Общие сведения об обновлениях инцидентов XDR для экспертов Defender и управление ими
Область применения:
В следующем разделе перечислены вопросы, которые могут возникнуть у вашей команды SOC относительно получения уведомлений об инцидентах.
На портале Microsoft Defender и API безопасности Graph
| Вопросы | Ответы |
|---|---|
| Как узнать, начал ли аналитик экспертов Defender работу над инцидентом? | Когда аналитик экспертов Defender начинает работу над инцидентом, он обновляется для экспертов Defender. |
| Как узнать, устранил ли аналитик экспертов Defender инцидент? | Когда аналитик экспертов Defender урегулировал инцидент, поле состояние инцидента обновляется на Разрешено. |
| Как узнать, какое заключение привело аналитика Defender Experts к разрешению инцидента? | Когда аналитики Defender Experts разрешают инцидент, они изменяют поля классификации и определения инцидента и предоставляют краткую сводку в разделе Комментарии . Если инцидент классифицируется как истинный положительный результат, на всплывающей панели Управляемого ответа на портале Microsoft Defender появится исчерпывающая сводка по расследованию. |
| Как узнать, какие действия аналитик экспертов Defender предпринял в моем клиенте при расследовании инцидента? | Для каждого инцидента, который они расследуют, аналитик Defender Эксперты суммируют все действия, выполненные в клиенте, в сводке по расследованию инцидента, расположенной на всплывающей панели Управляемое реагирование на портале Microsoft Defender. Вы также можете получить сведения об этих действиях и времени входа в клиент, выполнив поиск в журналах аудита на портале соответствия требованиям Microsoft Purview или через API действий управления Office 365. |
| Как узнать, отправлял ли аналитик экспертов Defender какие-либо ответные действия для моей команды SOC? | Аналитик Эксперты Defender публикуют действия по реагированию, которые они рекомендуют вашей команде SOC выполнить на инциденте на всплывающей панели Управляемое реагирование на инцидент на портале Microsoft Defender. В настоящее время поле "Назначено " инцидента обновляется для клиента , а его состояние — на ожидание действия клиента. Ваши контакты об инцидентах, указанные вразделе Параметры Эксперты>>Defender,контакты уведомлений на портале Microsoft Defender также получают соответствующее уведомление по электронной почте при наличии действий реагирования, требующих вашего внимания. Вы также получите уведомления Teams, если вы настроили его в разделе Параметры Эксперты>>DefenderTeams на портале Microsoft Defender. |
| Как задать аналитику Defender Experts вопросы о расследовании или ответном действии? | После того как аналитик экспертов Defender опубликует сводку исследования и рекомендуемые действия по реагированию на всплывающий элемент Управляемого ответа инцидента True Positive, вы можете использовать вкладку Чат на той же панели, чтобы задать команде экспертов Defender вопросы об инциденте и их расследовании. Кроме того, назначенные контакты по инциденту могут напрямую отвечать на уведомления Teams или по электронной почте, полученные от экспертов Defender, чтобы задать любые вопросы. |
| Как узнать, какие инциденты имеют ожидающие действия по реагированию? | Карточка экспертов Defender на домашней странице портала Microsoft Defender содержит ссылку, в которой отображается сообщение (например, 3 инцидента, ожидающих вашего действия). Если щелкнуть эту ссылку, вы перейдете к отфильтрованному списку инцидентов, требующих особого внимания. Вы можете отфильтровать очередь инцидентов на портале Microsoft Defender, выбрав Назначитьклиенту или Состояние в качестве ожидающего действия клиента. |
В Microsoft Sentinel
| Вопросы | Ответы |
|---|---|
| Как получить обновления экспертов Defender в Sentinel? | Если вы включили соединитель данных между Microsoft Defender XDR и Microsoft Sentinel, обновления инцидентов, внесенные экспертами Defender в Defender, синхронизируются с Microsoft Sentinel.
Подробнее. Поля Назначено, Состояние и Классификация в инцидентах XDR в Microsoft Defender сопоставляются с соответствующими полями в Sentinel, а именно : Владелец, Состояние и Причина закрытия. |
| Как получить обновления экспертов Defender в Sentinel для автоматического запуска сборника схем? | Чтобы получить обновления экспертов Defender, сначала настройте правила автоматизации в Sentinel, которые активируются со следующими обновлениями экспертов Defender:
|
| Как получить доступ к действиям управляемого ответа, опубликованным экспертами Defender из Sentinel? | После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Владелец обновляется до клиента автоматически, а тег Awaiting Customer Action доступен в Sentinel. Эти изменения полей можно использовать в качестве триггера для проверки панели управляемого ответа на соответствующий инцидент на портале Microsoft Defender. |
В сторонних приложениях SIEM, SOAR или ITSM
| Вопросы | Ответы |
|---|---|
| Как получить обновления экспертов Defender из Microsoft Defender XDR для синхронизации со сторонними приложениями управления информационной безопасностью и событиями безопасности (SIEM), оркестрацией безопасности, автоматизацией и реагированием (SOAR) или приложениями управления ИТ-службами (ITSM)? | Вы можете получать обновления экспертов Defender из Microsoft Defender XDR с помощью API безопасности Graph (microsoft.graph.security.incident). Чтобы инициировать процесс синхронизации, выполните следующие действия:
|
| Можно ли синхронизировать действия управляемого ответа, опубликованные экспертами Defender на портале Microsoft Defender, со сторонними приложениями SIEM, SOAR или ITSM? | После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Назначено будет изменено на Клиент , а поле Состояние обновляется на Ожидание действия клиента. Эти поля можно синхронизировать с помощью API безопасности Graph, а затем использовать эти изменения в качестве триггера для проверки действий управляемого ответа на портале Microsoft Defender. Ожидается, что действия управляемого ответа будут доступны в API безопасности Graph в конце этого года, и в это время их можно будет синхронизировать со сторонними приложениями. |
В других службах коммуникации
| Вопросы | Ответы |
|---|---|
| Можно ли получать обновления экспертов Defender из XDR в Microsoft Defender по электронной почте? | После того как аналитик экспертов Defender опубликует рекомендуемые действия реагирования на инцидент, указанные вами контакты по инциденту получат соответствующее уведомление по электронной почте на адреса электронной почты, указанные> в разделе Параметры Дляконтактов с уведомлениямиэкспертов> Defender на портале Microsoft Defender. Кроме того, вы можете настроить приложение логики для автоматической отправки всех обновлений инцидентов на указанные вами адреса электронной почты. |
| Можно ли получать обновления экспертов Defender из Microsoft Defender XDR в Microsoft Teams? | Функции двустороннего чата доступны на всплывающей панели управляемого реагирования инцидента на портале Microsoft Defender. Кроме того, вы получаете уведомления о публикации управляемого ответа и можете вести беседы в чате в режиме реального времени с экспертами Defender непосредственно в Microsoft Teams. Дополнительные сведения о настройке Teams |
| Можно ли получать обновления экспертов Defender из Microsoft Defender XDR в виде sms или телефонных звонков или в сторонних службах коммуникации, таких как Slack? | Вы можете настроить приложение логики для отправки уведомлений из служб коммуникации, таких как Slack, Twilio, Службы коммуникации Azure и т. д. |
См. также
Управляемое обнаружение и реагирование
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.