Jaa

Palvelupyyntöjen hallinta suoraan Microsoftin yhtenäisessä suojaustoimintojen ympäristössä

  • Artikkeli

Palvelupyyntöjen hallinta on ensimmäinen osa uusia ominaisuuksia suojaustöiden hallintaan, kun otat käyttöön Microsoftin yhtenäisen tietoturvatoimintojen (SecOps) ympäristön.

Tämä ensimmäinen askel kohti yhtenäisen, tietoturvaan keskittyvän tapauksenhallintakokemuksen luomista keskittää monipuolisen yhteistyön, mukauttamisen, todisteiden keräämisen ja raportoinnin SecOps-kuormitusten välillä. SecOps-tiimit ylläpitävät suojauskontekstia, toimivat tehokkaammin ja reagoivat hyökkäyksiin nopeammin, kun he hallitsevat tapaustyötä poistumatta Defender-portaalista.

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Mikä on tapauksen hallinta (esikatselu)?

Palvelupyyntöjen hallinnan avulla voit hallita SecOps-tapauksia suoraan Defender-portaalissa. Seuraavassa on alkuperäinen tuettu skenaario- ja ominaisuusjoukko.

  • Oman tapaustyönkulun määrittäminen mukautettujen tila-arvojen avulla
  • Määritä tehtäviä yhteistyökumppaneille ja määritä määräpäivät
  • Eskalointien ja monimutkaisten tapausten käsitteleminen yhdistämällä useita tapauksia tapaukseen
  • Palvelupyyntöjen käyttöoikeuksien hallinta RBAC:n avulla

Luodessamme tätä tapausten hallinnan perusteita priorisoimme näitä vankkoja lisäominaisuuksia, kun kehitämme tätä ratkaisua:

  • Automaatio
  • Usean vuokraajan tuki
  • Lisää lisättävää näyttöä
  • Työnkulun mukauttaminen
  • Lisää Defender-portaalin integrointeja

Vaatimukset

Tapauksenhallinta on käytettävissä Defender-portaalissa, ja jotta voit käyttää sitä, sinulla on oltava yhdistettynä Microsoft Sentinel työtila. Azure-portaali tapauksiin ei voi muodostaa käyttöoikeutta.

Lisätietoja on artikkelissa Microsoft Sentinel yhdistäminen Defender-portaaliin.

Käytä Defender XDR yhdistettyjä RBAC- tai Microsoft Sentinel-rooleja tapausten hallintaominaisuuksien käyttöoikeuksien myöntämiseen.

Palvelupyynnöt-ominaisuus Microsoft Defender XDR Unified RBAC Microsoft Sentinel rooli
Näytä vain
- tapausjonon
- tapauksen tiedot
- tehtävät
- kommentit
- kirjainkokoa koskevat tarkastukset		 Suojaustoiminnot > Suojaustietojen perusteet (luku) Microsoft Sentinel lukuohjelma
Tapausten ja tapaustehtävien
luominen ja hallinta
- määritys
- päivityksen tila
- linkki ja tapausten linkityksen poistaminen		 Suojaustoimintojen > ilmoitukset (hallitse) Microsoft Sentinel vastaaja
Tapauksen tila-asetusten mukauttaminen Käyttöoikeuksien myöntäminen ja ydinsuojauksen asetusten määrittäminen > (hallinta) Microsoft Sentinel osallistuja

Lisätietoja on artikkelissa Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC).

Tapausjono

Aloita palvelupyyntöjen hallinta valitsemalla Defender-portaalissa Palvelupyynnöt , jotta voit käyttää palvelupyyntöjonoa. Voit suodattaa, lajitella tai hakea palvelupyyntösi löytääksesi sen, mihin sinun on keskityttävä.

Näyttökuva tapausjonosta.

Vuokraajakohtainen sallittu enimmäismäärä on 100 000 tapausta.

Tapauksen tiedot

Jokaisessa tapauksessa on sivu, jonka avulla analyytikot voivat hallita tapausta ja näyttää tärkeitä tietoja.

Seuraavassa esimerkissä uhkien metsästäjä tutkii hypoteettista "Burrowing"-hyökkäystä, joka koostuu useista MITRE ATT&CK-tekniikoista ja IOC-tekniikoista.

Näyttökuvassa on tapauksen tiedot.

Hallitse seuraavia tapaustietoja kuvaamaan, priorisoimaan, määrittämään ja seuraamaan työtä:

Näytetty kirjainkoko -ominaisuus Tapausasetusten hallinta Oletusarvo
Prioriteetti Very low, Low, Medium, High, Critical Ei mitään
Tila Analyytikoiden määrittämä, järjestelmänvalvojien mukauttama Oletustilat ovat New, Openja Closed
Oletusarvo on New
Vastuuhenkilö Yksi käyttäjä vuokraajassa Ei mitään
Kuvaus Teksti Ei mitään
Tapauksen tiedot Tapaustunnus Tapaustunnukset alkavat tuhannesta, eikä niitä tyhjennä. Arkistoi palvelupyynnöt mukautettujen tilojen ja suodattimien avulla. Tapausnumerot määritetään automaattisesti.
Luonut
luonut viimeksi
päivittänyt viimeksi päivittänyt
 määritä automaattisesti
Määräpäivä linkitetyissä
tapahtumissa		 Ei mitään

Voit hallita tapauksia tarkemmin määrittämällä mukautetun tilan, määrittämällä tehtäviä, linkittämällä tapauksia ja lisäämällä kommentteja.

Mukauta tilaa

Arkkitehtitapausten hallinta tietoturvakeskuksen (SOC) tarpeisiin sopivaksi. Mukauta SecOps-tiimien käytettävissä olevia tilavaihtoehtoja, jotta ne sopivat käytössäsi oleviin prosesseihin.

Seuraavassa röyhtäilevän hyökkäystapauksen luontiesimerkin jälkeen SOC-järjestelmänvalvojat määritti tilat, joiden avulla uhkien metsästäjät voivat pitää uhkat kasassa triagessa viikoittain. Mukautetut tilat, kuten tutkimusvaihe ja hypoteesin luominen , vastaavat tämän uhanmetsästysryhmän vakiintunutta prosessia.

Näyttökuva, jossa näkyvät oletustila-asetukset ja mukautetut tilat.

Tehtävät

Lisää tehtäviä palvelupyyntöjen hajautettujen osien hallintaan. Jokaisella tehtävällä on oma nimensä, tilansa, prioriteettinsa, omistajansa ja määräpäivänsä. Näiden tietojen avulla tiedät aina, kuka on vastuussa minkäkin tehtävän suorittamisesta ja mihin aikaan. Tehtävän kuvauksessa on yhteenveto tehtävästä ja tilaa edistymisen kuvaamiseen. Loppumuistiinpanot antavat lisää kontekstia valmiiden tehtävien tuloksesta.

Näyttökuva, jossa näkyy tehtäväruutu, johon on täytetty tehtävät ja käytettävissä olevat tilat.
Kuvassa näkyvät seuraavat käytettävissä olevat tehtävien tilat: Uusi, Keskeneräinen, Epäonnistunut, Osittain suoritettu, Ohitettu, Valmis

Tapauksen ja tapauksen linkittäminen auttaa SecOps-tiimejä tekemään yhteistyötä heille parhaiten toimivalla menetelmällä. Esimerkiksi uhkien metsästäjä, joka havaitsee pahantahtoisen toiminnan, luo tapahtuman tapausten käsittelyryhmälle (IR). Uhkanmetsästäjä yhdistää tapauksen tapaukseen, joten on selvää, että he ovat sukua. Nyt infrapunatiimi ymmärtää metsästyksen kontekstin, joka löysi toiminnan.

Näyttökuva, jossa näkyvät hypoteettisen burrowing-hyökkäystapauksen linkitetyt tapaukset.

Vaihtoehtoisesti, jos infrapunatiimin on eskaloitava yksi tai useampi välikohtaus metsästysryhmälle, he voivat luoda tapauksen ja yhdistää tapaukset Investigation &-vastaustapauksen tietosivulta.

Näyttökuva, jossa näkyy linkkitapausvaihtoehto kolmen pisteen valikosta tapausnäkymässä.

Kussakin tapauksessa kynnysarvo on 100 linkitettyä tapausta.

Toimintoloki

Pitääkö sinun kirjoittaa muistiinpanot muistiin vai välitettävä avaintentunnistuslogiikka? Luo tekstimuotoisia kommentteja ja tarkista valvontatapahtumat toimintolokissa. Kommentit ovat hyvä paikka lisätä nopeasti tietoja tapaukseen.

Näyttökuva, jossa näkyvät analyytikoiden väliset epäviralliset kommentit.

Valvontatapahtumat lisätään automaattisesti tapauksen toimintolokiin ja uusimmat tapahtumat näytetään ylimpänä. Muuta suodatinta, jos haluat keskittyä kommentteihin tai valvontahistoriaan.

Aiheeseen liittyvä sisältö