案

如何? 在 Sentinel 中取得 Defender 專家更新嗎？

如果您已在 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 之間啟用數據連接器，Defender 中 Defender 專家對事件所做的更新會與 Microsoft Sentinel 同步處理。深入了解。

Microsoft Defender 全面偵測回應事件中的 [指派給]、[狀態] 和 [分類] 字段會對應至 Sentinel 中的對應欄位，也就是 [擁有者]、[狀態] 和 [關閉原因]。

如何? 取得 Sentinel 中的 Defender 專家更新，以自動觸發劇本嗎？

若要取得 Defender 專家更新，請先在 Sentinel 中設定使用下列 Defender 專家更新觸發的自動化規則：

當 Microsoft Sentinel 中的 [ 擁有者 ] 字段更新為 [Defender 專家 ] 或 [ 客戶] 時。
當 Microsoft Sentinel 中的 [狀態] 欄位更新為 [作用中] 或 [已關閉] 時，分別對應至 [狀態作用中] 和 [進行中] Microsoft Defender 全面偵測回應。
新增 Sentinel Tag等候客戶動作時，這會對應至 Microsoft Defender 全面偵測回應等待客戶動作的狀態。

接下來，在 Microsoft Sentinel 中設定劇本，以自動同步事件更新或將事件通知傳送至其他應用程式。

當 Defender 專家分析師獲指派事件時，將電子郵件、Teams 訊息或 Slack 訊息傳送給您的 SOC 小組。
當 Defender 專家為您的小組發佈回應動作時，透過 Azure 通訊服務或 Twilio 連接器傳送簡訊或電話給 SOC 負責人。
Create 適用於 IT Ops 小組的 Azure DevOps、ServiceNow、Jira、ZenDesk、FreshService、PagerDuty 等應用程式中的工作或票證。

如何存取 Defender 專家從 Sentinel 發佈的受控回應動作？

一旦 Defender 專家在您的 Microsoft Defender 入口網站中發佈事件的受控回應動作，[擁有者] 字段就會自動更新為 [客戶]，而 [等待客戶動作] 卷標可在 Sentinel 中使用。您可以使用這些欄位變更作為觸發程式，在入口網站中檢閱對應事件的受控回應面板 Microsoft Defender。

在第三方 SIEM、SOAR 或 ITSM 應用程式中

問題	答案
如何? 取得 Microsoft Defender 全面偵測回應的 Defender 專家更新，以同步至 SIEM) 、安全性協調流程、自動化和回應 ( (SOAR) 或 IT 服務管理 (ITSM) 應用程式的第三方安全性資訊和事件管理？	您可以透過 microsoft.graph.security.incident) (Graph 安全性 API，從 Microsoft Defender 全面偵測回應取得 Defender 專家更新。若要起始同步處理程式：在 Microsoft Defender 全面偵測回應中的欄位與所需應用程式中的對應欄位之間建立對應。判斷同步處理應該是單向還是雙向同步處理，並確保其他應用程式支援該同步處理。開發、測試及部署同步整合。在大部分情況下，建議您每分鐘或大約每分鐘定期輪詢 Graph 安全性 API，以檢查更新。定期驗證欄位對應是否為最新狀態。
我可以將 Defender 專家在 Microsoft Defender 入口網站中發佈的受控回應動作同步處理到第三方 SIEM、SOAR 或 ITSM 應用程式嗎？	一旦 Defender 專家針對您 Microsoft Defender 入口網站中的事件發佈受控回應動作，[指派給] 字段就會變更為 [客戶]，而 [狀態] 字段會更新為 [等待客戶動作]。您可以透過 Graph 安全性 API 同步這些欄位，然後使用這些變更作為觸發程式，以檢閱 Microsoft Defender 入口網站中的受控回應動作。受控回應動作預期會在本年度稍後的 Graph 安全性 API 中提供，屆時可以將其與您的第三方應用程式同步。

問題

答案

如何? 取得 Microsoft Defender 全面偵測回應的 Defender 專家更新，以同步至 SIEM) 、安全性協調流程、自動化和回應 ( (SOAR) 或 IT 服務管理 (ITSM) 應用程式的第三方安全性資訊和事件管理？

您可以透過 microsoft.graph.security.incident) (Graph 安全性 API，從 Microsoft Defender 全面偵測回應取得 Defender 專家更新。

若要起始同步處理程式：

在 Microsoft Defender 全面偵測回應中的欄位與所需應用程式中的對應欄位之間建立對應。判斷同步處理應該是單向還是雙向同步處理，並確保其他應用程式支援該同步處理。
開發、測試及部署同步整合。在大部分情況下，建議您每分鐘或大約每分鐘定期輪詢 Graph 安全性 API，以檢查更新。
定期驗證欄位對應是否為最新狀態。

我可以將 Defender 專家在 Microsoft Defender 入口網站中發佈的受控回應動作同步處理到第三方 SIEM、SOAR 或 ITSM 應用程式嗎？

一旦 Defender 專家針對您 Microsoft Defender 入口網站中的事件發佈受控回應動作，[指派給] 字段就會變更為 [客戶]，而 [狀態] 字段會更新為 [等待客戶動作]。您可以透過 Graph 安全性 API 同步這些欄位，然後使用這些變更作為觸發程式，以檢閱 Microsoft Defender 入口網站中的受控回應動作。

受控回應動作預期會在本年度稍後的 Graph 安全性 API 中提供，屆時可以將其與您的第三方應用程式同步。

在其他通訊服務中

問題	答案
我可以從電子郵件中的 Microsoft Defender 全面偵測回應取得 Defender 專家更新嗎？	當 Defender 專家分析師將建議的回應動作發佈至事件之後，您指定的事件聯繫人將會收到對應的電子郵件通知，連到您 Microsoft Defender 入口網站中設定Defender 專家>通知聯繫人中>所指定的電子郵件位址。此外，您可以設定邏輯應用程式自動將所有事件更新傳送至指定的電子郵件地址 (es) 。
我可以從 Microsoft Teams 中的 Microsoft Defender 全面偵測回應取得 Defender 專家更新嗎？	雙向聊天功能可透過您 Microsoft Defender 入口網站中事件的 [受控回應] 飛出視窗面板來存取。此外，您會在受控回應張貼時收到通知，並可直接在 Microsoft Teams 中與 Defender 專家進行即時聊天交談。深入瞭解設定Teams
我可以從 SMS 或電話更新或 Slack 等第三方通訊服務，從 Microsoft Defender 全面偵測回應取得 Defender 專家更新嗎？	您可以設定邏輯應用程式來執行此動作，以從 Slack、Twilio、Azure 通訊服務等通訊服務傳送通知。

另請參閱

受管理的偵測和回應

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應技術社群。