Förstå och hantera Defender-experter för XDR-incidentuppdateringar
Gäller för:
I följande avsnitt visas nedfrågor som SOC-teamet kan ha angående mottagandet av incidentaviseringar.
I Microsoft Defender portalen och Graph API för säkerhet
| Frågor | Svar |
|---|---|
| Hur gör jag för att veta om en Defender Experts-analytiker har börjat arbeta med en incident? | När en Defender-expertanalytiker börjar arbeta med en incident uppdateras incidentens tilldelade fält tillDefender-experter. |
| Hur gör jag för att veta om en Defender Experts-analytiker har löst en incident? | När en Defender-expertanalytiker har löst en incident uppdateras incidentens statusfält till Löst. |
| Hur gör jag för att veta vilken slutsats som fick en Defender Experts-analytiker att lösa en incident? | När Defender-experternas analytiker löser en incident ändrar de incidentens fält för klassificering och bestämning och ger en kortfattad sammanfattning i avsnittet Kommentarer . Om en incident klassificeras som sann positiv visas en omfattande undersökningssammanfattning i den utfällbara panelen Hanterat svar i Microsoft Defender-portalen. |
| Hur gör jag för att veta vilka åtgärder en Defender Experts-analytiker vidtog i min klientorganisation när jag undersökte en incident? | För varje incident som de undersöker sammanfattar Defender Experts-analytikern alla åtgärder som de utförde i din klientorganisation i incidentens undersökningssammanfattning i den utfällbara panelen Hanterat svar i Microsoft Defender-portalen. Du kan också hämta information om dessa åtgärder och de gånger de loggade in på din klientorganisation genom att söka i granskningsloggarna antingen på efterlevnadsportal i Microsoft Purview eller via API:et för Office 365 Management Activity. |
| Hur gör jag för att veta om en Defender Experts-analytiker har skickat några svarsåtgärder till mitt SOC-team? | Defender Experts-analytikern publicerar de svarsåtgärder som de rekommenderar ditt SOC-team att utföra vid en incident i en incidents utfällbara panel för hanterat svar i Microsoft Defender-portalen. För närvarande uppdateras incidentens tilldelade fält tillKunden och dess status uppdateras till Väntar på kundåtgärd. Dina incidentkontakter, som du har angett i Inställningar>Defender-experter>Meddelandekontakter i Microsoft Defender-portalen, får också ett motsvarande e-postmeddelande om det finns svarsåtgärder som kräver din uppmärksamhet. Du får också ett Teams-aviseringar om du har konfigurerat det i Inställningar>Defender Experts>Teams i din Microsoft Defender-portalen. |
| Hur gör jag för att ställa frågor till en Defender-expertanalytiker om en undersöknings- eller svarsåtgärd? | När en Defender-expertanalytiker publicerar sin undersökningssammanfattning och rekommenderade svarsåtgärder i den utfällbara panelen Hanterat svar i en sann positiv incident kan du använda fliken Chatt i samma panel för att ställa frågor till Defender-experternas team om incidenten och deras undersökning. Alternativt kan dina utsedda incidentkontakter svara direkt på teams- eller e-postmeddelandet som de fått från Defender-experter för att ställa eventuella frågor som du kan ha. |
| Hur gör jag för att veta vilka incidenter som har väntande svarsåtgärder? | Defender Experts-kortet på startsidan för Microsoft Defender-portalen innehåller en länk som visar ett meddelande (till exempel 3 incidenter som väntar på din åtgärd). Om du väljer den här länken dirigeras du till en filtrerad lista över incidenter som specifikt kräver din uppmärksamhet. Du kan filtrera incidentkön i din Microsoft Defender-portalen genom att välja Tilldelad till som Kund eller Status som Väntar på kundåtgärd. |
I Microsoft Sentinel
| Frågor | Svar |
|---|---|
| Hur gör jag för att få Uppdateringar av Defender-experter i Sentinel? | Om du har aktiverat dataanslutningen mellan Microsoft Defender XDR och Microsoft Sentinel synkroniseras uppdateringar som görs av Defender-experter i Defender till incidenter med Microsoft Sentinel. Mer information. Fälten Tilldelad till, Status och Klassificering i Microsoft Defender XDR incidenter mappas till motsvarande fält i Sentinel, nämligen Ägare, Status och Orsak till stängning. |
| Hur gör jag för att få Defender Experts-uppdateringar i Sentinel för att automatiskt utlösa en spelbok? | Om du vill hämta Uppdateringar för Defender-experter måste du först konfigurera automatiseringsregler i Sentinel som utlöses med följande Defender Experts-uppdateringar:
|
| Hur får jag åtkomst till hanterade svarsåtgärder som publicerats av Defender-experter från Sentinel? | När Defender-experter publicerar hanterade svarsåtgärder för en incident i Microsoft Defender-portalen uppdateras fältet Ägare automatiskt till Kund och taggen Väntar på kundåtgärd är tillgänglig i Sentinel. Du kan använda dessa fältändringar som en utlösare för att granska panelen för hanterat svar för motsvarande incident i Microsoft Defender-portalen. |
I SIEM-, SOAR- eller ITSM-appar från tredje part
| Frågor | Svar |
|---|---|
| Hur gör jag för att få Uppdateringar från Defender-experter från Microsoft Defender XDR för att synkronisera med siem-appar (säkerhetsinformation och händelsehantering från tredje part), säkerhetsorkestrering, automatisering och svar (SOAR) eller ITSM-appar (IT-tjänsthantering) ? | Du kan hämta Uppdateringar av Defender-experter från Microsoft Defender XDR via Graph API för säkerhet (microsoft.graph.security.incident). Så här initierar du synkroniseringsprocessen:
|
| Kan jag synkronisera hanterade svarsåtgärder som publicerats av Defender-experter i Microsoft Defender portalen till SIEM-, SOAR- eller ITSM-appar från tredje part? | När Defender-experter publicerar hanterade svarsåtgärder för en incident i din Microsoft Defender-portalen ändras fältet Tilldelad tillkund och fältet Status uppdateras till Väntar på kundåtgärd. Du kan synkronisera dessa fält via Graph-API för säkerhet och sedan använda dessa ändringar som en utlösare för att granska de hanterade svarsåtgärderna i Microsoft Defender portalen. Hanterade svarsåtgärder förväntas vara tillgängliga i Graph-API för säkerhet senare i år, då det är möjligt att synkronisera dem med dina appar från tredje part. |
I andra kommunikationstjänster
| Frågor | Svar |
|---|---|
| Kan jag få Uppdateringar av Defender-experter från Microsoft Defender XDR via e-post? | När en Defender Experts-analytiker publicerar rekommenderade svarsåtgärder på en incident får dina utsedda incidentkontakter ett motsvarande e-postmeddelande till de e-postadresser som anges i Inställningar>Defender-experter>Meddelandekontakter i din Microsoft Defender-portalen. Dessutom kan du konfigurera en logikapp så att den skickar alla incidentuppdateringar till din angivna e-postadress automatiskt. |
| Kan jag få uppdateringar av Defender-experter från Microsoft Defender XDR i Microsoft Teams? | En dubbelriktad chattfunktion är tillgänglig via en incident utfällbara panel för hanterat svar i Microsoft Defender-portalen. Dessutom får du meddelanden när ett hanterat svar publiceras och kan delta i chattkonversationer i realtid med Defender-experter direkt i Microsoft Teams. Läs mer om hur du konfigurerar Teams |
| Kan jag få Defender Experts-uppdateringar från Microsoft Defender XDR som SMS- eller telefonsamtalsuppdateringar eller i kommunikationstjänster från tredje part, till exempel Slack? | Du kan konfigurera en logikapp för att göra detta för att skicka meddelanden från kommunikationstjänster som Slack, Twilio, Azure Communication Services osv. |
Se även
Hanterad identifiering och svar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för