Defender-experts voor XDR-incidentupdates begrijpen en beheren
Van toepassing op:
In de volgende sectie vindt u vragen die uw SOC-team mogelijk heeft met betrekking tot de ontvangst van incidentmeldingen.
In De Microsoft Defender-portal en Graph Security-API
| Vragen | Antwoorden |
|---|---|
| Hoe weet ik of een Defender Experts-analist aan een incident is begonnen? | Wanneer een Defender Experts-analist aan een incident begint te werken, wordt het veld Toegewezen aan van het incident bijgewerkt naar Defender-experts. |
| Hoe weet ik of een Defender Experts-analist een incident heeft opgelost? | Wanneer een Defender Experts-analist een incident heeft opgelost, wordt het veld Status van het incident bijgewerkt naar Opgelost. |
| Hoe weet ik welke conclusie een Defender Experts-analist ertoe heeft gebracht om een incident op te lossen? | Wanneer Defender Experts-analisten een incident oplossen, wijzigen ze de velden Classificatie en Bepaling van het incident en geven ze een beknopt overzicht in de sectie Opmerkingen . Als een incident wordt geclassificeerd als een waar-positief, wordt een uitgebreid overzicht van onderzoek weergegeven in het flyoutvenster Beheerde respons in uw Microsoft Defender-portal. |
| Hoe weet ik welke acties een Defender Experts-analist heeft ondernomen in mijn tenant bij het onderzoeken van een incident? | Voor elk incident dat ze onderzoeken, vat de Defender Experts-analist alle acties samen die ze in uw tenant hebben uitgevoerd in de samenvatting van het onderzoek van het incident in het flyoutvenster Beheerde respons in uw Microsoft Defender-portal. U kunt ook informatie ophalen over deze acties en de tijden waarop ze zich hebben aangemeld bij uw tenant, door te zoeken in uw auditlogboeken in de Microsoft Purview-complianceportal of via de Office 365 Management Activity-API. |
| Hoe weet ik of een Defender Experts-analist antwoordacties heeft verzonden voor mijn SOC-team? | De Defender Experts-analist publiceert de reactieacties die ze uw SOC-team aanbevelen om uit te voeren op een incident in het flyoutvenster Beheerde reactie van een incident in uw Microsoft Defender-portal. Op dit moment wordt het veld Toegewezen aan van het incident bijgewerkt naar klant en wordt de status bijgewerkt naar Actie klant in afwachting. Uw contactpersonen voor incidenten, die u hebt aangewezen in Instellingen>Contactpersonen voor meldingen van Defender-experts> in uw Microsoft Defender-portal, ontvangen ook een bijbehorende e-mailmelding als er reactieacties zijn die uw aandacht vereisen. U ontvangt ook een Teams-melding als u deze hebt ingesteld in Instellingen>Defender Experts>Teams in uw Microsoft Defender-portal. |
| Hoe stel ik een Defender Experts-analist vragen over een onderzoek of reactieactie? | Nadat een Defender Experts-analist de onderzoekssamenvatting en aanbevolen reactieacties heeft gepubliceerd in het flyoutvenster Beheerde respons van een True Positive-incident, kunt u het tabblad Chat in hetzelfde deelvenster gebruiken om het Defender Experts-team vragen te stellen over het incident en hun onderzoek. Uw aangewezen contactpersonen voor incidenten kunnen ook rechtstreeks reageren op de Teams- of e-mailmelding die ze van Defender-experts hebben ontvangen om eventuele vragen te stellen. |
| Hoe weet ik welke incidenten reactieacties in behandeling hebben? | De kaart Defender-experts op de startpagina van de Microsoft Defender-portal bevat een koppeling met een bericht (bijvoorbeeld 3 incidenten die wachten op uw actie). Als u deze koppeling selecteert, wordt u omgeleid naar een gefilterde lijst met incidenten die specifiek uw aandacht vereisen. U kunt de wachtrij voor incidenten in uw Microsoft Defender-portal filteren door Toegewezen aan als klant of Status als Actie klant in afwachting te selecteren. |
In Microsoft Sentinel
| Vragen | Antwoorden |
|---|---|
| Hoe krijg ik updates van Defender-experts in Sentinel? | Als u de gegevensconnector tussen Microsoft Defender XDR en Microsoft Sentinel hebt ingeschakeld, worden updates van Defender-experts in Defender voor incidenten gesynchroniseerd met Microsoft Sentinel.
Meer informatie. De velden Toegewezen aan, Status en Classificatie in Microsoft Defender XDR-incidenten worden toegewezen aan de bijbehorende velden in Sentinel, namelijk Eigenaar, Status en Reden voor sluiten. |
| Hoe krijg ik updates van Defender Experts in Sentinel om automatisch een playbook te activeren? | Als u updates van Defender Experts wilt downloaden, stelt u eerst automatiseringsregels in Sentinel in die worden geactiveerd met de volgende Updates van Defender Experts:
|
| Hoe krijg ik toegang tot beheerde antwoordacties die zijn gepubliceerd door Defender-experts van Sentinel? | Zodra Defender-experts beheerde reactieacties voor een incident publiceren in uw Microsoft Defender-portal, wordt het veld Eigenaar automatisch bijgewerkt naar Klant en is de tag Wachten op klantactie beschikbaar in Sentinel. U kunt deze veldwijzigingen gebruiken als trigger om het beheerde antwoordvenster te controleren op het bijbehorende incident in de Microsoft Defender-portal. |
In SIEM-, SOAR- of ITSM-apps van derden
| Vragen | Antwoorden |
|---|---|
| Hoe kan ik updates van Defender-experts van Microsoft Defender XDR synchroniseren met SIEM-apps (Security Information and Event Management), security orchestration, automation and response (SOAR) of ITSM-apps (IT Service Management) van derden? | U kunt updates van Defender-experts downloaden van Microsoft Defender XDR via de Graph Security-API (microsoft.graph.security.incident). Het synchronisatieproces starten:
|
| Kan ik acties voor beheerde reacties die zijn gepubliceerd door Defender Experts in de Microsoft Defender-portal synchroniseren met SIEM-, SOAR- of ITSM-apps van derden? | Zodra Defender-experts beheerde reactieacties voor een incident in uw Microsoft Defender-portal hebben gepubliceerd, wordt het veld Toegewezen aan gewijzigd in Klant en wordt het veld Status bijgewerkt naar Actie klant in afwachting. U kunt deze velden synchroniseren via de Graph Security-API en deze wijzigingen vervolgens gebruiken als trigger om de beheerde antwoordacties in de Microsoft Defender-portal te bekijken. Acties voor beheerde antwoorden zijn naar verwachting later dit jaar beschikbaar in de Graph Security-API, waarna het mogelijk is om ze te synchroniseren met uw apps van derden. |
In andere communicatieservices
| Vragen | Antwoorden |
|---|---|
| Kan ik updates van Defender-experts van Microsoft Defender XDR via e-mail ontvangen? | Zodra een Defender Experts-analist aanbevolen reactieacties op een incident publiceert, ontvangen uw aangewezen contactpersonen voor incidenten een bijbehorende e-mailmelding naar de e-mailadressen die zijn opgegeven in Instellingen>Defender Experts>Notification-contactpersonen in uw Microsoft Defender-portal. Daarnaast kunt u een logische app configureren om alle incidentupdates automatisch naar uw opgegeven e-mailadres(sen) te verzenden. |
| Kan ik updates van Defender-experts downloaden van Microsoft Defender XDR in Microsoft Teams? | Een chatfunctie in twee richtingen is toegankelijk via het flyoutvenster voor beheerde reacties van een incident in uw Microsoft Defender-portal. Daarnaast ontvangt u meldingen wanneer een beheerd antwoord wordt gepost en kunt u rechtstreeks vanuit Microsoft Teams in realtime chatgesprekken voeren met Defender-experts. Meer informatie over het instellen van Teams |
| Kan ik updates van Defender-experts ontvangen van Microsoft Defender XDR als sms- of telefoongespreksupdates of in communicatieservices van derden, zoals Slack? | U kunt een logische app configureren om dit te doen om meldingen te verzenden van communicatieservices zoals Slack, Twilio, Azure Communication Services, enzovoort. |
Zie ook
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.