Общие сведения об обновлениях инцидентов XDR для экспертов Defender и управление ими

Статья
04/26/2024

Область применения:

Microsoft Defender XDR

В следующем разделе перечислены вопросы, которые могут возникнуть у вашей команды SOC относительно получения уведомлений об инцидентах.

На портале Microsoft Defender и API безопасности Graph

Вопросы	Ответы
Разделы справки знать, начал ли аналитик экспертов Defender работу над инцидентом?	Когда аналитик экспертов Defender начинает работу над инцидентом, он обновляется для экспертов Defender.
Разделы справки знать, разрешил ли аналитик Defender Experts инцидент?	Когда аналитик экспертов Defender урегулировал инцидент, поле состояние инцидента обновляется на Разрешено.
Разделы справки знаете, какой вывод привел аналитика Defender Experts к разрешению инцидента?	Когда аналитики Defender Experts разрешают инцидент, они изменяют поля классификации и определения инцидента и предоставляют краткую сводку в разделе Комментарии . Если инцидент классифицируется как истинный положительный, на всплывающей панели Управляемый ответ на портале Microsoft Defender появится исчерпывающая сводка по анализу.
Разделы справки знать, какие действия аналитик экспертов Defender предпринял в моем клиенте при расследовании инцидента?	Для каждого исследуемого инцидента аналитик экспертов Defender суммирует все действия, выполненные в клиенте, в сводке по расследованию инцидента, расположенной на всплывающей панели Управляемого ответа на портале Microsoft Defender. Вы также можете получить сведения об этих действиях и времени входа в клиент, выполнив поиск в журналах аудита на Портал соответствия требованиям Microsoft Purview или с помощью API действий управления Office 365.
Разделы справки знать, отправлял ли аналитик экспертов Defender какие-либо ответные действия для моей команды SOC?	Аналитик Эксперты Defender публикуют действия по реагированию, которые они рекомендуют вашей команде SOC выполнить на инциденте на всплывающей панели Управляемое реагирование на инциденте на портале Microsoft Defender. В настоящее время поле "Назначено " инцидента обновляется для клиента , а его состояние — на ожидание действия клиента. Ваши контакты по инциденту, указанные вразделе Параметры>Эксперты> Defender, контакты уведомлений на портале Microsoft Defender, также получают соответствующее уведомление по электронной почте, если есть действия реагирования, требующие вашего внимания. Вы также получите уведомления Teams, если вы настроили его в разделе Параметры Эксперты>>DefenderTeams на портале Microsoft Defender.
Разделы справки задать аналитику Defender Experts вопросы о расследовании или ответном действии?	После того как аналитик экспертов Defender опубликует сводку исследования и рекомендуемые действия по реагированию на всплывающий элемент Управляемого ответа инцидента True Positive, вы можете использовать вкладку Чат на той же панели, чтобы задать команде экспертов Defender вопросы об инциденте и их расследовании. Кроме того, назначенные контакты по инциденту могут напрямую отвечать на уведомления Teams или по электронной почте, полученные от экспертов Defender, чтобы задать любые вопросы.
Разделы справки знаете, какие инциденты ожидают действий реагирования?	Карта экспертов Defender на домашней странице портала Microsoft Defender содержит ссылку, в которой отображается сообщение (например, 3 инцидента, ожидающих вашего действия). Если щелкнуть эту ссылку, вы перейдете к отфильтрованному списку инцидентов, требующих особого внимания. Вы можете отфильтровать очередь инцидентов на портале Microsoft Defender, выбрав Назначениев качестве клиента или Состояние как ожидающее действия клиента.

В Microsoft Sentinel

Вопросы	Ответы
Разделы справки получать обновления экспертов Defender в Sentinel?	Если вы включили соединитель данных между Microsoft Defender XDR и Microsoft Sentinel, обновления, внесенные экспертами Defender в Defender, синхронизируются с Microsoft Sentinel. Подробнее. Поля Назначено, Состояние и Классификация в Microsoft Defender XDR инцидентах сопоставляются с соответствующими полями в Sentinel, а именно: Владелец, Состояние и Причина закрытия.
Разделы справки получать обновления экспертов Defender в Sentinel для автоматического запуска сборника схем?	Чтобы получить обновления экспертов Defender, сначала настройте правила автоматизации в Sentinel, которые активируются со следующими обновлениями экспертов Defender: При обновлении поля "Владелец" в Microsoft Sentinel до "Эксперты Defender" или "Клиент". При обновлении поля Состояние в Microsoft Sentinel на Активно или Закрыто, что соответствует Microsoft Defender XDR СостояниеАктивно и Выполняется соответственно. Когда добавляется действие sentinel taging Awaiting Customer Action, что соответствует состоянию Microsoft Defender XDR ожиданиедействия клиента. Затем настройте сборники схем в Microsoft Sentinel для автоматической синхронизации обновлений инцидентов или отправки уведомлений об инцидентах в другие приложения. Отправьте сообщение электронной почты, сообщение Teams или Сообщение Slack команде SOC, когда аналитик Эксперты Defender назначены инциденту. Отправьте SMS или телефонный звонок через Службы коммуникации Azure или соединитель Twilio вашему потенциальному участнику SOC, когда эксперты Defender опубликуют ответное действие для вашей команды. Create задачу или билет в таких приложениях, как Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty и т. д., для команды ИТ-операций.
Как получить доступ к действиям управляемого ответа, опубликованным экспертами Defender из Sentinel?	После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Владелец обновляется до клиента автоматически, а тег Awaiting Customer Action доступен в Sentinel. Эти изменения полей можно использовать в качестве триггера для просмотра панели управляемого ответа на соответствующий инцидент на портале Microsoft Defender.

Вопросы

Ответы

Разделы справки получать обновления экспертов Defender в Sentinel?

Если вы включили соединитель данных между Microsoft Defender XDR и Microsoft Sentinel, обновления, внесенные экспертами Defender в Defender, синхронизируются с Microsoft Sentinel. Подробнее.

Поля Назначено, Состояние и Классификация в Microsoft Defender XDR инцидентах сопоставляются с соответствующими полями в Sentinel, а именно: Владелец, Состояние и Причина закрытия.

Разделы справки получать обновления экспертов Defender в Sentinel для автоматического запуска сборника схем?

Чтобы получить обновления экспертов Defender, сначала настройте правила автоматизации в Sentinel, которые активируются со следующими обновлениями экспертов Defender:

При обновлении поля "Владелец" в Microsoft Sentinel до "Эксперты Defender" или "Клиент".
При обновлении поля Состояние в Microsoft Sentinel на Активно или Закрыто, что соответствует Microsoft Defender XDR СостояниеАктивно и Выполняется соответственно.
Когда добавляется действие sentinel taging Awaiting Customer Action, что соответствует состоянию Microsoft Defender XDR ожиданиедействия клиента.

Затем настройте сборники схем в Microsoft Sentinel для автоматической синхронизации обновлений инцидентов или отправки уведомлений об инцидентах в другие приложения.

Отправьте сообщение электронной почты, сообщение Teams или Сообщение Slack команде SOC, когда аналитик Эксперты Defender назначены инциденту.
Отправьте SMS или телефонный звонок через Службы коммуникации Azure или соединитель Twilio вашему потенциальному участнику SOC, когда эксперты Defender опубликуют ответное действие для вашей команды.
Create задачу или билет в таких приложениях, как Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty и т. д., для команды ИТ-операций.

Как получить доступ к действиям управляемого ответа, опубликованным экспертами Defender из Sentinel?

После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Владелец обновляется до клиента автоматически, а тег Awaiting Customer Action доступен в Sentinel. Эти изменения полей можно использовать в качестве триггера для просмотра панели управляемого ответа на соответствующий инцидент на портале Microsoft Defender.

В сторонних приложениях SIEM, SOAR или ITSM

Вопросы	Ответы
Разделы справки получать обновления экспертов Defender от Microsoft Defender XDR для синхронизации со сторонними приложениями управления информационной безопасностью и событиями безопасности (SIEM), оркестрацией безопасности, автоматизацией и реагированием (SOAR) или приложениями управления ИТ-службами (ITSM)?	Вы можете получать обновления экспертов Defender из Microsoft Defender XDR с помощью API безопасности Graph (microsoft.graph.security.incident). Чтобы инициировать процесс синхронизации, выполните следующие действия: Установите сопоставление между полями в Microsoft Defender XDR и соответствующими полями в нужном приложении. Определите, должна ли синхронизация быть однонаправленной или двунаправленной, и убедитесь, что другое приложение поддерживает это. Разработка, тестирование и развертывание интеграции синхронизации. В большинстве случаев рекомендуется периодически опрашивать API безопасности Graph каждую минуту или около того, чтобы проверка на наличие обновлений. Периодически проверяйте актуальность сопоставления полей.
Можно ли синхронизировать действия управляемого ответа, опубликованные экспертами Defender на портале Microsoft Defender, со сторонними приложениями SIEM, SOAR или ITSM?	После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Назначено будет изменено на Клиент, а поле Состояние обновляется на Ожидание действий клиента. Эти поля можно синхронизировать с помощью API безопасности Graph, а затем использовать эти изменения в качестве триггера для проверки действий управляемого ответа на портале Microsoft Defender. Ожидается, что действия управляемого ответа будут доступны в API безопасности Graph в конце этого года, и в это время их можно будет синхронизировать со сторонними приложениями.

Вопросы

Ответы

Разделы справки получать обновления экспертов Defender от Microsoft Defender XDR для синхронизации со сторонними приложениями управления информационной безопасностью и событиями безопасности (SIEM), оркестрацией безопасности, автоматизацией и реагированием (SOAR) или приложениями управления ИТ-службами (ITSM)?

Вы можете получать обновления экспертов Defender из Microsoft Defender XDR с помощью API безопасности Graph (microsoft.graph.security.incident).

Чтобы инициировать процесс синхронизации, выполните следующие действия:

Установите сопоставление между полями в Microsoft Defender XDR и соответствующими полями в нужном приложении. Определите, должна ли синхронизация быть однонаправленной или двунаправленной, и убедитесь, что другое приложение поддерживает это.
Разработка, тестирование и развертывание интеграции синхронизации. В большинстве случаев рекомендуется периодически опрашивать API безопасности Graph каждую минуту или около того, чтобы проверка на наличие обновлений.
Периодически проверяйте актуальность сопоставления полей.

Можно ли синхронизировать действия управляемого ответа, опубликованные экспертами Defender на портале Microsoft Defender, со сторонними приложениями SIEM, SOAR или ITSM?

После того как эксперты Defender опубликуют действия управляемого реагирования на инцидент на портале Microsoft Defender, поле Назначено будет изменено на Клиент, а поле Состояние обновляется на Ожидание действий клиента. Эти поля можно синхронизировать с помощью API безопасности Graph, а затем использовать эти изменения в качестве триггера для проверки действий управляемого ответа на портале Microsoft Defender.

Ожидается, что действия управляемого ответа будут доступны в API безопасности Graph в конце этого года, и в это время их можно будет синхронизировать со сторонними приложениями.

В других службах коммуникации

Вопросы	Ответы
Можно ли получать обновления экспертов Defender от Microsoft Defender XDR по электронной почте?	После того как аналитик экспертов Defender опубликует рекомендуемые действия реагирования на инцидент, ваши назначенные контакты по инциденту получат соответствующее уведомление по электронной почте на адреса электронной почты, указанные> в разделе ПараметрыКонтакты с уведомлениями экспертов> Defender на портале Microsoft Defender. Кроме того, вы можете настроить приложение логики для автоматической отправки всех обновлений инцидентов на указанные вами адреса электронной почты.
Можно ли получать обновления экспертов Defender из Microsoft Defender XDR в Microsoft Teams?	Функции двустороннего чата доступны на всплывающей панели управляемого реагирования инцидента на портале Microsoft Defender. Кроме того, вы получаете уведомления о публикации управляемого ответа и можете вести беседы в чате в режиме реального времени с экспертами Defender непосредственно в Microsoft Teams. Дополнительные сведения о настройке Teams
Можно ли получать обновления экспертов Defender от Microsoft Defender XDR в виде sms или телефонных звонков или в сторонних службах коммуникации, таких как Slack?	Вы можете настроить приложение логики для отправки уведомлений из служб коммуникации, таких как Slack, Twilio, Службы коммуникации Azure и т. д.

См. также

Управляемое обнаружение и реагирование

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.