Informazioni e gestione degli aggiornamenti degli eventi imprevisti di Defender Experts for XDR

Articolo
04/30/2024

Si applica a:

Microsoft Defender XDR

La sezione seguente elenca le domande che il team soc potrebbe avere riguardo alla ricezione delle notifiche degli eventi imprevisti.

Nel portale di Microsoft Defender e nella API Sicurezza Graph

Domande	Risposte
Ricerca per categorie sapere se un analista di Defender Experts ha iniziato a lavorare su un evento imprevisto?	Quando un analista di Defender Experts inizia a lavorare su un evento imprevisto, il campo Assegnato a dell'evento imprevisto viene aggiornato a Defender Experts.
Ricerca per categorie sapere se un analista di Defender Experts ha risolto un evento imprevisto?	Quando un analista di Defender Experts ha risolto un evento imprevisto, il campo Stato dell'evento imprevisto viene aggiornato in Risolto.
Ricerca per categorie sapere quale conclusione ha portato un analista di Defender Experts a risolvere un evento imprevisto?	Quando gli analisti di Defender Experts solvono un evento imprevisto, modificano i campi Classificazione e Determinazione dell'evento imprevisto e forniscono un riepilogo conciso nella sezione Commenti . Se un evento imprevisto è classificato come vero positivo, nel riquadro a comparsa Risposta gestita del portale di Microsoft Defender viene visualizzato un riepilogo completo dell'indagine.
Ricerca per categorie sapere quali azioni ha intrapreso un analista di Defender Experts nel tenant durante l'analisi di un evento imprevisto?	Per ogni evento imprevisto esaminato, l'analista di Defender Experts riepiloga tutte le azioni eseguite all'interno del tenant nel riepilogo dell'indagine dell'evento imprevisto nel riquadro a comparsa Risposta gestita nel portale di Microsoft Defender. È anche possibile recuperare informazioni su queste azioni e sulle ore in cui hanno eseguito l'accesso al tenant eseguendo una ricerca nei log di controllo nel Portale di conformità di Microsoft Purview o tramite l'API attività di gestione Office 365.
Ricerca per categorie sapere se un analista di Defender Experts ha inviato azioni di risposta per il team soc?	L'analista di Defender Experts pubblica le azioni di risposta che consiglia al team soc di eseguire su un evento imprevisto nel pannello a comparsa Risposta gestita di un evento imprevisto nel portale di Microsoft Defender. Al momento, il campo Assegnato a dell'evento imprevisto viene aggiornato al cliente e il relativo stato viene aggiornato in Attesa dell'azione del cliente. I contatti dell'evento imprevisto, designati in Impostazioni> Contatti dinotificadegli esperti> di Defender nel portale di Microsoft Defender, ricevono anche una notifica tramite posta elettronica corrispondente se sono presenti azioni di risposta che richiedono l'attenzione dell'utente. Si riceveranno anche notifiche di Teams se è stato configurato in Impostazioni>Defender Experts>Teams nel portale di Microsoft Defender.
Ricerca per categorie porre domande a un analista di Defender Experts su un'indagine o un'azione di risposta?	Dopo che un analista di Defender Experts ha pubblicato il riepilogo delle indagini e le azioni di risposta consigliate nel pannello a comparsa Risposta gestita di un evento imprevisto True Positive, è possibile usare la scheda Chat nello stesso pannello per porre al team di Defender Experts domande sull'evento imprevisto e sulla relativa indagine. In alternativa, i contatti degli eventi imprevisti designati possono rispondere direttamente alla notifica di Teams o posta elettronica ricevuta da Defender Experts per porre eventuali domande.
Ricerca per categorie sapere quali eventi imprevisti hanno azioni di risposta in sospeso?	La scheda Defender Experts nella home page del portale di Microsoft Defender include un collegamento che visualizza un messaggio (ad esempio, 3 eventi imprevisti in attesa dell'azione). Se si seleziona questo collegamento, viene visualizzato un elenco filtrato di eventi imprevisti che richiedono particolare attenzione. È possibile filtrare la coda degli eventi imprevisti nel portale di Microsoft Defender selezionando Assegnato a come cliente o Stato in attesa dell'azione del cliente.

In Microsoft Sentinel

Domande	Risposte
Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel?	Se è stato abilitato il connettore dati tra Microsoft Defender XDR e Microsoft Sentinel, gli aggiornamenti apportati da Defender Experts in Defender agli eventi imprevisti vengono sincronizzati con Microsoft Sentinel. Altre informazioni. I campi Assegnato a, Stato e Classificazione in Microsoft Defender XDR eventi imprevisti vengono mappati ai campi corrispondenti in Sentinel, ovvero Proprietario, Stato e Motivo della chiusura.
Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel per attivare automaticamente un playbook?	Per ottenere gli aggiornamenti di Defender Experts, configurare innanzitutto le regole di automazione in Sentinel attivate con i seguenti aggiornamenti di Defender Experts: Quando il campo Proprietario in Microsoft Sentinel viene aggiornato a Defender Experts o Customer. Quando il campo Stato in Microsoft Sentinel viene aggiornato su Attivo o Chiuso, che corrisponde rispettivamente a Microsoft Defender XDR Statoattivo e In corso. Quando viene aggiunto il tag Sentinel in attesa dell'azione del cliente, che corrisponde a Microsoft Defender XDR statoin attesa dell'azione del cliente. Configurare quindi i playbook in Microsoft Sentinel per sincronizzare automaticamente gli aggiornamenti degli eventi imprevisti o inviare notifiche degli eventi imprevisti in altre app. Inviare un messaggio di posta elettronica, un messaggio di Teams o un messaggio slack al team soc quando un analista di Defender Experts viene assegnato a un evento imprevisto. Inviare SMS o telefonate tramite Azure Communications Services o il connettore Twilio al responsabile soc quando Defender Experts pubblica un'azione di risposta per il team. Create un'attività o un ticket in app come Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty e così via per il team IT Ops.
Come è possibile accedere alle azioni di risposta gestita pubblicate da Defender Experts da Sentinel?	Dopo aver pubblicato azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Proprietario viene aggiornato automaticamente al cliente e il tag In attesa dell'azione del cliente è disponibile in Sentinel. È possibile usare queste modifiche di campo come trigger per esaminare il pannello di risposta gestito per l'evento imprevisto corrispondente nel portale di Microsoft Defender.

Domande

Risposte

Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel?

Se è stato abilitato il connettore dati tra Microsoft Defender XDR e Microsoft Sentinel, gli aggiornamenti apportati da Defender Experts in Defender agli eventi imprevisti vengono sincronizzati con Microsoft Sentinel. Altre informazioni.

I campi Assegnato a, Stato e Classificazione in Microsoft Defender XDR eventi imprevisti vengono mappati ai campi corrispondenti in Sentinel, ovvero Proprietario, Stato e Motivo della chiusura.

Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel per attivare automaticamente un playbook?

Per ottenere gli aggiornamenti di Defender Experts, configurare innanzitutto le regole di automazione in Sentinel attivate con i seguenti aggiornamenti di Defender Experts:

Quando il campo Proprietario in Microsoft Sentinel viene aggiornato a Defender Experts o Customer.
Quando il campo Stato in Microsoft Sentinel viene aggiornato su Attivo o Chiuso, che corrisponde rispettivamente a Microsoft Defender XDR Statoattivo e In corso.
Quando viene aggiunto il tag Sentinel in attesa dell'azione del cliente, che corrisponde a Microsoft Defender XDR statoin attesa dell'azione del cliente.

Configurare quindi i playbook in Microsoft Sentinel per sincronizzare automaticamente gli aggiornamenti degli eventi imprevisti o inviare notifiche degli eventi imprevisti in altre app.

Inviare un messaggio di posta elettronica, un messaggio di Teams o un messaggio slack al team soc quando un analista di Defender Experts viene assegnato a un evento imprevisto.
Inviare SMS o telefonate tramite Azure Communications Services o il connettore Twilio al responsabile soc quando Defender Experts pubblica un'azione di risposta per il team.
Create un'attività o un ticket in app come Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty e così via per il team IT Ops.

Come è possibile accedere alle azioni di risposta gestita pubblicate da Defender Experts da Sentinel?

Dopo aver pubblicato azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Proprietario viene aggiornato automaticamente al cliente e il tag In attesa dell'azione del cliente è disponibile in Sentinel. È possibile usare queste modifiche di campo come trigger per esaminare il pannello di risposta gestito per l'evento imprevisto corrispondente nel portale di Microsoft Defender.

Nelle app SIEM, SOAR o ITSM di terze parti

Domande	Risposte
Ricerca per categorie ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR per la sincronizzazione in app di gestione di eventi e informazioni di sicurezza di terze parti, orchestrazione della sicurezza, automazione e risposta (SOAR) o it service management (ITSM)?	È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR tramite graph API Sicurezza (microsoft.graph.security.incident). Per avviare il processo di sincronizzazione: Stabilire il mapping tra i campi in Microsoft Defender XDR e i campi corrispondenti nell'applicazione desiderata. Determinare se la sincronizzazione deve essere uni o bidirezionale e assicurarsi che l'altra applicazione lo supporti. Sviluppare, testare e distribuire l'integrazione della sincronizzazione. Nella maggior parte dei casi, è consigliabile eseguire periodicamente il polling del grafico API Sicurezza ogni minuto o così via per verificare la disponibilità di aggiornamenti. Verificare periodicamente che il mapping dei campi sia aggiornato.
È possibile sincronizzare le azioni di risposta gestite pubblicate da Defender Experts nel portale di Microsoft Defender con app SIEM, SOAR o ITSM di terze parti?	Dopo aver pubblicato le azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Assegnato a viene modificato in Cliente e il campo Stato viene aggiornato in Attesa dell'azione del cliente. È possibile sincronizzare questi campi tramite il API Sicurezza Graph e quindi usare queste modifiche come trigger per esaminare le azioni di risposta gestita nel portale di Microsoft Defender. Le azioni di risposta gestita dovrebbero essere disponibili nel API Sicurezza Graph entro la fine dell'anno, al momento sarà possibile sincronizzarle con le app di terze parti.

Domande

Risposte

Ricerca per categorie ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR per la sincronizzazione in app di gestione di eventi e informazioni di sicurezza di terze parti, orchestrazione della sicurezza, automazione e risposta (SOAR) o it service management (ITSM)?

È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR tramite graph API Sicurezza (microsoft.graph.security.incident).

Per avviare il processo di sincronizzazione:

Stabilire il mapping tra i campi in Microsoft Defender XDR e i campi corrispondenti nell'applicazione desiderata. Determinare se la sincronizzazione deve essere uni o bidirezionale e assicurarsi che l'altra applicazione lo supporti.
Sviluppare, testare e distribuire l'integrazione della sincronizzazione. Nella maggior parte dei casi, è consigliabile eseguire periodicamente il polling del grafico API Sicurezza ogni minuto o così via per verificare la disponibilità di aggiornamenti.
Verificare periodicamente che il mapping dei campi sia aggiornato.

È possibile sincronizzare le azioni di risposta gestite pubblicate da Defender Experts nel portale di Microsoft Defender con app SIEM, SOAR o ITSM di terze parti?

Dopo aver pubblicato le azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Assegnato a viene modificato in Cliente e il campo Stato viene aggiornato in Attesa dell'azione del cliente. È possibile sincronizzare questi campi tramite il API Sicurezza Graph e quindi usare queste modifiche come trigger per esaminare le azioni di risposta gestita nel portale di Microsoft Defender.

Le azioni di risposta gestita dovrebbero essere disponibili nel API Sicurezza Graph entro la fine dell'anno, al momento sarà possibile sincronizzarle con le app di terze parti.

In altri servizi di comunicazione

Domande	Risposte
È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR tramite posta elettronica?	Dopo che un analista di Defender Experts pubblica le azioni di risposta consigliate a un evento imprevisto, i contatti degli eventi imprevisti designati riceveranno una notifica di posta elettronica corrispondente agli indirizzi di posta elettronica specificati in Impostazioni Contatti> dinotificadi Defender Experts> nel portale di Microsoft Defender. Inoltre, è possibile configurare un'app per la logica per inviare automaticamente tutti gli aggiornamenti degli eventi imprevisti agli indirizzi di posta elettronica designati.
È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR in Microsoft Teams?	Una funzionalità di chat bidirezionale è accessibile tramite il riquadro a comparsa Risposta gestita di un evento imprevisto nel portale di Microsoft Defender. Inoltre, si ricevono notifiche quando viene pubblicata una risposta gestita e si possono avviare conversazioni di chat in tempo reale con Defender Experts direttamente all'interno di Microsoft Teams. Altre informazioni sulla configurazione di Teams
È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR come aggiornamenti di SMS o telefonate o in servizi di comunicazione di terze parti come Slack?	È possibile configurare un'app per la logica per eseguire questa operazione per inviare notifiche da servizi di comunicazione come Slack, Twilio, Servizi di comunicazione di Azure e così via.

Vedere anche

Rilevamento e risposta gestiti

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.

Condividi tramite