Grundlegendes zu verwalteten Antworten

Gilt für:

Microsoft Defender XDR

In diesem Artikel werden Fragen aufgeführt, die Sie oder Ihr SOC-Team möglicherweise in Bezug auf verwaltete Antworten haben.

Allgemeine Informationen

Fragen	Antworten
Was ist verwaltete Antwort?	Microsoft Defender Experts for XDR bietet eine verwaltete Antwort, bei der die Experten den gesamten Korrekturprozess für Incidents verwalten, für die sie erforderlich sind. Dieser Prozess umfasst die Untersuchung des Incidents, um die Grundursache zu identifizieren, die erforderlichen Reaktionsaktionen zu bestimmen und diese Aktionen in Ihrem Namen durchzuführen.
Welche Aktionen sind im Bereich der verwalteten Antwort enthalten?	Alle unten aufgeführten Aktionen befinden sich im Bereich verwaltete Antwort für alle Geräte und Benutzer, die nicht ausgeschlossen sind. Für Geräte Computer isolieren Computer von Isolation wieder freigeben Beenden und Datei unter Quarantäne stellen App-Ausführung einschränken Entfernen von App-Einschränkungen Für Benutzer Benutzer deaktivieren Benutzer aktivieren Vorläufiges Löschen von E-Mails
Kann ich den Umfang der verwalteten Antwort anpassen?	Sie können den Umfang konfigurieren, in dem unsere Experten Aktionen für verwaltete Antworten in Ihrem Namen ausführen, indem Sie bestimmte Geräte und Benutzer (einzeln oder nach Gruppen) ausschließen, entweder während des Onboardings oder später, indem Sie die Einstellungen Ihres Diensts ändern. Weitere Informationen zum Ausschließen von Gerätegruppen
Welche Unterstützung bieten Defender Experts für ausgeschlossene Ressourcen an?	Wenn die Experten feststellen, dass Sie Reaktionsaktionen auf ausgeschlossenen Geräten oder Benutzern ausführen müssen, benachrichtigen sie Sie über verschiedene anpassbare Methoden und leiten Sie an Ihr Microsoft Defender-Portal weiter. In Ihrem Portal können Sie eine detaillierte Zusammenfassung des Untersuchungsprozesses und der erforderlichen Antwortaktionen im Portal anzeigen und diese erforderlichen Aktionen direkt ausführen. Ähnliche Funktionen sind auch über Defender-APIs verfügbar, falls Sie es vorziehen, eine Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM), IT Service Management (ITSM) oder ein anderes Drittanbietertool zu verwenden.
Wie werde ich über die Antwortaktionen informiert?	Reaktionsaktionen, die die Experten in Ihrem Namen ausführen, und alle ausstehenden Aktionen, die Sie für Ihre ausgeschlossenen Ressourcen ausführen müssen, werden im Bereich Verwaltete Antworten auf der Seite Incidents Ihres Defender-Portals angezeigt. Darüber hinaus erhalten Sie eine E-Mail mit einem Link zum Incident und Anweisungen zum Anzeigen der verwalteten Antwort im Portal. Darüber hinaus erhalten Sie bei der Integration mit Microsoft Sentinel oder APIs auch Benachrichtigungen innerhalb dieser Tools, indem Sie nach dem Status von Defender-Experten suchen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Microsoft Defender Experts for XDR Incidentbenachrichtigungen.
Kann ich verwaltete Antworten basierend auf Aktionen anpassen?	Nein Wenn Sie über Geräte oder Benutzer verfügen, die von hohem Wert oder vertraulich sind, fügen Sie diese ihrer Ausschlussliste hinzu. Die Experten ergreifen keine Maßnahmen und geben nur dann Anleitungen, wenn sie von einem Incident betroffen sind.

Grundlegendes zu Benachrichtigungen verwalteter Antworten

Im Microsoft Defender-Portal und im Graph-Sicherheits-API

Fragen	Antworten
Gewusst wie wissen, ob ein Defender Experts-Analyst mit der Arbeit an einem Incident begonnen hat?	Wenn Defender-Experten feststellen, dass ein Vorfall untersucht werden muss (ob aufgrund des betreffenden Diensts oder der Erkennungsquelle, des Schweregrads, der definierten bereichsbezogenen Abdeckung oder anderer Gründe), aktualisieren sie das Feld Zugewiesen zu defender Experts des Incidents. Wenn die Experten mit der Untersuchung des Vorfalls beginnen, aktualisieren sie das Feld Status in In Bearbeitung.
Gewusst wie wissen, ob ein Defender Experts-Analyst einen Vorfall gelöst hat?	Wenn ein Defender Experts-Analyst einen Vorfall löst, aktualisiert er das Feld Status des Incidents in Gelöst.
Gewusst wie wissen, welche Schlussfolgerung einen Defender Experts-Analysten zur Lösung eines Incidents geführt hat?	Wenn Defender-Experten ihre Untersuchung zu einem Vorfall abschließen, ändern sie die Felder Klassifizierung und Bestimmung des Incidents und stellen im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal eine Untersuchungszusammenfassung bereit.
Gewusst wie wissen, welche Aktionen ein Defender Experts-Analyst bei der Untersuchung eines Incidents in meinem Mandanten ausgeführt hat?	Für jeden Vorfall, den sie untersuchen, fasst der Defender Experts-Analyst alle Aktionen zusammen, die er innerhalb Ihres Mandanten ausgeführt hat, in der Untersuchungszusammenfassung des Incidents, die sich im Flyoutbereich verwaltete Antworten in Ihrem Microsoft Defender-Portal befindet. Sie können auch Informationen zu diesen Aktionen und zu den Zeiten abrufen, zu denen sie sich bei Ihrem Mandanten angemeldet haben, indem Sie Ihre Überwachungsprotokolle entweder im Microsoft Purview-Portal oder über die Office 365 Management Activity-API durchsuchen.
Gewusst wie wissen, ob ein Defender Experts-Analyst Reaktionsaktionen an mein SOC-Team gesendet hat?	Der Defender Experts-Analyst veröffentlicht die Reaktionsaktionen, die ihr SOC-Team für einen Incident im Flyoutbereich verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal empfiehlt. Zu diesem Zeitpunkt wird das Feld Zugewiesen zu dem Incident auf Customer aktualisiert, und der Status wird in Awaiting Customer Action (Wartende Kundenaktion) aktualisiert. Ihre Incidentkontakte, die Sie unter Einstellungen>Defender Experts>Notification contacts in Your Microsoft Defender Portal festgelegt haben, erhalten ebenfalls eine entsprechende E-Mail-Benachrichtigung, wenn Es Antwortaktionen gibt, die Ihre Aufmerksamkeit erfordern. Sie erhalten auch eine Teams-Benachrichtigung, wenn Sie sie in Einstellungen>Defender Experts>Teams in Ihrem Microsoft Defender-Portal einrichten.
Gewusst wie einem Defender Experts-Analysten Fragen zu einer Untersuchungs- oder Reaktionsaktion stellen?	Nachdem ein Defender Experts-Analyst seine Untersuchungszusammenfassung und die empfohlenen Reaktionsaktionen im Flyout-Bereich verwaltete Antworten eines True Positive-Incidents veröffentlicht hat, können Sie die Registerkarte Chat im selben Bereich verwenden, um dem Defender Experts-Team Fragen zum Vorfall und seiner Untersuchung zu stellen. Alternativ können Ihre angegebenen Incidentkontakte direkt auf die Teams-Benachrichtigung reagieren, die sie von Defender-Experten erhalten haben, um Fragen zu stellen.
Gewusst wie wissen, welche Incidents ausstehende Reaktionsaktionen aufweisen?	Die Defender Experts-Karte auf der Startseite Ihres Microsoft Defender Portals enthält einen Link, der eine Nachricht anzeigt (z. B. 3 Vorfälle, die auf Ihre Aktion warten). Wenn Sie diesen Link auswählen, gelangen Sie zu einer gefilterten Liste von Vorfällen, die Ihre Aufmerksamkeit erfordern. Sie können die Incidentwarteschlange in Ihrem Microsoft Defender-Portal filtern, indem Sie Als Kundezugewiesen zu oder Status als Warten auf Kundenaktion auswählen.

In Microsoft Sentinel

Fragen	Antworten
Gewusst wie Updates für Defender-Experten in Sentinel erhalten?	Wenn Sie den Datenconnector zwischen Microsoft Defender XDR und Microsoft Sentinel aktivieren, werden von Defender-Experten in Defender vorgenommene Updates für Incidents mit Microsoft Sentinel synchronisiert. Weitere Informationen. Die Felder Zugewiesen zu, Status und Klassifizierung in Microsoft Defender XDR Incidents werden den entsprechenden Feldern in Sentinel zugeordnet, nämlich Besitzer, Status und Grund für das Schließen.
Gewusst wie Defender Experts-Updates in Sentinel erhalten, um automatisch ein Playbook auszulösen?	Um Defender Experts-Updates zu erhalten, richten Sie zunächst Automatisierungsregeln in Sentinel ein, die durch die folgenden Defender Experts-Updates ausgelöst werden: Wenn das Feld Besitzer in Microsoft Sentinel auf Defender Experts oder Customer aktualisiert wird. Wenn das Feld Status in Microsoft Sentinel auf Aktiv oder Geschlossen aktualisiert wird, was Microsoft Defender XDR StatusAktiv bzw. In Bearbeitung entspricht. Wenn Sentinel Tagawaiting Customer Action hinzugefügt wird, was Microsoft Defender XDR StatusAwaiting Customer Action entspricht. Richten Sie als Nächstes Playbooks in Microsoft Sentinel ein, um Incidentupdates automatisch zu synchronisieren oder Incidentbenachrichtigungen an andere Apps zu senden. Senden Sie eine E-Mail, eine Teams-Nachricht oder eine Slack-Nachricht an Ihr SOC-Team, wenn ein Defender Experts-Analyst einem Incident zugewiesen ist. Senden Sie SMS oder Telefonanrufe über Azure Communications Services oder Twilio-Connector an Ihren SOC-Lead, wenn Defender Experts eine Antwortaktion für Ihr Team veröffentlicht. Erstellen Sie eine Aufgabe oder ein Ticket in Apps wie Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty usw. für Ihr IT-Ops-Team.
Wie kann ich auf verwaltete Antwortaktionen zugreifen, die von Defender Experts von Sentinel veröffentlicht wurden?	Sobald Defender Experts verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlicht hat, wird das Feld Besitzer automatisch auf Kunde aktualisiert, und das Tag Awaiting Customer Action ist in Sentinel verfügbar. Sie können diese Feldänderungen als Trigger verwenden, um den Bereich für verwaltete Antworten auf den entsprechenden Incident im Microsoft Defender-Portal zu überprüfen.

Fragen

Antworten

Gewusst wie Updates für Defender-Experten in Sentinel erhalten?

Wenn Sie den Datenconnector zwischen Microsoft Defender XDR und Microsoft Sentinel aktivieren, werden von Defender-Experten in Defender vorgenommene Updates für Incidents mit Microsoft Sentinel synchronisiert. Weitere Informationen.

Die Felder Zugewiesen zu, Status und Klassifizierung in Microsoft Defender XDR Incidents werden den entsprechenden Feldern in Sentinel zugeordnet, nämlich Besitzer, Status und Grund für das Schließen.

Gewusst wie Defender Experts-Updates in Sentinel erhalten, um automatisch ein Playbook auszulösen?

Um Defender Experts-Updates zu erhalten, richten Sie zunächst Automatisierungsregeln in Sentinel ein, die durch die folgenden Defender Experts-Updates ausgelöst werden:

Wenn das Feld Besitzer in Microsoft Sentinel auf Defender Experts oder Customer aktualisiert wird.
Wenn das Feld Status in Microsoft Sentinel auf Aktiv oder Geschlossen aktualisiert wird, was Microsoft Defender XDR StatusAktiv bzw. In Bearbeitung entspricht.
Wenn Sentinel Tagawaiting Customer Action hinzugefügt wird, was Microsoft Defender XDR StatusAwaiting Customer Action entspricht.

Richten Sie als Nächstes Playbooks in Microsoft Sentinel ein, um Incidentupdates automatisch zu synchronisieren oder Incidentbenachrichtigungen an andere Apps zu senden.

Senden Sie eine E-Mail, eine Teams-Nachricht oder eine Slack-Nachricht an Ihr SOC-Team, wenn ein Defender Experts-Analyst einem Incident zugewiesen ist.
Senden Sie SMS oder Telefonanrufe über Azure Communications Services oder Twilio-Connector an Ihren SOC-Lead, wenn Defender Experts eine Antwortaktion für Ihr Team veröffentlicht.
Erstellen Sie eine Aufgabe oder ein Ticket in Apps wie Azure DevOps, ServiceNow, Jira, ZenDesk, FreshService, PagerDuty usw. für Ihr IT-Ops-Team.

Wie kann ich auf verwaltete Antwortaktionen zugreifen, die von Defender Experts von Sentinel veröffentlicht wurden?

Sobald Defender Experts verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlicht hat, wird das Feld Besitzer automatisch auf Kunde aktualisiert, und das Tag Awaiting Customer Action ist in Sentinel verfügbar. Sie können diese Feldänderungen als Trigger verwenden, um den Bereich für verwaltete Antworten auf den entsprechenden Incident im Microsoft Defender-Portal zu überprüfen.

In SIEM-, SOAR- oder ITSM-Apps von Drittanbietern

Fragen	Antworten
Gewusst wie Defender Experts-Updates von Microsoft Defender XDR erhalten, um sie in Siem-Apps (Security Information and Event Management), Security Orchestration, Automation and Response (SOAR) oder ITSM-Apps (IT Service Management) von Drittanbietern zu synchronisieren?	Sie können Defender Experts-Updates von Microsoft Defender XDR über die Graph-Sicherheits-API erhalten. Weitere Informationen finden Sie unter Zugreifen auf verwaltete Antworten über Graph-API. So initiieren Sie den Synchronisierungsprozess: Richten Sie die Zuordnung zwischen Feldern in Microsoft Defender XDR und den entsprechenden Feldern in der gewünschten Anwendung ein. Bestimmen Sie, ob die Synchronisierung uni- oder bidirektional sein soll, und stellen Sie sicher, dass dies von der anderen Anwendung unterstützt wird. Entwickeln, testen und bereitstellen Sie Ihre Synchronisierungsintegration. In den meisten Fällen wird empfohlen, die Graph-Sicherheits-API in regelmäßigen Abständen jede Minute abzufragen, um nach Updates zu suchen. Überprüfen Sie regelmäßig, ob die Feldzuordnung auf dem neuesten Stand ist.
Kann ich verwaltete Antwortaktionen, die von Defender Experts in Microsoft Defender Portal veröffentlicht wurden, mit SIEM-, SOAR- oder ITSM-Apps von Drittanbietern synchronisieren?	Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlichen, wird das Feld Zugewiesen an in Kunde geändert, und das Feld Status wird in Warten auf Kundenaktion aktualisiert. Sie können diese Felder über die Graph-Sicherheits-API synchronisieren und diese Änderungen dann als Trigger verwenden, um die verwalteten Antwortaktionen im Microsoft Defender-Portal zu überprüfen. Verwaltete Antwortaktionen werden voraussichtlich später in diesem Jahr im Graph-Sicherheits-API verfügbar sein. Zu diesem Zeitpunkt ist es möglich, sie mit Ihren Drittanbieter-Apps zu synchronisieren.

Fragen

Antworten

Gewusst wie Defender Experts-Updates von Microsoft Defender XDR erhalten, um sie in Siem-Apps (Security Information and Event Management), Security Orchestration, Automation and Response (SOAR) oder ITSM-Apps (IT Service Management) von Drittanbietern zu synchronisieren?

Sie können Defender Experts-Updates von Microsoft Defender XDR über die Graph-Sicherheits-API erhalten. Weitere Informationen finden Sie unter Zugreifen auf verwaltete Antworten über Graph-API.

So initiieren Sie den Synchronisierungsprozess:

Richten Sie die Zuordnung zwischen Feldern in Microsoft Defender XDR und den entsprechenden Feldern in der gewünschten Anwendung ein. Bestimmen Sie, ob die Synchronisierung uni- oder bidirektional sein soll, und stellen Sie sicher, dass dies von der anderen Anwendung unterstützt wird.
Entwickeln, testen und bereitstellen Sie Ihre Synchronisierungsintegration. In den meisten Fällen wird empfohlen, die Graph-Sicherheits-API in regelmäßigen Abständen jede Minute abzufragen, um nach Updates zu suchen.
Überprüfen Sie regelmäßig, ob die Feldzuordnung auf dem neuesten Stand ist.

Kann ich verwaltete Antwortaktionen, die von Defender Experts in Microsoft Defender Portal veröffentlicht wurden, mit SIEM-, SOAR- oder ITSM-Apps von Drittanbietern synchronisieren?

Sobald Defender-Experten verwaltete Reaktionsaktionen für einen Incident in Ihrem Microsoft Defender-Portal veröffentlichen, wird das Feld Zugewiesen an in Kunde geändert, und das Feld Status wird in Warten auf Kundenaktion aktualisiert. Sie können diese Felder über die Graph-Sicherheits-API synchronisieren und diese Änderungen dann als Trigger verwenden, um die verwalteten Antwortaktionen im Microsoft Defender-Portal zu überprüfen.

Verwaltete Antwortaktionen werden voraussichtlich später in diesem Jahr im Graph-Sicherheits-API verfügbar sein. Zu diesem Zeitpunkt ist es möglich, sie mit Ihren Drittanbieter-Apps zu synchronisieren.

In anderen Kommunikationsdiensten

Fragen	Antworten
Kann ich Defender Experts-Updates von Microsoft Defender XDR per E-Mail erhalten?	Wenn ein Defender Experts-Analyst empfohlene Reaktionsaktionen auf einen Incident veröffentlicht, erhalten Ihre angegebenen Incidentkontakte eine E-Mail-Benachrichtigung an die E-Mail-Adressen, die unter Einstellungen>Defender Experts>Notification contacts in Your Microsoft Defender Portal angegeben sind. Darüber hinaus können Sie eine Logik-App so konfigurieren , dass alle Incidentupdates automatisch an Ihre angegebenen E-Mail-Adressen gesendet werden.
Kann ich Defender Experts-Updates von Microsoft Defender XDR in Microsoft Teams erhalten?	Sie können auf die Bidirektionale Chatfunktionalität über das Flyout-Bereich verwaltete Antworten eines Incidents in Ihrem Microsoft Defender-Portal zugreifen. Sie erhalten Benachrichtigungen, wenn eine verwaltete Antwort gepostet wird, und können direkt in Microsoft Teams an Chatunterhaltungen mit Defender-Experten teilnehmen. Erfahren Sie mehr über das Einrichten von Teams.
Kann ich Defender Experts-Updates von Microsoft Defender XDR als SMS- oder Telefonanrufupdates oder in Kommunikationsdiensten von Drittanbietern wie Slack erhalten?	Sie können eine Logik-App so konfigurieren, dass Benachrichtigungen von Kommunikationsdiensten wie Slack, Twilio, Azure Communication Services usw. gesendet werden.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-01