Compartir a través de

Administrar casos de forma nativa en la plataforma de operaciones de seguridad unificadas de Microsoft

  • Artículo

La administración de casos es la primera entrega de nuevas funcionalidades para administrar el trabajo de seguridad al incorporarse a la plataforma de operaciones de seguridad unificadas (SecOps) de Microsoft.

Este paso inicial para ofrecer una experiencia unificada de administración de casos centrada en la seguridad centraliza la colaboración, la personalización, la recopilación de pruebas y los informes enriquecidos en las cargas de trabajo de SecOps. Los equipos de SecOps mantienen el contexto de seguridad, trabajan de forma más eficaz y responden más rápido a los ataques cuando administran el trabajo de casos sin salir del portal de Defender.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

¿Qué es la administración de casos (versión preliminar)?

La administración de casos le permite administrar casos de SecOps de forma nativa en el portal de Defender. Este es el conjunto inicial de escenarios y características admitidos.

  • Definición de su propio flujo de trabajo de caso con valores de estado personalizados
  • Asignación de tareas a colaboradores y configuración de fechas de vencimiento
  • Control de escalaciones y casos complejos mediante la vinculación de varios incidentes a un caso
  • Administración del acceso a los casos mediante RBAC

A medida que nos basamos en esta base de administración de casos, estamos priorizando estas funcionalidades sólidas adicionales a medida que evolucionamos esta solución:

  • Automatización
  • Compatibilidad con varios inquilinos
  • Más pruebas para agregar
  • Personalización del flujo de trabajo
  • Más integraciones del portal de Defender

Requisitos

La administración de casos está disponible en el portal de Defender y, para usarla, debe tener una Microsoft Sentinel área de trabajo conectada. No hay acceso a los casos de la Azure Portal.

Para obtener más información, consulte Conexión de Microsoft Sentinel al portal de Defender.

Use esta tabla para planear el RBAC de administración de casos:

Característica Casos Permisos mínimos necesarios en Microsoft Defender XDR RBAC unificado
Ver solo
casos de cola
, detalles
de casos, tareas
, comentarios, auditorías
de casos		 Operaciones > de seguridad Aspectos básicos de los datos de seguridad (lectura)
Creación y administración
: casos y tareas
de casos: asignación
, estado
de actualización, vínculo y desvinculación de incidentes		 Alertas de operaciones > de seguridad (administrar)
Personalización de las opciones de estado del caso Autorización y configuración > de la configuración de Core Security (administrar)

Para obtener más información, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).

Cola de casos

Para empezar a usar la administración de casos, seleccione Casos en el portal de Defender para acceder a la cola de casos. Filtre, ordene o busque en los casos para encontrar en qué debe centrarse.

Captura de pantalla de la cola de casos.

Detalles del caso

Cada caso tiene una página que permite a los analistas administrar el caso y muestra detalles importantes.

En el ejemplo siguiente, un cazador de amenazas está investigando un hipotético ataque "Burrowing" que consta de varias técnicas de ATT de MITRE&CK e IoCs.

Captura de pantalla de los detalles del caso.

Administre los detalles del caso siguiente para describir, priorizar, asignar y realizar un seguimiento del trabajo:

Característica de caso mostrado Administrar opciones de casos Valor predeterminado
Prioridad Very low, Low, Medium, High, Critical ninguno
Estado Establecido por analistas, personalizable por los administradores Los estados predeterminados son New, Openy el Closed
valor predeterminado es New
Asignado a Un único usuario en el inquilino ninguno
Descripción Texto sin formato ninguno
Detalles del caso Identificador de caso Los identificadores de caso comienzan en 1000 y no se purgan. Use filtros y estados personalizados para archivar casos. Los números de mayúsculas y minúsculas se establecen automáticamente.
Creado por
Created on
Last updated by
Last updated on		 establecer automáticamente
Debido a
incidentes vinculados		 ninguno

Administre aún más los casos estableciendo el estado personalizado, asignando tareas, vinculando incidentes y agregando comentarios.

Personalización del estado

Administración de casos de arquitecto para satisfacer las necesidades del centro de operaciones de seguridad (SOC). Personalice las opciones de estado disponibles para los equipos de SecOps para que se ajusten a los procesos que haya implementado.

Después del ejemplo de creación de casos de ataque de excavación, los administradores de SOC configuraron estados que permiten a los cazadores de amenazas mantener un trabajo pendiente de amenazas para la evaluación de la evaluación de valores semanales. Los estados personalizados, como La fase de investigación y Generar hipótesis , coinciden con el proceso establecido de este equipo de búsqueda de amenazas.

Captura de pantalla que muestra las opciones de estado predeterminadas y los estados personalizados.

Tareas

Agregue tareas para administrar componentes granulares de los casos. Cada tarea viene con su propio nombre, estado, prioridad, propietario y fecha de vencimiento. Con esta información, siempre sabe quién es responsable de completar qué tarea y a qué hora. La descripción de la tarea resume el trabajo que se debe realizar y un poco de espacio para describir el progreso. Las notas de cierre proporcionan más contexto sobre el resultado de las tareas completadas.

Captura de pantalla que muestra el panel de tareas con las tareas rellenadas para el caso y los estados disponibles.
Imagen que muestra los siguientes estados de tarea disponibles: New, In progress, Failed, Partially completed, Skipped, Completed

Vincular un caso y un incidente ayuda a los equipos de SecOps a colaborar en el método que mejor funcione para ellos. Por ejemplo, un cazador de amenazas que encuentra actividad malintencionada crea un incidente para el equipo de respuesta a incidentes (IR). Ese cazador de amenazas vincula el incidente a un caso para que quede claro que están relacionados. Ahora, el equipo de IR entiende el contexto de la búsqueda que encontró la actividad.

Captura de pantalla que muestra los incidentes vinculados para el hipotético caso de ataque de madriguera.

Como alternativa, si el equipo de IR necesita escalar uno o más incidentes al equipo de búsqueda, puede crear un caso y vincular los incidentes desde la página De investigación & detalles de incidentes de respuesta.

Captura de pantalla que muestra la opción de incidente de vínculo del menú puntos suspensivos en la vista de incidentes.

Registro de actividad

¿Necesita anotar notas o esa lógica de detección de claves para pasar? Cree comentarios de texto sin formato y revise los eventos de auditoría en el registro de actividad. Los comentarios son un excelente lugar para agregar rápidamente información a un caso.

Captura de pantalla que muestra comentarios informales entre analistas.

Los eventos de auditoría se agregan automáticamente al registro de actividad del caso y los eventos más recientes se muestran en la parte superior. Cambie el filtro si necesita centrarse en los comentarios o el historial de auditoría.

Contenido relacionado