Správa případů nativně na jednotné platformě operací zabezpečení Microsoftu
Správa případů je první instalací nových funkcí pro správu práce v oblasti zabezpečení, když se připojíte k platformě Microsoftu SecOps (Unified Security Operations).
Tento počáteční krok k zajištění jednotného prostředí správy případů zaměřeného na zabezpečení centralizuje bohatou spolupráci, přizpůsobení, shromažďování důkazů a vytváření sestav napříč úlohami SecOps. Týmy SecOps udržují kontext zabezpečení, pracují efektivněji a rychleji reagují na útoky, když spravují práci s případem, aniž by opustily portál Defender.
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Co je správa případů (Preview)?
Správa případů umožňuje nativně spravovat případy SecOps na portálu Defender. Tady je počáteční sada podporovaných scénářů a funkcí.
- Definování vlastního pracovního postupu případu s vlastními hodnotami stavu
- Přiřazení úkolů spolupracovníkům a konfigurace termínů splnění
- Řešení eskalací a složitých případů propojením několika incidentů s případem
- Správa přístupu k případům pomocí RBAC
Vzhledem k tomu, že stavíme na tomto základu správy případů, dáváme při vývoji tohoto řešení přednost těmto dalším robustním funkcím:
- Automatizace
- Podpora více tenantů
- Další důkazy k přidání
- Přizpůsobení pracovního postupu
- Další integrace portálu Defender
Požadavky
Správa případů je k dispozici na portálu Defender, a pokud ji chcete použít, musíte mít připojený Microsoft Sentinel pracovní prostor. Z Azure Portal není přístup k případům.
Další informace najdete v tématu Připojení Microsoft Sentinel k portálu Defender.
Pomocí této tabulky můžete naplánovat řízení přístupu na základě role pro správu případů:
| Funkce Případy | Minimální požadovaná oprávnění v Microsoft Defender XDR Unified RBAC |
|---|---|
|
Pouze zobrazení – fronta případů – podrobnosti o případu – úlohy – komentáře – audity případů |
Operace > zabezpečení Základy dat zabezpečení (čtení) |
| Vytváření a správa – případy a úkoly – přiřazení , aktualizace stavu – propojení a zrušení propojení incidentů |
Výstrahy operací > zabezpečení (správa) |
| Přizpůsobení možností stavu případu | Autorizace a nastavení > základního zabezpečení (správa) |
Další informace najdete v tématu Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC).
Fronta případů
Pokud chcete začít používat správu případů, vyberte případy na portálu Defender a získejte přístup do fronty případů. Případy můžete filtrovat, řadit nebo prohledávat, abyste našli, na co se musíte zaměřit.
Podrobnosti o případu
Každý případ má stránku, která analytikům umožňuje spravovat případ a zobrazuje důležité podrobnosti.
V následujícím příkladu hledač hrozeb zkoumá hypotetický útok "Burrowing", který se skládá z několika MITRE ATT&technik CK a IoCs.
Spravujte následující podrobnosti o případu, abyste mohli popsat, určit prioritu, přiřadit a sledovat práci:
| Funkce zobrazených případů | Možnosti správy případů | Výchozí hodnota |
|---|---|---|
| Priority (Priorita) |
Very low, Low, Medium, High, Critical |
žádné |
| Stav | Nastavení podle analytiků, přizpůsobitelné správci | Výchozí stavy jsou New, Opena ClosedVýchozí hodnota je New |
| Přiřazeno | Jeden uživatel v tenantovi | žádné |
| Popis | Prostý text | žádné |
| Podrobnosti o případu | ID případu | ID případů začínají na 1000 a nevyprázdní se. K archivaci případů použijte vlastní stavy a filtry. Čísla případů se nastavují automaticky. |
| Vytvořeno Vytvořeno při poslední aktualizaci uživatelem Poslední aktualizace dne |
automaticky nastavit | |
| Termín splnění u propojených incidentů |
žádné |
Případy můžete dále spravovat nastavením přizpůsobeného stavu, přiřazením úkolů, propojením incidentů a přidáním komentářů.
Přizpůsobení stavu
Návrh správy případů tak, aby vyhovoval potřebám vašeho centra pro operace zabezpečení (SOC). Přizpůsobte si možnosti stavu dostupné pro týmy SecOps tak, aby odpovídaly vašim procesům.
V návaznosti na příklad vytvoření případu útoku burrowing správci SOC nakonfigurovali stavy, které umožňují lovcům hrozeb uchovávat backlog hrozeb pro třídění na týdenní bázi. Vlastní stavy, jako je fáze výzkumu a generování hypotéz, odpovídají zavedenému procesu tohoto týmu proaktivního vyhledávání hrozeb.
Úlohy
Přidejte úlohy pro správu podrobných komponent vašich případů. Každý úkol má vlastní název, stav, prioritu, vlastníka a termín splnění. Díky této informaci vždy víte, kdo je zodpovědný za dokončení jakého úkolu a do kdy. Popis úkolu shrnuje práci, která se má provést, a místo pro popis průběhu. Závěrečné poznámky poskytují další kontext o výsledku dokončených úkolů.
stavyObrázek znázorňuje následující dostupné stavy úkolů: Nový, Probíhá, Selhání, Částečně dokončeno, Vynecháno, Dokončeno
Propojení incidentů
Propojení případu a incidentu pomáhá týmům SecOps spolupracovat na metodě, která je pro ně nejvhodnější. Například lovec hrozeb, který najde škodlivou aktivitu, vytvoří incident pro tým reakce na incidenty (IR). Tento lovec hrozeb spojuje incident s případem, takže je jasné, že souvisí. Tým prostředí IR teď rozumí kontextu vyhledávání, které aktivitu našlo.
Případně pokud tým IR potřebuje eskalovat jeden nebo více incidentů týmu proaktivního vyhledávání, může vytvořit případ a propojit incidenty ze stránky Podrobnosti incidentu vyšetřování & odpovědi .
Protokol aktivit
Potřebujete si zapsat poznámky nebo logiku detekce klíčů, kterou chcete předat? Vytvořte komentáře ve formátu prostého textu a zkontrolujte události auditu v protokolu aktivit. Komentáře jsou skvělým místem pro rychlé přidání informací do případu.
Události auditu se automaticky přidají do protokolu aktivit případu a nejnovější události se zobrazují nahoře. Pokud se potřebujete zaměřit na komentáře nebo historii auditu, změňte filtr.