Om administreret svar

Gælder for:

Microsoft Defender XDR

Denne artikel indeholder en liste over spørgsmål, som du eller dit SOC-team kan have vedrørende administreret svar.

Generelle oplysninger

Spørgsmål	Svar
Hvad er Administreret svar?	Microsoft Defender-eksperter til XDR tilbyder Administreret svar, hvor eksperterne administrerer hele afhjælpningsprocessen for hændelser, der kræver dem. Denne proces omfatter undersøgelse af hændelsen for at identificere hovedårsagen, fastlægge de påkrævede svarhandlinger og udføre disse handlinger på dine vegne.
Hvilke handlinger er inden for området Administreret svar?	Alle handlinger, der findes nedenfor, er inden for området Administreret svar for alle enheder og brugere, der ikke er udelukket. Til enheder Isoler maskine Frigiv maskine fra isolation Stop og sæt fil i karantæne Begræns appudførelse Fjern appbegrænsning For brugere Deaktiver bruger Aktivér bruger Blød sletning af mails
Kan jeg tilpasse omfanget af administreret svar?	Du kan konfigurere, i hvilket omfang vores eksperter udfører handlinger for administreret svar på dine vegne, ved at udelukke visse enheder og brugere (individuelt eller af grupper) enten under onboarding eller senere ved at ændre indstillingerne for din tjeneste. Læs mere om at udelade enhedsgrupper
Hvilken støtte tilbyder Defender Experts til ekskluderede aktiver?	Hvis eksperterne finder ud af, at du skal udføre svarhandlinger på udeladte enheder eller brugere, giver de dig besked via forskellige metoder, der kan tilpasses, og sender dig til din Microsoft Defender portal. Fra portalen kan du få vist en detaljeret oversigt over undersøgelsesprocessen og de påkrævede svarhandlinger på portalen og udføre disse påkrævede handlinger direkte. Lignende funktioner er også tilgængelige via Defender API'er, hvis du foretrækker at bruge en SIEM (Security Information and Event Management), IT Service Management (ITSM) eller et andet tredjepartsværktøj.
Hvordan bliver jeg informeret om svarhandlingerne?	Svarhandlinger, som eksperterne udfører på dine vegne, og ventende, som du skal udføre på dine ekskluderede aktiver, vises i panelet Administreret svar på siden Hændelser på Defender-portalen. Derudover modtager du en mail, der indeholder et link til hændelsen, og instruktioner til at få vist det administrerede svar på portalen. Hvis du desuden har integration med Microsoft Sentinel eller API'er, modtager du også meddelelser i disse værktøjer ved at søge efter statusser for Defender Experts. Du kan få flere oplysninger under Ofte stillede spørgsmål om Microsoft Defender-eksperter til XDR meddelelser om hændelser.
Kan jeg tilpasse administreret svar baseret på handlinger?	Nej. Hvis du har enheder eller brugere, der er af høj værdi eller følsomme, skal du føje dem til listen over undtagelser. Eksperterne foretager ingen handlinger på dem og giver kun vejledning, hvis de påvirkes af en hændelse.

Om administrerede svarmeddelelser

Sikkerhed-API i Microsoft Defender portal og graph

Spørgsmål	Svar
Hvordan gør jeg vide, om en Defender Experts-analytiker er begyndt at arbejde på en hændelse?	Når Defender Experts fastslår, at en hændelse skal undersøges (uanset om det er på grund af tjenesten eller registreringskilden, alvorsgraden, din definerede dækning eller andre årsager), opdaterer de feltet Tildelt tilDefender Experts. Når eksperterne begynder at undersøge hændelsen, opdaterer de feltet Status til Igangværende.
Hvordan gør jeg vide, om en Defender Experts-analytiker har løst en hændelse?	Når en Defender Experts-analytiker løser en hændelse, opdaterer de feltet Status for hændelsen til Løst.
Hvordan gør jeg vide, hvilken konklusion der fik en Defender Experts-analytiker til at løse en hændelse?	Når Defender Experts fuldfører deres undersøgelse af en hændelse, ændrer de felterne Klassificering og Bestemmelse af hændelsen og giver en undersøgelsesoversigt i pop op-panelet Administreret svar på din Microsoft Defender portal.
Hvordan gør jeg vide, hvilke handlinger en Defender Experts-analytiker tog i min lejer, da jeg undersøgte en hændelse?	For hver hændelse, de undersøger, opsummerer Defender Experts-analytikeren de handlinger, de har udført i din lejer, i oversigten undersøgelse af hændelsen, der er placeret i pop op-panelet Administreret svar på din Microsoft Defender portal. Du kan også hente oplysninger om disse handlinger og de tidspunkter, de loggede på din lejer, ved at søge i dine overvågningslogge enten på Microsoft Purview-portalen eller via API'en til Office 365-administrationsaktivitet.
Hvordan gør jeg vide, om en Defender Experts-analytiker har sendt svarhandlinger til mit SOC-team?	Defender Experts-analytikeren publicerer de svarhandlinger, de anbefaler dit SOC-team til at udføre på en hændelse i pop op-panelet Administreret svar på din Microsoft Defender portal. På nuværende tidspunkt opdateres feltet Tildelt til for hændelsen til Kunde , og dens Status opdateres til Afventer kundehandling. Dine hændelseskontakter, som du har angivet i Indstillinger>Defender Experts>Notification-kontakter på din Microsoft Defender portal, modtager også en tilsvarende mailmeddelelse, hvis der er svarhandlinger, der kræver din opmærksomhed. Du modtager også en Teams-meddelelse, hvis du konfigurerer den i Indstillinger Defender>Experts>Teams på din Microsoft Defender portal.
Hvordan gør jeg stille en Defender Experts-analytiker spørgsmål om en undersøgelse eller svarhandling?	Når en Defender Experts-analytiker udgiver sin undersøgelsesoversigt og anbefalede svarhandlinger i pop op-panelet Administreret svar i en sand positiv hændelse, kan du bruge fanen Chat i det samme panel til at stille Defender Experts-teamet spørgsmål om hændelsen og deres undersøgelse. Alternativt kan dine udpegede hændelseskontakter svare direkte på den Teams-meddelelse, de modtog fra Defender Experts, for at stille eventuelle spørgsmål, du måtte have.
Hvordan gør jeg vide, hvilke hændelser der har ventende svarhandlinger?	Kortet Defender Experts på startsiden på din Microsoft Defender portal indeholder et link, der viser en meddelelse (f.eks. tre hændelser, der afventer din handling). Hvis du vælger dette link, føres du til en filtreret liste over hændelser, der specifikt kræver din opmærksomhed. Du kan filtrere hændelseskøen på din Microsoft Defender portal ved at vælge Tildelt til som kunde eller Status som Afventer kundehandling.

I Microsoft Sentinel

Spørgsmål	Svar
Hvordan gør jeg du få opdateringer fra Defender Experts i Sentinel?	Hvis du aktiverer dataconnectoren mellem Microsoft Defender XDR og Microsoft Sentinel, synkroniseres opdateringer foretaget af Defender Experts in Defender til hændelser med Microsoft Sentinel. Få mere at vide. Felterne Tildelt til, Status og Klassificering i Microsoft Defender XDR hændelser knyttes til de tilsvarende felter i Sentinel, nemlig Ejer, Status og Årsag til lukning.
Hvordan gør jeg få opdateringer fra Defender Experts i Sentinel til automatisk at udløse en playbook?	Hvis du vil hente Defender Experts-opdateringer, skal du først konfigurere automatiseringsregler i Sentinel, der udløses af følgende opdateringer af Defender Experts: Når feltet Ejer i Microsoft Sentinel opdateres til Defender Experts eller Customer. Når feltet Status i Microsoft Sentinel opdateres til Aktiv eller Lukket, hvilket svarer til henholdsvis Microsoft Defender XDR Statusaktiv og Igangværende. Når Sentinel mærke, der afventer kundehandling, tilføjes, hvilket svarer til Microsoft Defender XDR statusafventer kundehandling. Derefter skal du konfigurere playbooks i Microsoft Sentinel for automatisk at synkronisere opdateringer af hændelser eller sende meddelelser om hændelser til andre apps. Send en mail eller Teams-meddelelse eller Slack-meddelelse til dit SOC-team, når en Defender Experts-analytiker er tildelt til en hændelse. Send sms eller telefonopkald via Azure Communications Services eller Twilio-connector til dit SOC-kundeemne, når Defender Experts udgiver svarhandling for dit team. Opret en opgave eller en billet i apps som f.eks. Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty osv. til dit it-ops-team.
Hvordan kan jeg få adgang til administrerede svarhandlinger, der er publiceret af Defender Experts fra Sentinel?	Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på din Microsoft Defender portal, opdateres feltet Ejer automatisk til Kunde, og tagget Afventer kundehandling er tilgængeligt i Sentinel. Du kan bruge disse feltændringer som udløser til at gennemse panelet for administreret svar for den tilsvarende hændelse på Microsoft Defender portalen.

Spørgsmål

Svar

Hvordan gør jeg du få opdateringer fra Defender Experts i Sentinel?

Hvis du aktiverer dataconnectoren mellem Microsoft Defender XDR og Microsoft Sentinel, synkroniseres opdateringer foretaget af Defender Experts in Defender til hændelser med Microsoft Sentinel. Få mere at vide.

Felterne Tildelt til, Status og Klassificering i Microsoft Defender XDR hændelser knyttes til de tilsvarende felter i Sentinel, nemlig Ejer, Status og Årsag til lukning.

Hvordan gør jeg få opdateringer fra Defender Experts i Sentinel til automatisk at udløse en playbook?

Hvis du vil hente Defender Experts-opdateringer, skal du først konfigurere automatiseringsregler i Sentinel, der udløses af følgende opdateringer af Defender Experts:

Når feltet Ejer i Microsoft Sentinel opdateres til Defender Experts eller Customer.
Når feltet Status i Microsoft Sentinel opdateres til Aktiv eller Lukket, hvilket svarer til henholdsvis Microsoft Defender XDR Statusaktiv og Igangværende.
Når Sentinel mærke, der afventer kundehandling, tilføjes, hvilket svarer til Microsoft Defender XDR statusafventer kundehandling.

Derefter skal du konfigurere playbooks i Microsoft Sentinel for automatisk at synkronisere opdateringer af hændelser eller sende meddelelser om hændelser til andre apps.

Send en mail eller Teams-meddelelse eller Slack-meddelelse til dit SOC-team, når en Defender Experts-analytiker er tildelt til en hændelse.
Send sms eller telefonopkald via Azure Communications Services eller Twilio-connector til dit SOC-kundeemne, når Defender Experts udgiver svarhandling for dit team.
Opret en opgave eller en billet i apps som f.eks. Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty osv. til dit it-ops-team.

Hvordan kan jeg få adgang til administrerede svarhandlinger, der er publiceret af Defender Experts fra Sentinel?

Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på din Microsoft Defender portal, opdateres feltet Ejer automatisk til Kunde, og tagget Afventer kundehandling er tilgængeligt i Sentinel. Du kan bruge disse feltændringer som udløser til at gennemse panelet for administreret svar for den tilsvarende hændelse på Microsoft Defender portalen.

I SIEM-, SOAR- eller ITSM-apps fra tredjepart

Spørgsmål	Svar
Hvordan gør jeg få Defender Experts-opdateringer fra Microsoft Defender XDR til at synkronisere med TREDJEPARTS-sikkerhedsoplysninger og -hændelsesstyring (SIEM), sikkerhedsorkestrering, automatisering og svar (SOAR) eller ITSM-apps (IT Service Management)?	Du kan hente Defender Experts-opdateringer fra Microsoft Defender XDR via Graph-sikkerhed-API. Du kan få flere oplysninger under Få adgang til administreret svar via Graph API. Sådan starter du synkroniseringsprocessen: Opret tilknytningen mellem felter i Microsoft Defender XDR og de tilsvarende felter i det ønskede program. Find ud af, om synkroniseringen skal være envejs eller tovejs, og sørg for, at det andet program understøtter det. Udvikl, test og udrul synkroniseringsintegrationen. I de fleste tilfælde anbefales det, at du jævnligt forespørger Graph-sikkerhed-API hvert minut eller deromkring for at søge efter opdateringer. Kontrollér jævnligt, at felttilknytningen er opdateret.
Kan jeg synkronisere administrerede svarhandlinger, der er publiceret af Defender Experts i Microsoft Defender portal, til tredjepartsapps af TYPEN SIEM, SOAR eller ITSM?	Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på din Microsoft Defender portal, ændres feltet Tildelt til til Kunde, og feltet Status opdateres til Afventer kundehandling. Du kan synkronisere disse felter via Graph-sikkerhed-API og derefter bruge disse ændringer som udløser til at gennemse de administrerede svarhandlinger på Microsoft Defender portalen. Administrerede svarhandlinger forventes at være tilgængelige i Graph-sikkerhed-API senere på året, hvorefter det vil være muligt at synkronisere dem med dine tredjepartsapps.

Spørgsmål

Svar

Hvordan gør jeg få Defender Experts-opdateringer fra Microsoft Defender XDR til at synkronisere med TREDJEPARTS-sikkerhedsoplysninger og -hændelsesstyring (SIEM), sikkerhedsorkestrering, automatisering og svar (SOAR) eller ITSM-apps (IT Service Management)?

Du kan hente Defender Experts-opdateringer fra Microsoft Defender XDR via Graph-sikkerhed-API. Du kan få flere oplysninger under Få adgang til administreret svar via Graph API.

Sådan starter du synkroniseringsprocessen:

Opret tilknytningen mellem felter i Microsoft Defender XDR og de tilsvarende felter i det ønskede program. Find ud af, om synkroniseringen skal være envejs eller tovejs, og sørg for, at det andet program understøtter det.
Udvikl, test og udrul synkroniseringsintegrationen. I de fleste tilfælde anbefales det, at du jævnligt forespørger Graph-sikkerhed-API hvert minut eller deromkring for at søge efter opdateringer.
Kontrollér jævnligt, at felttilknytningen er opdateret.

Kan jeg synkronisere administrerede svarhandlinger, der er publiceret af Defender Experts i Microsoft Defender portal, til tredjepartsapps af TYPEN SIEM, SOAR eller ITSM?

Når Defender Experts publicerer administrerede svarhandlinger for en hændelse på din Microsoft Defender portal, ændres feltet Tildelt til til Kunde, og feltet Status opdateres til Afventer kundehandling. Du kan synkronisere disse felter via Graph-sikkerhed-API og derefter bruge disse ændringer som udløser til at gennemse de administrerede svarhandlinger på Microsoft Defender portalen.

Administrerede svarhandlinger forventes at være tilgængelige i Graph-sikkerhed-API senere på året, hvorefter det vil være muligt at synkronisere dem med dine tredjepartsapps.

I andre kommunikationstjenester

Spørgsmål	Svar
Kan jeg få opdateringer fra Defender Experts fra Microsoft Defender XDR i en mail?	Når en Defender Experts-analytiker publicerer anbefalede svarhandlinger på en hændelse, modtager dine udpegede hændelseskontakter en mail til de mailadresser, der er angivet i Indstillinger Defender>Experts>Notification-kontakter på din Microsoft Defender portal. Derudover kan du konfigurere en Logic App til automatisk at sende alle hændelsesopdateringer til dine angivne mailadresser.
Kan jeg få opdateringer fra Defender Experts fra Microsoft Defender XDR i Microsoft Teams?	Du kan få adgang til tovejschatfunktioner via pop op-vinduet Administreret svar på din Microsoft Defender-portal. Du modtager meddelelser, når et administreret svar sendes, og du kan deltage i chatsamtaler i realtid med Defender Experts direkte i Microsoft Teams. Få mere at vide om konfiguration af Teams.
Kan jeg få Defender Experts-opdateringer fra Microsoft Defender XDR som sms- eller telefonopkaldsopdateringer eller i kommunikationstjenester fra tredjepart, f.eks. Slack?	Du kan konfigurere en Logic App til at sende meddelelser fra kommunikationstjenester som Slack, Twilio, Azure Communication Services og meget mere.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

Feedback

Var denne side nyttig?

Last updated on 2026-05-01