Defender-asiantuntijoiden ymmärtäminen ja hallinta XDR-tapauspäivityksiä varten
Koskee seuraavia:
Seuraavassa osiossa on luettelo kysymyksistä, joita SOC-tiimilläsi saattaa olla tapausilmoitusten vastaanottamisesta.
Portaalissa ja Graph-suojauksen ohjelmointirajapinta Microsoft Defender
| Kysymyksiä | Vastauksia |
|---|---|
| Ohjevalikko tiedä, onko Defender Expertsin analyytikko alkanut työstää tapausta? | Kun Defender Experts -analyytikko alkaa työstää tapausta, tapahtuman Vastuuhenkilö-kenttä päivitetään Defender-asiantuntijoille. |
| Ohjevalikko tiedä, onko Defender Expertsin analyytikko ratkaissut tapauksen? | Kun Defender Experts -analyytikko on ratkaissut tapauksen, tapahtuman Tila-kentän arvoksi päivitetään Ratkaistu. |
| Ohjevalikko tiedä, mikä johtopäätös sai Defender Experts -analyytikon ratkaisemaan tapauksen? | Kun Defender-asiantuntijoiden analyytikot ratkaisevat tapauksen, he muokkaavat tapahtuman luokitus - ja määrityskenttiä ja antavat tiiviin yhteenvedon Kommentit-osiossa . Jos tapaus on luokiteltu true-positiiviseksi, kattava tutkimusyhteenveto näkyy hallitun vastauksen pikaikkunapaneelissa Microsoft Defender portaalissa. |
| Ohjevalikko tiedä, mitä toimia Defender Experts -analyytikko teki vuokraajassani tutkiessaan tapausta? | Defender Experts -analyytikko tekee kunkin tutkimansa tapauksen osalta yhteenvedon kaikista toimista, joita he ovat suorittaneet vuokraajasi sisällä tapahtuman tutkintayhteenvedossa, joka sijaitsee Microsoft Defender portaalin Hallitut vastaus -pikaikkunassa. Voit myös noutaa tietoja näistä toiminnoista ja niiden sisäänkirjautumiskertoja valvontalokeista joko Microsoft Purview -yhteensopivuusportaali tai Office 365 Hallintatoiminnon ohjelmointirajapinnan kautta. |
| Ohjevalikko tiedä, onko Defender Expertsin analyytikko lähettänyt vastaustoimintoja SOC-tiimilleni? | Defender Experts -analyytikko julkaisee vastaustoiminnot, joita he suosittelevat SOC-tiimiäsi suorittamaan tapahtuman tapahtuman Hallitun vastauksen pikaikkunapaneelissa Microsoft Defender portaalissa. Tällä hetkellä tapahtuman Vastuuhenkilö-kenttä päivitetään asiakkaaseen ja sen tilaksi päivitetään Odottaa asiakkaan toimia. Tapahtumayhteystiedot, jotka olet määrittänytkohdassa Asetukset>Defenderin asiantuntijat>Ilmoitusyhteyshenkilöt Microsoft Defender portaalissa, saavat myös vastaavan sähköposti-ilmoituksen, jos on olemassa toimia, jotka edellyttävät käyttäjän toimia. Saat myös Teams-ilmoitukset, jos olet määrittänyt sen Microsoft Defender portaalin Asetukset>Defender-asiantuntijat>Teamsissa. |
| Ohjevalikko kysyä Defender Expertsin analyytikolta kysymyksiä tutkimus- tai vastaustoimista? | Kun Defender-asiantuntijoiden analyytikko julkaisee tutkimusyhteenvedon ja suositellut vastaustoiminnot True Positive -tapauksen Hallitun vastauksen pikaikkunassa, voit käyttää saman paneelin Keskustelu-välilehteä kysyäksesi Defender Experts -tiimiltä kysymyksiä tapahtumasta ja sen tutkimuksista. Vaihtoehtoisesti määritetyt tapahtumayhteyshenkilöt voivat vastata suoraan Defenderin asiantuntijoilta saamaasi Teams-ilmoitukseen tai sähköposti-ilmoitukseen esittääkseen kysymyksiä, joita sinulla saattaa olla. |
| Ohjevalikko tietää, mitkä tapaukset odottavat toimia? | Defender Experts -kortti Microsoft Defender portaalin aloitussivulla sisältää linkin, joka näyttää viestin (esimerkiksi kolme tapausta, jotka odottavat toimiasi). Tämän linkin valitseminen ohjaa sinut erityisesti huomiotasi edellyttävien tapausten suodatettuun luetteloon. Voit suodattaa tapahtumajonon Microsoft Defender portaalissa valitsemalla Vastuuhenkilöasiakkaaksi tai Tilaodottaa asiakastoimintoa. |
Microsoft Sentinelissä
| Kysymyksiä | Vastauksia |
|---|---|
| Ohjevalikko saada Defender Experts -päivitykset Sentinelissä? | Jos olet ottanut tietoliittimen käyttöön Microsoft Defender XDR ja Microsoft Sentinelin välillä, Defender experts in Defenderin tapausten päivitykset synkronoidaan Microsoft Sentinelin kanssa. Lisätietoja. Microsoft Defender XDR tapahtumien Vastuuhenkilö-, Tila- ja Luokitus-kentät on yhdistetty Sentinelin vastaaviin kenttiin, joita ovat omistaja, tila ja sulkemisen syy. |
| Ohjevalikko saada Defender Experts -päivitykset Sentinelissä, jotta pelikirja käynnistyy automaattisesti? | Jotta saat Defender Experts -päivitykset, määritä ensin Sentinelissä automaatiosäännöt, jotka käynnistetään seuraavien Defender Experts -päivitysten myötä:
|
| Miten voin käyttää Defender Expertsin Sentinelistä julkaisemia hallittuja vastaustoimintoja? | Kun Defender-asiantuntijat julkaisevat tapahtuman hallitut vastaustoiminnot Microsoft Defender-portaalissa, Omistaja-kenttä päivitetään automaattisesti asiakkaaksi ja Odottaa asiakastoimia -tunniste on käytettävissä Sentinelissä. Näiden kenttien muutosten avulla voit käynnistimenä tarkistaa vastaavan tapauksen hallitun vastauspaneelin Microsoft Defender portaalissa. |
Kolmannen osapuolen SIEM-, SOAR- tai ITSM-sovelluksissa
| Kysymyksiä | Vastauksia |
|---|---|
| Ohjevalikko saada Defender Experts -päivitykset Microsoft Defender XDR synkronoida kolmannen osapuolen suojaustietoihin ja tapahtumien hallintaan (SIEM), suojauksen orkestrointiin, automaatioon ja vastaukseen (SOAR) tai IT-palvelun hallinta (ITSM) -sovelluksiin? | Voit saada Defender Experts -päivitykset Microsoft Defender XDR Graph suojauksen ohjelmointirajapinta kautta (microsoft.graph.security.incident). Synkronointiprosessin aloittaminen:
|
| Voinko synkronoida Defender Expertsin julkaisemat hallitun vastauksen toiminnot Microsoft Defender portaalissa kolmannen osapuolen SIEM-, SOAR- tai ITSM-sovelluksiin? | Kun Defender-asiantuntijat julkaisevat tapahtuman hallitun vastauksen toiminnot Microsoft Defender-portaalissa, Vastuuhenkilö-kentäksi vaihdetaan Asiakas ja Tila-kentän arvoksi päivitetään Odottaa asiakkaan toimia. Voit synkronoida nämä kentät Graph-suojauksen ohjelmointirajapinta kautta ja tarkastella sitten Microsoft Defender portaalin hallittuja vastaustoimintoja näiden muutosten avulla. Hallittujen vastaustoimintojen odotetaan olevan käytettävissä Graph-suojauksen ohjelmointirajapinta myöhemmin tänä vuonna, jolloin ne voidaan synkronoida kolmannen osapuolen sovelluksiin. |
Muissa viestintäpalveluissa
| Kysymyksiä | Vastauksia |
|---|---|
| Voinko saada Defender Experts -päivityksiä Microsoft Defender XDR sähköpostitse? | Kun Defender experts -analyytikko julkaisee suositellut vastaustoiminnot tapahtumaan, tapausten yhteyshenkilöt saavat vastaavan sähköposti-ilmoituksen sähköpostiosoitteisiin, jotka on määritetty kohdassa Asetukset>Defender Experts>Notification -yhteyshenkilöt Microsoft Defender portaalissasi. Lisäksi voit määrittää Logic Appin lähettämään kaikki tapauspäivitykset määritettyyn sähköpostiosoitteeseesi automaattisesti. |
| Voinko saada Defender Experts -päivityksiä Microsoft Teamsin Microsoft Defender XDR? | Kaksisuuntainen keskustelutoiminto on käytettävissä tapahtuman hallitun vastauksen pikaikkunapaneelin kautta Microsoft Defender-portaalissa. Lisäksi saat ilmoituksia, kun hallittu vastaus julkaistaan, ja voit käydä reaaliaikaisia keskustelukeskusteluja Defender-asiantuntijoiden kanssa suoraan Microsoft Teamsissa. Lisätietoja Teamsin määrittämisestä |
| Voinko saada Defender Experts -päivityksiä Microsoft Defender XDR tekstiviesteihin tai puhelupäivityksiin tai kolmannen osapuolen viestintäpalveluihin, kuten Slackiin? | Voit määrittää Logic Appin tekemään tämän, jotta voit lähettää ilmoituksia viestintäpalveluista, kuten Slackistä, Twiliosta, Azure Communication Servicesistä jne. |
Tutustu myös seuraaviin ohjeartikkeleihin:
Hallittu tunnistaminen ja reagointi
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle