Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
Questo articolo elenca le domande che l'utente o il team SOC potrebbe avere in merito alla risposta gestita.
Informazioni generali
| Domande | Risposte |
|---|---|
| Che cos'è La risposta gestita? | Microsoft Defender Experts for XDR offre una risposta gestita in cui gli esperti gestiscono l'intero processo di correzione per gli eventi imprevisti che li richiedono. Questo processo include l'analisi dell'evento imprevisto per identificare la causa radice, la determinazione delle azioni di risposta necessarie e l'esecuzione di tali azioni per conto dell'utente. |
| Quali azioni sono nell'ambito della risposta gestita? | Tutte le azioni trovate di seguito sono nell'ambito della risposta gestita per qualsiasi dispositivo e utente che non è escluso. Per i dispositivi
Per gli utenti
|
| È possibile personalizzare l'estensione della risposta gestita? | È possibile configurare la misura in cui gli esperti esecedono azioni di risposta gestita per conto dell'utente escludendo determinati dispositivi e utenti (singolarmente o per gruppi) durante l'onboarding o in un secondo momento modificando le impostazioni del servizio. Altre informazioni sull'esclusione dei gruppi di dispositivi |
| Quale supporto offre Defender Experts per gli asset esclusi? | Se gli esperti determinano che è necessario eseguire azioni di risposta su dispositivi o utenti esclusi, inviano notifiche tramite vari metodi personalizzabili e indirizzano l'utente al portale di Microsoft Defender. Dal portale è possibile visualizzare un riepilogo dettagliato del processo di indagine e le azioni di risposta necessarie nel portale ed eseguire direttamente queste azioni necessarie. Funzionalità simili sono disponibili anche tramite le API di Defender, nel caso in cui si preferisca usare una gestione delle informazioni di sicurezza e degli eventi (SIEM), it service management (ITSM) o qualsiasi altro strumento di terze parti. |
| Come posso essere informato sulle azioni di risposta? | Le azioni di risposta completate dagli esperti per conto dell'utente e quelle in sospeso che è necessario eseguire sugli asset esclusi vengono visualizzate nel pannello Di risposta gestita nella pagina Eventi imprevisti del portale di Defender. Inoltre, si riceve un messaggio di posta elettronica contenente un collegamento all'evento imprevisto e le istruzioni per visualizzare la risposta gestita nel portale. Inoltre, se si ha integrazione con Microsoft Sentinel o API, si ricevono anche notifiche all'interno di tali strumenti cercando gli stati di Defender Experts. Per altre informazioni, vedere Domande frequenti relative alle notifiche degli eventi imprevisti Microsoft Defender Experts for XDR. |
| È possibile personalizzare la risposta gestita in base alle azioni? | No. Se si dispone di dispositivi o utenti con valore elevato o sensibili, aggiungerli all'elenco di esclusione. Gli esperti non prendono alcuna azione su di loro e forniscono indicazioni solo se sono interessati da un evento imprevisto. |
Informazioni sulle notifiche di risposta gestita
Nel portale di Microsoft Defender e nella API Sicurezza Graph
| Domande | Risposte |
|---|---|
| Ricerca per categorie sapere se un analista di Defender Experts ha iniziato a lavorare su un evento imprevisto? | Quando gli esperti defender determinano che un evento imprevisto necessita di un'indagine (a causa del servizio o dell'origine di rilevamento coinvolta, del livello di gravità, della copertura con ambito definito o di altri motivi), aggiornano il campo Assegnato all'evento imprevisto a Defender Experts. Quando gli esperti iniziano a indagare sull'evento imprevisto, aggiornano il relativo campo Stato su In corso. |
| Ricerca per categorie sapere se un analista di Defender Experts ha risolto un evento imprevisto? | Quando un analista di Defender Experts risolve un evento imprevisto, aggiorna il campo Stato dell'evento imprevisto in Risolto. |
| Ricerca per categorie sapere quale conclusione ha portato un analista di Defender Experts a risolvere un evento imprevisto? | Quando gli esperti defender completano l'indagine su un evento imprevisto, modificano i campi Classificazione e Determinazione dell'evento imprevisto e forniscono un riepilogo dell'indagine nel riquadro a comparsa Risposta gestita nel portale di Microsoft Defender. |
| Ricerca per categorie sapere quali azioni ha intrapreso un analista di Defender Experts nel tenant durante l'analisi di un evento imprevisto? | Per ogni evento imprevisto esaminato, l'analista di Defender Experts riepiloga tutte le azioni eseguite all'interno del tenant nel riepilogo dell'indagine dell'evento imprevisto nel riquadro a comparsa Risposta gestita nel portale di Microsoft Defender. È anche possibile recuperare informazioni su queste azioni e sulle ore in cui hanno eseguito l'accesso al tenant eseguendo una ricerca nei log di controllo nel portale di Microsoft Purview o tramite l'API attività di gestione Office 365. |
| Ricerca per categorie sapere se un analista di Defender Experts ha inviato azioni di risposta per il team soc? | L'analista di Defender Experts pubblica le azioni di risposta che consiglia al team soc di eseguire su un evento imprevisto nel pannello a comparsa Risposta gestita di un evento imprevisto nel portale di Microsoft Defender. Al momento, il campo Assegnato a dell'evento imprevisto viene aggiornato al cliente e il relativo stato viene aggiornato in Attesa dell'azione del cliente. I contatti dell'evento imprevisto, designati in Impostazioni> Contatti dinotificadegli esperti> di Defender nel portale di Microsoft Defender, ricevono anche una notifica tramite posta elettronica corrispondente se sono presenti azioni di risposta che richiedono l'attenzione dell'utente. Si riceve anche una notifica di Teams se è stata configurata in Impostazioni>Defender Experts>Teams nel portale di Microsoft Defender. |
| Ricerca per categorie porre domande a un analista di Defender Experts su un'indagine o un'azione di risposta? | Dopo che un analista di Defender Experts ha pubblicato il riepilogo delle indagini e le azioni di risposta consigliate nel pannello a comparsa Risposta gestita di un evento imprevisto True Positive, è possibile usare la scheda Chat nello stesso pannello per porre al team di Defender Experts domande sull'evento imprevisto e sulla relativa indagine. In alternativa, i contatti degli eventi imprevisti designati possono rispondere direttamente alla notifica di Teams ricevuta da Defender Experts per porre eventuali domande. |
| Ricerca per categorie sapere quali eventi imprevisti hanno azioni di risposta in sospeso? | La scheda Defender Experts nella home page del portale di Microsoft Defender include un collegamento che visualizza un messaggio (ad esempio, 3 eventi imprevisti in attesa dell'azione). Se si seleziona questo collegamento, viene visualizzato un elenco filtrato di eventi imprevisti che richiedono particolare attenzione. È possibile filtrare la coda degli eventi imprevisti nel portale di Microsoft Defender selezionando Assegnato a come cliente o Stato in attesa dell'azione del cliente. |
In Microsoft Sentinel
| Domande | Risposte |
|---|---|
| Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel? | Se si abilita il connettore dati tra Microsoft Defender XDR e Microsoft Sentinel, gli aggiornamenti apportati da Defender Experts in Defender agli eventi imprevisti vengono sincronizzati con Microsoft Sentinel.
Altre informazioni. I campi Assegnato a, Stato e Classificazione in Microsoft Defender XDR eventi imprevisti vengono mappati ai campi corrispondenti in Sentinel, ovvero Proprietario, Stato e Motivo della chiusura. |
| Ricerca per categorie ottenere gli aggiornamenti di Defender Experts in Sentinel per attivare automaticamente un playbook? | Per ottenere gli aggiornamenti di Defender Experts, configurare innanzitutto le regole di automazione in Sentinel attivate dagli aggiornamenti di Defender Experts seguenti:
|
| Come è possibile accedere alle azioni di risposta gestita pubblicate da Defender Experts da Sentinel? | Dopo che Defender Experts pubblica azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Proprietario viene aggiornato automaticamente al cliente e il tag In attesa dell'azione del cliente è disponibile in Sentinel. È possibile usare queste modifiche di campo come trigger per esaminare il pannello di risposta gestito per l'evento imprevisto corrispondente nel portale di Microsoft Defender. |
Nelle app SIEM, SOAR o ITSM di terze parti
| Domande | Risposte |
|---|---|
| Ricerca per categorie ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR per la sincronizzazione in app di gestione di eventi e informazioni di sicurezza di terze parti, orchestrazione della sicurezza, automazione e risposta (SOAR) o it service management (ITSM)? | È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR tramite l'API Sicurezza Graph. Per altre informazioni, vedere Accedere alla risposta gestita tramite API Graph. Per avviare il processo di sincronizzazione:
|
| È possibile sincronizzare le azioni di risposta gestite pubblicate da Defender Experts nel portale di Microsoft Defender con app SIEM, SOAR o ITSM di terze parti? | Dopo aver pubblicato le azioni di risposta gestita per un evento imprevisto nel portale di Microsoft Defender, il campo Assegnato a viene modificato in Cliente e il campo Stato viene aggiornato in Attesa dell'azione del cliente. È possibile sincronizzare questi campi tramite il API Sicurezza Graph e quindi usare queste modifiche come trigger per esaminare le azioni di risposta gestita nel portale di Microsoft Defender. Le azioni di risposta gestita dovrebbero essere disponibili nel API Sicurezza Graph entro la fine dell'anno, al momento sarà possibile sincronizzarle con le app di terze parti. |
In altri servizi di comunicazione
| Domande | Risposte |
|---|---|
| È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR tramite posta elettronica? | Quando un analista di Defender Experts pubblica le azioni di risposta consigliate a un evento imprevisto, i contatti degli eventi imprevisti designati ricevono una notifica tramite posta elettronica agli indirizzi di posta elettronica specificati in Impostazioni Contatti> dinotificadi Defender Experts> nel portale di Microsoft Defender. Inoltre, è possibile configurare un'app per la logica per inviare automaticamente tutti gli aggiornamenti degli eventi imprevisti agli indirizzi di posta elettronica designati. |
| È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR in Microsoft Teams? | È possibile accedere alla funzionalità di chat bidirezionale tramite il pannello a comparsa Risposta gestita di un evento imprevisto nel portale di Microsoft Defender. Si ricevono notifiche quando viene pubblicata una risposta gestita e si possono avviare conversazioni di chat in tempo reale con Defender Experts direttamente all'interno di Microsoft Teams. Altre informazioni sulla configurazione di Teams. |
| È possibile ottenere gli aggiornamenti di Defender Experts da Microsoft Defender XDR come aggiornamenti di SMS o telefonate o in servizi di comunicazione di terze parti come Slack? | È possibile configurare un'app per la logica per inviare notifiche da servizi di comunicazione come Slack, Twilio, Servizi di comunicazione di Azure e altro ancora. |
Vedere anche
- Rilevamento e risposta gestiti
- Domande frequenti relative alle notifiche degli eventi imprevisti Microsoft Defender Experts for XDR
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.