Defender-experts voor XDR-incidentupdates begrijpen en beheren

Artikel
04/26/2024

Van toepassing op:

Microsoft Defender XDR

In de volgende sectie vindt u vragen die uw SOC-team mogelijk heeft met betrekking tot de ontvangst van incidentmeldingen.

In Microsoft Defender portal en Graph beveiligings-API

Vragen	Antwoorden
Hoe kan ik weet of een Defender Experts-analist aan een incident is begonnen?	Wanneer een Defender Experts-analist aan een incident begint te werken, wordt het veld Toegewezen aan van het incident bijgewerkt naar Defender-experts.
Hoe kan ik weet of een Defender Experts-analist een incident heeft opgelost?	Wanneer een Defender Experts-analist een incident heeft opgelost, wordt het veld Status van het incident bijgewerkt naar Opgelost.
Hoe kan ik weet welke conclusie een Defender Experts-analist ertoe heeft gebracht een incident op te lossen?	Wanneer Defender Experts-analisten een incident oplossen, wijzigen ze de velden Classificatie en Bepaling van het incident en geven ze een beknopt overzicht in de sectie Opmerkingen . Als een incident is geclassificeerd als een waar-positief, wordt een uitgebreid overzicht van onderzoek weergegeven in het flyoutvenster Beheerde respons in uw Microsoft Defender portal.
Hoe kan ik weet welke acties een Defender Experts-analist heeft ondernomen in mijn tenant bij het onderzoeken van een incident?	Voor elk incident dat ze onderzoeken, geeft de Defender Experts-analist een overzicht van de acties die ze hebben uitgevoerd binnen uw tenant in de samenvatting Onderzoek van het incident in het flyoutvenster Beheerde respons in uw Microsoft Defender portal. U kunt ook informatie over deze acties en de tijden waarop ze zich hebben aangemeld bij uw tenant ophalen door in uw auditlogboeken te zoeken op de Microsoft Purview-nalevingsportal of via de Office 365 Management Activity API.
Hoe kan ik weet of een Defender Experts-analist antwoordacties heeft verzonden voor mijn SOC-team?	De Defender Experts-analist publiceert de reactieacties die ze uw SOC-team aanbevelen om uit te voeren op een incident in het flyoutpaneel Beheerde respons van een incident in uw Microsoft Defender portal. Op dit moment wordt het veld Toegewezen aan van het incident bijgewerkt naar klant en wordt de status bijgewerkt naar Actie klant in afwachting. Uw contactpersonen voor incidenten, die u hebt aangewezen in Instellingen>Contactpersonen voor meldingen van Defender-experts> in uw Microsoft Defender-portal, ontvangen ook een bijbehorende e-mailmelding als er reactieacties zijn die uw aandacht vereisen. U ontvangt ook een Teams-melding als u deze hebt ingesteld in Instellingen>Defender Experts>Teams in uw Microsoft Defender-portal.
Hoe kan ik een Defender Experts-analist vragen stellen over een onderzoek of reactieactie?	Nadat een Defender Experts-analist de onderzoekssamenvatting en aanbevolen reactieacties heeft gepubliceerd in het flyoutvenster Beheerde respons van een True Positive-incident, kunt u het tabblad Chat in hetzelfde deelvenster gebruiken om het Defender Experts-team vragen te stellen over het incident en hun onderzoek. Uw aangewezen contactpersonen voor incidenten kunnen ook rechtstreeks reageren op de Teams- of e-mailmelding die ze van Defender-experts hebben ontvangen om eventuele vragen te stellen.
Hoe kan ik weten welke incidenten reactieacties in behandeling hebben?	De kaart Defender-experts op de startpagina van uw Microsoft Defender portal bevat een koppeling met een bericht (bijvoorbeeld 3 incidenten die wachten op uw actie). Als u deze koppeling selecteert, wordt u omgeleid naar een gefilterde lijst met incidenten die specifiek uw aandacht vereisen. U kunt de wachtrij voor incidenten in uw Microsoft Defender portal filteren door Toegewezen aan als klant of Status als Wachtende klantactie te selecteren.

In Microsoft Sentinel

Vragen	Antwoorden
Hoe kan ik updates van Defender-experts downloaden in Sentinel?	Als u de gegevensconnector tussen Microsoft Defender XDR en Microsoft Sentinel hebt ingeschakeld, worden updates van Defender-experts in Defender voor incidenten gesynchroniseerd met Microsoft Sentinel. Meer informatie. De velden Toegewezen aan, Status en Classificatie in Microsoft Defender XDR incidenten worden toegewezen aan de bijbehorende velden in Sentinel, namelijk Eigenaar, Status en Reden voor sluiten.
Hoe kan ik updates van Defender-experts in Sentinel ontvangen om automatisch een playbook te activeren?	Als u updates van Defender Experts wilt downloaden, stelt u eerst automatiseringsregels in Sentinel in die worden geactiveerd met de volgende Updates van Defender Experts: Wanneer het veld Eigenaar in Microsoft Sentinel wordt bijgewerkt naar Defender-experts of klant. Wanneer het veld Status in Microsoft Sentinel wordt bijgewerkt naar Actief of Gesloten, wat overeenkomt met respectievelijk Microsoft Defender XDR StatusActief en In uitvoering. Wanneer sentinel-tagWachtend op klantactie wordt toegevoegd, komt dit overeen met Microsoft Defender XDR Statuswachtende klantactie. Stel vervolgens playbooks in Microsoft Sentinel in om incidentupdates automatisch te synchroniseren of incidentmeldingen naar andere apps te verzenden. Verzend een e-mail, Teams-bericht of Slack-bericht naar uw SOC-team wanneer een Defender Experts-analist is toegewezen aan een incident. Verzend sms- of telefoongesprekken via Azure Communications Services of Twilio-connector naar uw SOC-lead wanneer Defender Experts een reactieactie voor uw team publiceert. Creatie een taak of ticket in apps zoals Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, enzovoort voor uw IT Ops-team.
Hoe krijg ik toegang tot beheerde antwoordacties die zijn gepubliceerd door Defender-experts van Sentinel?	Zodra Defender-experts beheerde reactieacties voor een incident in uw Microsoft Defender-portal hebben gepubliceerd, wordt het veld Eigenaar automatisch bijgewerkt naar Klant en is de tag Wachten op klantactie beschikbaar in Sentinel. U kunt deze veldwijzigingen gebruiken als trigger om het deelvenster beheerde reacties te controleren op het bijbehorende incident in de Microsoft Defender portal.

Vragen

Antwoorden

Hoe kan ik updates van Defender-experts downloaden in Sentinel?

Als u de gegevensconnector tussen Microsoft Defender XDR en Microsoft Sentinel hebt ingeschakeld, worden updates van Defender-experts in Defender voor incidenten gesynchroniseerd met Microsoft Sentinel. Meer informatie.

De velden Toegewezen aan, Status en Classificatie in Microsoft Defender XDR incidenten worden toegewezen aan de bijbehorende velden in Sentinel, namelijk Eigenaar, Status en Reden voor sluiten.

Hoe kan ik updates van Defender-experts in Sentinel ontvangen om automatisch een playbook te activeren?

Als u updates van Defender Experts wilt downloaden, stelt u eerst automatiseringsregels in Sentinel in die worden geactiveerd met de volgende Updates van Defender Experts:

Wanneer het veld Eigenaar in Microsoft Sentinel wordt bijgewerkt naar Defender-experts of klant.
Wanneer het veld Status in Microsoft Sentinel wordt bijgewerkt naar Actief of Gesloten, wat overeenkomt met respectievelijk Microsoft Defender XDR StatusActief en In uitvoering.
Wanneer sentinel-tagWachtend op klantactie wordt toegevoegd, komt dit overeen met Microsoft Defender XDR Statuswachtende klantactie.

Stel vervolgens playbooks in Microsoft Sentinel in om incidentupdates automatisch te synchroniseren of incidentmeldingen naar andere apps te verzenden.

Verzend een e-mail, Teams-bericht of Slack-bericht naar uw SOC-team wanneer een Defender Experts-analist is toegewezen aan een incident.
Verzend sms- of telefoongesprekken via Azure Communications Services of Twilio-connector naar uw SOC-lead wanneer Defender Experts een reactieactie voor uw team publiceert.
Creatie een taak of ticket in apps zoals Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty, enzovoort voor uw IT Ops-team.

Hoe krijg ik toegang tot beheerde antwoordacties die zijn gepubliceerd door Defender-experts van Sentinel?

Zodra Defender-experts beheerde reactieacties voor een incident in uw Microsoft Defender-portal hebben gepubliceerd, wordt het veld Eigenaar automatisch bijgewerkt naar Klant en is de tag Wachten op klantactie beschikbaar in Sentinel. U kunt deze veldwijzigingen gebruiken als trigger om het deelvenster beheerde reacties te controleren op het bijbehorende incident in de Microsoft Defender portal.

In SIEM-, SOAR- of ITSM-apps van derden

Vragen	Antwoorden
Hoe kan ik defender-experts updates van Microsoft Defender XDR ontvangen om te synchroniseren met SIEM-apps (Security Information and Event Management), security orchestration, automation and response (SOAR) of ITSM-apps (IT Service Management) ?	U kunt defender-experts-updates downloaden van Microsoft Defender XDR via de Graph beveiligings-API (microsoft.graph.security.incident). Het synchronisatieproces starten: Stel de toewijzing tot stand tussen velden in Microsoft Defender XDR en de bijbehorende velden in de gewenste toepassing. Bepaal of de synchronisatie uni- of bidirectioneel moet zijn en zorg ervoor dat de andere toepassing dit ondersteunt. Uw synchronisatie-integratie ontwikkelen, testen en implementeren. In de meeste gevallen is het raadzaam om de Graph beveiligings-API regelmatig elke minuut te pollen om te controleren op updates. Controleer regelmatig of de veldtoewijzing up-to-date is.
Kan ik acties voor beheerde reacties die zijn gepubliceerd door Defender Experts in Microsoft Defender portal synchroniseren met SIEM-, SOAR- of ITSM-apps van derden?	Zodra Defender-experts beheerde reactieacties voor een incident in uw Microsoft Defender portal hebben gepubliceerd, wordt het veld Toegewezen aan gewijzigd in Klant en wordt het veld Status bijgewerkt in Actie klant in afwachting. U kunt deze velden synchroniseren via de Graph beveiligings-API en deze wijzigingen vervolgens gebruiken als trigger om de beheerde antwoordacties in de Microsoft Defender portal te controleren. Beheerde antwoordacties zullen naar verwachting later dit jaar beschikbaar zijn in de Graph beveiligings-API, op welk moment het mogelijk is om ze te synchroniseren met uw apps van derden.

Vragen

Antwoorden

Hoe kan ik defender-experts updates van Microsoft Defender XDR ontvangen om te synchroniseren met SIEM-apps (Security Information and Event Management), security orchestration, automation and response (SOAR) of ITSM-apps (IT Service Management) ?

U kunt defender-experts-updates downloaden van Microsoft Defender XDR via de Graph beveiligings-API (microsoft.graph.security.incident).

Het synchronisatieproces starten:

Stel de toewijzing tot stand tussen velden in Microsoft Defender XDR en de bijbehorende velden in de gewenste toepassing. Bepaal of de synchronisatie uni- of bidirectioneel moet zijn en zorg ervoor dat de andere toepassing dit ondersteunt.
Uw synchronisatie-integratie ontwikkelen, testen en implementeren. In de meeste gevallen is het raadzaam om de Graph beveiligings-API regelmatig elke minuut te pollen om te controleren op updates.
Controleer regelmatig of de veldtoewijzing up-to-date is.

Kan ik acties voor beheerde reacties die zijn gepubliceerd door Defender Experts in Microsoft Defender portal synchroniseren met SIEM-, SOAR- of ITSM-apps van derden?

Zodra Defender-experts beheerde reactieacties voor een incident in uw Microsoft Defender portal hebben gepubliceerd, wordt het veld Toegewezen aan gewijzigd in Klant en wordt het veld Status bijgewerkt in Actie klant in afwachting. U kunt deze velden synchroniseren via de Graph beveiligings-API en deze wijzigingen vervolgens gebruiken als trigger om de beheerde antwoordacties in de Microsoft Defender portal te controleren.

Beheerde antwoordacties zullen naar verwachting later dit jaar beschikbaar zijn in de Graph beveiligings-API, op welk moment het mogelijk is om ze te synchroniseren met uw apps van derden.

In andere communicatieservices

Vragen	Antwoorden
Kan ik updates van Defender-experts ontvangen van Microsoft Defender XDR via e-mail?	Zodra een Defender Experts-analist aanbevolen reactieacties op een incident publiceert, ontvangen uw aangewezen contactpersonen voor incidenten een bijbehorende e-mailmelding naar de e-mailadressen die zijn opgegeven in Instellingen>Defender Experts>Notification-contactpersonen in uw Microsoft Defender portal. Daarnaast kunt u een logische app configureren om alle incidentupdates automatisch naar uw opgegeven e-mailadres(sen) te verzenden.
Kan ik updates van Defender-experts downloaden van Microsoft Defender XDR in Microsoft Teams?	Een chatfunctie in twee richtingen is toegankelijk via het flyoutvenster Beheerde respons van een incident in uw Microsoft Defender portal. Daarnaast ontvangt u meldingen wanneer een beheerd antwoord wordt gepost en kunt u rechtstreeks vanuit Microsoft Teams in realtime chatgesprekken voeren met Defender-experts. Meer informatie over het instellen van Teams
Kan ik updates van Defender-experts downloaden van Microsoft Defender XDR als sms- of telefoongespreksupdates of in communicatieservices van derden, zoals Slack?	U kunt een logische app configureren om dit te doen om meldingen te verzenden van communicatieservices zoals Slack, Twilio, Azure Communication Services, enzovoort.

Zie ook

Beheerde detectie en reactie

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.