Förstå och hantera Defender-experter för XDR-incidentuppdateringar
Gäller för:
I följande avsnitt visas nedfrågor som SOC-teamet kan ha angående mottagandet av incidentaviseringar.
I Microsoft Defender-portalen och Graph Security API
| Frågor | Svar |
|---|---|
| Hur vet jag om en Defender Experts-analytiker har börjat arbeta med en incident? | När en Defender-expertanalytiker börjar arbeta med en incident uppdateras incidentens tilldelade fält tillDefender-experter. |
| Hur vet jag om en Defender Experts-analytiker har löst en incident? | När en Defender-expertanalytiker har löst en incident uppdateras incidentens statusfält till Löst. |
| Hur vet jag vilken slutsats som fick en Defender Experts-analytiker att lösa en incident? | När Defender-experternas analytiker löser en incident ändrar de incidentens fält för klassificering och bestämning och ger en kortfattad sammanfattning i avsnittet Kommentarer . Om en incident klassificeras som sann positiv visas en omfattande undersökningssammanfattning i den utfällbara panelen Hanterat svar i Microsoft Defender-portalen. |
| Hur vet jag vilka åtgärder en Defender Experts-analytiker vidtog i min klientorganisation när jag undersökte en incident? | För varje incident som de undersöker sammanfattar Defender Experts-analytikern alla åtgärder som de utförde i din klientorganisation i incidentens undersökningssammanfattning i den utfällbara panelen Hanterat svar i Microsoft Defender-portalen. Du kan också hämta information om dessa åtgärder och de gånger de loggade in på din klientorganisation genom att söka i granskningsloggarna antingen i Microsoft Purview-efterlevnadsportalen eller via Office 365 Management Activity API. |
| Hur vet jag om en Defender Experts-analytiker har skickat några svarsåtgärder till mitt SOC-team? | Defender Experts-analytikern publicerar de svarsåtgärder som de rekommenderar att soc-teamet utför vid en incident i en incidents utfällbara panel för hanterat svar i Microsoft Defender-portalen. För närvarande uppdateras incidentens tilldelade fält tillKunden och dess status uppdateras till Väntar på kundåtgärd. Dina incidentkontakter, som du har angett i Inställningar>Defender-experter>Meddelandekontakter i Microsoft Defender-portalen, får också ett motsvarande e-postmeddelande om det finns svarsåtgärder som kräver din uppmärksamhet. Du får också ett Teams-meddelande om du har konfigurerat det i Inställningar>Defender-experter>Teams i Microsoft Defender-portalen. |
| Hur ställer jag frågor till en Defender-expertanalytiker om en undersöknings- eller svarsåtgärd? | När en Defender-expertanalytiker publicerar sin undersökningssammanfattning och rekommenderade svarsåtgärder i den utfällbara panelen Hanterat svar i en sann positiv incident kan du använda fliken Chatt i samma panel för att ställa frågor till Defender-experternas team om incidenten och deras undersökning. Alternativt kan dina utsedda incidentkontakter svara direkt på teams- eller e-postmeddelandet som de fått från Defender-experter för att ställa eventuella frågor som du kan ha. |
| Hur vet jag vilka incidenter som har väntande svarsåtgärder? | Kortet Defender-experter på startsidan för Microsoft Defender-portalen innehåller en länk som visar ett meddelande (till exempel 3 incidenter som väntar på din åtgärd). Om du väljer den här länken dirigeras du till en filtrerad lista över incidenter som specifikt kräver din uppmärksamhet. Du kan filtrera incidentkön i Microsoft Defender-portalen genom att välja Tilldelad somKund eller Status som Väntar på kundåtgärd. |
I Microsoft Sentinel
| Frågor | Svar |
|---|---|
| Hur får jag uppdateringar av Defender-experter i Sentinel? | Om du har aktiverat dataanslutningen mellan Microsoft Defender XDR och Microsoft Sentinel synkroniseras uppdateringar som görs av Defender-experter i Defender till incidenter med Microsoft Sentinel.
Mer information. Fälten Tilldelad till, Status och Klassificering i Microsoft Defender XDR-incidenter mappas till motsvarande fält i Sentinel, nämligen Ägare, Status och Orsak till stängning. |
| Hur får jag Defender Experts-uppdateringar i Sentinel för att automatiskt utlösa en spelbok? | Om du vill hämta Uppdateringar för Defender-experter måste du först konfigurera automatiseringsregler i Sentinel som utlöses med följande Defender Experts-uppdateringar:
|
| Hur får jag åtkomst till hanterade svarsåtgärder som publicerats av Defender-experter från Sentinel? | När Defender-experter publicerar hanterade svarsåtgärder för en incident i Microsoft Defender-portalen uppdateras fältet Ägare automatiskt till Kund och taggen Väntar på kundåtgärd är tillgänglig i Sentinel. Du kan använda dessa fältändringar som en utlösare för att granska panelen för hanterat svar för motsvarande incident i Microsoft Defender-portalen. |
I SIEM-, SOAR- eller ITSM-appar från tredje part
| Frågor | Svar |
|---|---|
| Hur får jag Uppdateringar av Defender-experter från Microsoft Defender XDR för att synkronisera med siem-appar (säkerhetsinformation och händelsehantering), säkerhetsorkestrering, automatisering och svar (SOAR) eller IT-tjänsthantering (ITSM) ? | Du kan hämta Uppdateringar av Defender-experter från Microsoft Defender XDR via Graph Security API (microsoft.graph.security.incident). Så här initierar du synkroniseringsprocessen:
|
| Kan jag synkronisera hanterade svarsåtgärder som publicerats av Defender-experter i Microsoft Defender-portalen till SIEM-, SOAR- eller ITSM-appar från tredje part? | När Defender-experter publicerar hanterade svarsåtgärder för en incident i Microsoft Defender-portalen ändras fältet Tilldelad tillkund och fältet Status uppdateras till Väntar på kundåtgärd. Du kan synkronisera dessa fält via Graph Security API och sedan använda dessa ändringar som en utlösare för att granska de hanterade svarsåtgärderna i Microsoft Defender-portalen. Hanterade svarsåtgärder förväntas vara tillgängliga i Graph Security API senare i år, då det är möjligt att synkronisera dem med dina appar från tredje part. |
I andra kommunikationstjänster
| Frågor | Svar |
|---|---|
| Kan jag få Uppdateringar av Defender-experter från Microsoft Defender XDR via e-post? | När en Defender Experts-analytiker publicerar rekommenderade svarsåtgärder på en incident får dina utsedda incidentkontakter ett motsvarande e-postmeddelande till de e-postadresser som anges i Inställningar>Defender-experter>Meddelandekontakter i Microsoft Defender-portalen. Dessutom kan du konfigurera en logikapp så att den skickar alla incidentuppdateringar till din angivna e-postadress automatiskt. |
| Kan jag få uppdateringar av Defender-experter från Microsoft Defender XDR i Microsoft Teams? | En dubbelriktad chattfunktion är tillgänglig via en incident utfällbara panelen Hanterat svar i Microsoft Defender-portalen. Dessutom får du meddelanden när ett hanterat svar publiceras och kan delta i chattkonversationer i realtid med Defender-experter direkt i Microsoft Teams. Läs mer om hur du konfigurerar Teams |
| Kan jag få Uppdateringar av Defender-experter från Microsoft Defender XDR som SMS- eller telefonsamtalsuppdateringar eller i kommunikationstjänster från tredje part, till exempel Slack? | Du kan konfigurera en logikapp för att göra detta för att skicka meddelanden från kommunikationstjänster som Slack, Twilio, Azure Communication Services osv. |
Se även
Hanterad identifiering och svar
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.