Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel in der Azure-Portal unterstützt eine direkte Integration in Microsoft Teams, sodass Sie direkt in die Teamarbeit bei bestimmten Vorfällen springen können.
Wichtig
Die Integration in Microsoft Teams befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
Übersicht
Die Integration in Microsoft Teams direkt aus Microsoft Sentinel ermöglicht es Ihren Teams, nahtlos über die organization hinweg und mit externen Projektbeteiligten zusammenzuarbeiten.
Verwenden Sie Microsoft Teams mit einem Microsoft Sentinel Incidentteam, um Ihre Kommunikation und Koordination zwischen den relevanten Mitarbeitern zu zentralisieren. Incidentteams sind besonders hilfreich, wenn sie als dedizierte Konferenzbrücke für vorfälle mit hohem Schweregrad verwendet werden.
Organisationen, die Microsoft Teams bereits für Kommunikation und Zusammenarbeit verwenden, können die Microsoft Sentinel Integration nutzen, um Sicherheitsdaten direkt in ihre Unterhaltungen und ihre tägliche Arbeit einzubinden.
Ein Microsoft Sentinel Incidentteam verfügt immer über die aktuellsten und aktuellsten Daten aus Microsoft Sentinel, um sicherzustellen, dass Ihre Teams die relevantesten Daten direkt zur Hand haben.
Erforderliche Berechtigungen
Um Teams aus Microsoft Sentinel zu erstellen:
Der Benutzer, der das Team erstellt, muss über Schreibberechtigungen für Incidents in Microsoft Sentinel verfügen. Die rolle "Microsoft Sentinel Responder" ist beispielsweise eine ideale Mindestrolle für diese Berechtigung.
Der Benutzer, der das Team erstellt, muss auch über Berechtigungen zum Erstellen von Teams in Microsoft Teams verfügen.
Jeder Microsoft Sentinel Benutzer, einschließlich Benutzern mit den Rollen Leser, Antwortender oder Mitwirkender, kann Zugriff auf das erstellte Team erhalten, indem er Zugriff anfordert.
Verwenden eines Incidentteams zur Untersuchung
Untersuchen Sie zusammen mit einem Incidentteam , indem Sie Microsoft Teams direkt aus Ihrem Incident integrieren.
So erstellen Sie Ihr Incidentteam:
Wählen Sie in Microsoft Sentinel im Raster Threat Management>Incidents den Incident aus, den Sie gerade untersuchen.
Wählen Sie unten im Bereich "Incident", der auf der rechten Seite angezeigt wird, die Option Aktionen>Team erstellen (Vorschau) aus.
Der Bereich Incidentteam wird auf der rechten Seite geöffnet. Definieren Sie die folgenden Einstellungen für Ihr Incidentteam:
Teamname: Wird automatisch als Name Ihres Incidents definiert. Ändern Sie den Namen nach Bedarf, damit er für Sie leicht erkennbar ist.
Teambeschreibung: Geben Sie eine aussagekräftige Beschreibung für Ihr Incidentteam ein.
Hinzufügen von Gruppen und Mitgliedern: Wählen Sie einen oder mehrere Microsoft Entra Benutzer und/oder Gruppen aus, die Ihrem Incidentteam hinzugefügt werden sollen. Wenn Sie Benutzer und Gruppen auswählen, werden diese in der Liste Ausgewählte Gruppen und Benutzer: unterhalb der Liste Gruppen und Mitglieder hinzufügen angezeigt.
Tipp
Wenn Sie regelmäßig mit denselben Benutzern und Gruppen arbeiten, können Sie in der Liste Ausgewählte Gruppen und Benutzer den Stern
neben jedem auswählen, um sie als Favoriten zu speichern.Favoriten werden automatisch ausgewählt, wenn Sie das nächste Mal ein Team erstellen. Wenn Sie einen Favoriten aus dem nächsten Team entfernen möchten, das Sie erstellen, wählen Sie entweder Löschen
aus, oder wählen Sie den Stern erneut aus, um das Team ganz aus Ihren Favoriten zu entfernen.
Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Team erstellen aus, um Ihr Incidentteam zu erstellen.
Der Incidentbereich wird mit einem Link zu Ihrem neuen Incidentteam unter dem Titel Teamname aktualisiert.
Wählen Sie Ihren Teams-Integrationslink aus, um zu Microsoft Teams zu wechseln, wo alle Daten zu Ihrem Incident auf der Registerkarte Incident-Seite aufgeführt sind.
Setzen Sie die Unterhaltung über die Untersuchung in Teams so lange wie erforderlich fort. Sie haben die vollständigen Incidentdetails direkt in Teams.
Tipp
Wenn Sie Ihrem Team einzelne Benutzer hinzufügen müssen, können Sie dies in Microsoft Teams über die Schaltfläche Weitere Personen hinzufügen auf der Registerkarte Beiträge tun.
Wenn Sie einen Incident schließen, wird das zugehörige Incidentteam, das Sie in Microsoft Teams erstellt haben, archiviert. Wenn der Vorfall jemals erneut geöffnet wird, wird auch das zugehörige Incidentteam in Microsoft Teams erneut geöffnet, sodass Sie Ihre Unterhaltung genau dort fortsetzen können, wo Sie aufgehört haben.
Nächste Schritte
Weitere Informationen finden Sie unter: