Az XDR-incidensfrissítésekhez készült Defender-szakértők ismertetése és kezelése

Cikk
10/30/2024

Érintett szolgáltatás:

Microsoft Defender XDR

A következő szakasz felsorolja azokat a kérdéseket, amelyek az SOC-csapatnak az incidensértesítések fogadásával kapcsolatban merülhetnek fel.

A Microsoft Defender portálon és a Graph Security API-ban

Kérdések	Válaszok
Honnan tudhatom, hogy egy Defender-szakértők elemzője elkezdett-e dolgozni egy incidensen?	Amikor egy Defender-szakértők elemzője elkezd dolgozni egy incidensen, az incidens hozzárendelt mezője a Defender-szakértőkre frissül.
Honnan tudhatom, hogy egy Defender-szakértők elemzője megoldott-e egy incidenst?	Ha egy Defender-szakértők elemzője megoldott egy incidenst, az incidens Állapota mezője a Megoldva állapotra frissül.
Honnan tudhatom, hogy egy Defender-szakértők elemzője milyen következtetés alapján oldott meg egy incidenst?	Amikor a Defender-szakértők elemzői feloldanak egy incidenst, módosítják az incidens Besorolás és meghatározás mezőit, és tömör összefoglalást adnak a Megjegyzések szakaszban. Ha egy incidens valódi pozitívként van besorolva, a Microsoft Defender portál Felügyelt válasz úszó paneljén megjelenik egy átfogó vizsgálat összefoglalása.
Honnan tudhatom, hogy egy Defender-szakértők elemzője milyen műveleteket végzett a bérlőmben egy incidens kivizsgálásakor?	A Defender Szakértői elemzője minden általuk vizsgált incidens esetében összefoglalja a bérlőn belül végrehajtott műveleteket a Microsoft Defender portál Felügyelt válasz úszó paneljén található incidens kivizsgálásának összegzésében. Az auditnaplókban a Microsoft Purview megfelelőségi portálján vagy az Office 365 Felügyeleti tevékenység API-ján keresztül is lekérheti az ezekre a műveletekre vonatkozó információkat, valamint a bérlőbe való bejelentkezésük idejét.
Honnan tudhatom, hogy egy Defender-szakértők elemzője küldött-e válaszműveleteket az SOC-csapatomnak?	A Defender-szakértők elemzője közzéteszi azokat a válaszműveleteket, amelyeket az SOC-csapatnak a Microsoft Defender portál Felügyelt válasz úszó paneljén kell végrehajtania egy incidensen. Az incidens Hozzárendelve mezője ekkor frissül az Ügyfélre , az Állapota pedig az Ügyfélműveletre vár. A Microsoft Defender portálon a Beállítások>Defender-szakértők>értesítési kapcsolattartói között kijelölt incidenspartnerei szintén kapnak egy megfelelő e-mail-értesítést, ha vannak olyan válaszműveletek, amelyek beavatkozást igényelnek. Teams-értesítéseket is kapni fog, ha beállította azt a Microsoft Defender portálon a Beállítások>Defender-szakértők>csoportjaiban.
Hogyan tehetek fel kérdéseket a Defender-szakértők elemzőinek egy vizsgálat vagy válaszművelet kapcsán?	Miután egy Defender-szakértők elemzője közzétette a vizsgálat összefoglalását és az ajánlott válaszműveleteket egy Valódi pozitív incidens felügyelt válasz úszó paneljén, az ugyanazon a panelen található Csevegés lapon kérdéseket tehet fel a Defender-szakértők csapatának az incidenssel és a vizsgálatukkal kapcsolatban. Azt is megteheti, hogy a kijelölt incidensek kapcsolattartói közvetlenül válaszolnak a Teamsre vagy a Defender-szakértőktől kapott e-mail-értesítésre, hogy felteszhessenek önnek bármilyen kérdést.
Honnan tudhatom, hogy mely incidensek rendelkeznek függőben lévő válaszműveletekkel?	A Microsoft Defender portál kezdőlapján található Defender-szakértők kártya tartalmaz egy hivatkozást, amely egy üzenetet jelenít meg (például 3 incidens, amely a műveletre vár). Ha ezt a hivatkozást választja, a kifejezetten figyelmet igénylő incidensek szűrt listájára irányítja. A Microsoft Defender portálon szűrheti az incidenssort, ha a Hozzárendelveügyfélként vagy az Állapot elemet választja az Ügyfélműveletre várva lehetőséget.

A Microsoft Sentinelben

Kérdések	Válaszok
Hogyan szerezhetem be a Defender-szakértők frissítéseit a Sentinelben?	Ha engedélyezte az adatösszekötőt a Microsoft Defender XDR és a Microsoft Sentinel között, a Defender szakértői által az incidensekre vonatkozó Defender-frissítések szinkronizálódnak a Microsoft Sentinellel. További információ. A Microsoft Defender XDR-incidensek Hozzárendelve, Állapot és Besorolás mezői a Sentinel megfelelő mezőihez vannak rendelve, azaz Tulajdonos, Állapot és A lezárás oka.
Hogyan kérhetem le a Defender-szakértők frissítéseit a Sentinelben, hogy automatikusan aktiválhassak egy forgatókönyvet?	A Defender-szakértők frissítéseinek beszerzéséhez először állítson be automatizálási szabályokat a Sentinelben, amelyek a következő Defender-szakértők frissítéseivel aktiválódnak: Ha a Microsoft Sentinel Tulajdonos mezője defender-szakértőkre vagy ügyfélre frissül. Ha a Microsoft Sentinel Állapot mezője Aktív vagy Lezárt értékre frissül, amely a Microsoft Defender XDR Állapotaktív és Folyamatban állapotának felel meg. Amikor a Sentinel-címkeaz ügyfélműveletre vár, az megfelel a Microsoft Defender XDR ügyfélműveletre váróállapotának. Ezután állítson be forgatókönyveket a Microsoft Sentinelben az incidensfrissítések automatikus szinkronizálásához vagy incidensértesítések más alkalmazásokba való küldéséhez. E-maileket, Teams-üzeneteket vagy Slack-üzeneteket küldhet az SOC-csapatnak, ha egy Defender Experts-elemzőt hozzárendelnek egy incidenshez. SMS-t vagy telefonhívást küldhet az SoC-vezetőnek az Azure Communications Services vagy a Twilio-összekötő használatával, amikor a Defender-szakértők válaszműveletet tesznek közzé a csapat számára. Hozzon létre egy feladatot vagy jegyet olyan alkalmazásokban, mint az Azure DevOps, a ServiceNow, a Jira, a ZenDesk, a FreshService, a PagerDuty stb. az informatikai üzemeltetési csapat számára.
Hogyan érhetem el a Defender szakértői által a Sentinelből közzétett felügyelt válaszműveleteket?	Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Tulajdonos mező automatikusan frissül az Ügyfélre , és az Ügyfélműveletre vár címke elérhető a Sentinelben. Ezeket a mezőmódosításokat eseményindítóként használhatja a megfelelő incidens felügyelt válaszpaneljének áttekintéséhez a Microsoft Defender portálon.

Kérdések

Válaszok

Hogyan szerezhetem be a Defender-szakértők frissítéseit a Sentinelben?

Ha engedélyezte az adatösszekötőt a Microsoft Defender XDR és a Microsoft Sentinel között, a Defender szakértői által az incidensekre vonatkozó Defender-frissítések szinkronizálódnak a Microsoft Sentinellel. További információ.

A Microsoft Defender XDR-incidensek Hozzárendelve, Állapot és Besorolás mezői a Sentinel megfelelő mezőihez vannak rendelve, azaz Tulajdonos, Állapot és A lezárás oka.

Hogyan kérhetem le a Defender-szakértők frissítéseit a Sentinelben, hogy automatikusan aktiválhassak egy forgatókönyvet?

A Defender-szakértők frissítéseinek beszerzéséhez először állítson be automatizálási szabályokat a Sentinelben, amelyek a következő Defender-szakértők frissítéseivel aktiválódnak:

Ha a Microsoft Sentinel Tulajdonos mezője defender-szakértőkre vagy ügyfélre frissül.
Ha a Microsoft Sentinel Állapot mezője Aktív vagy Lezárt értékre frissül, amely a Microsoft Defender XDR Állapotaktív és Folyamatban állapotának felel meg.
Amikor a Sentinel-címkeaz ügyfélműveletre vár, az megfelel a Microsoft Defender XDR ügyfélműveletre váróállapotának.

Ezután állítson be forgatókönyveket a Microsoft Sentinelben az incidensfrissítések automatikus szinkronizálásához vagy incidensértesítések más alkalmazásokba való küldéséhez.

E-maileket, Teams-üzeneteket vagy Slack-üzeneteket küldhet az SOC-csapatnak, ha egy Defender Experts-elemzőt hozzárendelnek egy incidenshez.
SMS-t vagy telefonhívást küldhet az SoC-vezetőnek az Azure Communications Services vagy a Twilio-összekötő használatával, amikor a Defender-szakértők válaszműveletet tesznek közzé a csapat számára.
Hozzon létre egy feladatot vagy jegyet olyan alkalmazásokban, mint az Azure DevOps, a ServiceNow, a Jira, a ZenDesk, a FreshService, a PagerDuty stb. az informatikai üzemeltetési csapat számára.

Hogyan érhetem el a Defender szakértői által a Sentinelből közzétett felügyelt válaszműveleteket?

Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Tulajdonos mező automatikusan frissül az Ügyfélre , és az Ügyfélműveletre vár címke elérhető a Sentinelben. Ezeket a mezőmódosításokat eseményindítóként használhatja a megfelelő incidens felügyelt válaszpaneljének áttekintéséhez a Microsoft Defender portálon.

Külső SIEM-, SOAR- vagy ITSM-alkalmazásokban

Kérdések	Válaszok
Hogyan szerezhetek be Defender-szakértők frissítéseit a Microsoft Defender XDR-ből a külső biztonsági információk és eseménykezelés (SIEM), a biztonsági vezénylés, az automatizálás és a reagálás (SOAR) vagy az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokba való szinkronizáláshoz?	A Defender-szakértők frissítéseit a Microsoft Defender XDR-ről a Graph Security API-n (microsoft.graph.security.incident) keresztül szerezheti be. A szinkronizálási folyamat kezdeményezése: Hozza létre a megfeleltetést a Microsoft Defender XDR mezői és a kívánt alkalmazás megfelelő mezői között. Állapítsa meg, hogy a szinkronizálásnak egy- vagy kétirányúnak kell-e lennie, és győződjön meg arról, hogy a másik alkalmazás támogatja ezt. A szinkronizálási integráció fejlesztése, tesztelése és üzembe helyezése. A legtöbb esetben ajánlott percenként rendszeres időközönként lekérdezni a Graph Security API-t, hogy frissítéseket keressen. Rendszeresen ellenőrizze, hogy a mezőleképezés naprakész-e.
Szinkronizálhatom a Defender szakértői által a Microsoft Defender portálon közzétett felügyelt válaszműveleteket külső SIEM-, SOAR- vagy ITSM-alkalmazásokba?	Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Hozzárendelt mező ügyfélre változik, az Állapot mező pedig az Ügyfél beavatkozására vár. Ezeket a mezőket a Graph Security API-val szinkronizálhatja, majd ezeket a módosításokat eseményindítóként használhatja a felügyelt válaszműveletek áttekintéséhez a Microsoft Defender portálon. A felügyelt válaszműveletek várhatóan az év későbbi szakaszaiban lesznek elérhetők a Graph Security API-ban, ekkor pedig szinkronizálhatók lesznek a külső alkalmazásokkal.

Kérdések

Válaszok

Hogyan szerezhetek be Defender-szakértők frissítéseit a Microsoft Defender XDR-ből a külső biztonsági információk és eseménykezelés (SIEM), a biztonsági vezénylés, az automatizálás és a reagálás (SOAR) vagy az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokba való szinkronizáláshoz?

A Defender-szakértők frissítéseit a Microsoft Defender XDR-ről a Graph Security API-n (microsoft.graph.security.incident) keresztül szerezheti be.

A szinkronizálási folyamat kezdeményezése:

Hozza létre a megfeleltetést a Microsoft Defender XDR mezői és a kívánt alkalmazás megfelelő mezői között. Állapítsa meg, hogy a szinkronizálásnak egy- vagy kétirányúnak kell-e lennie, és győződjön meg arról, hogy a másik alkalmazás támogatja ezt.
A szinkronizálási integráció fejlesztése, tesztelése és üzembe helyezése. A legtöbb esetben ajánlott percenként rendszeres időközönként lekérdezni a Graph Security API-t, hogy frissítéseket keressen.
Rendszeresen ellenőrizze, hogy a mezőleképezés naprakész-e.

Szinkronizálhatom a Defender szakértői által a Microsoft Defender portálon közzétett felügyelt válaszműveleteket külső SIEM-, SOAR- vagy ITSM-alkalmazásokba?

Miután a Defender-szakértők felügyelt válaszműveleteket tesznek közzé egy incidenshez a Microsoft Defender portálon, a Hozzárendelt mező ügyfélre változik, az Állapot mező pedig az Ügyfél beavatkozására vár. Ezeket a mezőket a Graph Security API-val szinkronizálhatja, majd ezeket a módosításokat eseményindítóként használhatja a felügyelt válaszműveletek áttekintéséhez a Microsoft Defender portálon.

A felügyelt válaszműveletek várhatóan az év későbbi szakaszaiban lesznek elérhetők a Graph Security API-ban, ekkor pedig szinkronizálhatók lesznek a külső alkalmazásokkal.

Más kommunikációs szolgáltatásokban

Kérdések	Válaszok
Kaphatok Defender-szakértőktől származó frissítéseket a Microsoft Defender XDR-ből e-mailben?	Miután a Defender-szakértők elemzője közzétette a javasolt válaszműveleteket egy incidensben, a kijelölt incidens kapcsolattartói e-mail-értesítést kapnak a Beállítások>Defender-szakértők>értesítési kapcsolattartói a Microsoft Defender portálon megadott e-mail-címekre. Emellett úgy is konfigurálhat egy logikai alkalmazást , hogy az összes incidensfrissítést automatikusan elküldje a kijelölt e-mail-címre(ok)ra.
Beszerezhetem a Defender-szakértők frissítéseit a Microsoft Defender XDR-ből a Microsoft Teamsben?	A kétirányú csevegési funkciók az incidens Felügyelt válasz úszó paneljén érhetők el a Microsoft Defender portálon. Emellett értesítéseket is kap egy felügyelt válasz közzétételekor, és közvetlenül a Microsoft Teamsen belül folytathat valós idejű csevegéseket a Defender szakértőivel. További információ a Teams beállításáról
Kaphatok Defender-szakértőknek szóló frissítéseket a Microsoft Defender XDR-ből SMS- vagy telefonhívás-frissítésként, vagy külső kommunikációs szolgáltatásokban, például a Slackben?	Konfigurálhat egy logikai alkalmazást úgy, hogy értesítéseket küldjön olyan kommunikációs szolgáltatásokból, mint a Slack, a Twilio, az Azure Communication Services stb.

Lásd még

Felügyelt észlelés és válasz

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

Megosztás a következőn keresztül: