Condividi tramite

Gestire i casi in modo nativo nella piattaforma delle operazioni di sicurezza unificata di Microsoft

  • Articolo

La gestione dei casi è il primo capitolo delle nuove funzionalità per la gestione del lavoro di sicurezza quando si esegue l'onboarding nella piattaforma SecOps (Unified Security Operations) di Microsoft.

Questo passaggio iniziale per offrire un'esperienza unificata di gestione dei casi incentrata sulla sicurezza centralizza la collaborazione avanzata, la personalizzazione, la raccolta di prove e la creazione di report nei carichi di lavoro SecOps. I team SecOps mantengono il contesto di sicurezza, lavorano in modo più efficiente e rispondono più velocemente agli attacchi quando gestiscono il case work senza uscire dal portale di Defender.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Che cos'è la gestione dei casi (anteprima)?

La gestione dei casi consente di gestire i casi SecOps in modo nativo nel portale di Defender. Ecco il set iniziale di scenari e funzionalità supportati.

  • Definire il proprio flusso di lavoro case con valori di stato personalizzati
  • Assegnare attività ai collaboratori e configurare le date di scadenza
  • Gestire escalation e casi complessi collegando più eventi imprevisti a un caso
  • Gestire l'accesso ai casi usando il controllo degli accessi in base al ruolo

Man mano che ci basiamo su questa base della gestione dei casi, diamo priorità a queste funzionalità aggiuntive e affidabili man mano che si evolve questa soluzione:

  • Automazione
  • Supporto multi-tenant
  • Altre prove da aggiungere
  • Personalizzazione del flusso di lavoro
  • Altre integrazioni del portale di Defender

Requisiti

La gestione dei casi è disponibile nel portale di Defender e per usarla è necessario disporre di un'area di lavoro Microsoft Sentinel connessa. Non è possibile accedere ai casi dal portale di Azure.

Per altre informazioni, vedere Connettere Microsoft Sentinel al portale di Defender.

Usare questa tabella per pianificare il controllo degli accessi in base al ruolo della gestione dei casi:

Funzionalità Case Autorizzazioni minime necessarie in Microsoft Defender XDR controllo degli accessi in base al ruolo unificato
Visualizzare solo
- coda
dei casi- dettagli del
caso- attività
- commenti
- controlli del caso		 Operazioni > di sicurezza Nozioni di base sulla sicurezza (lettura)
Creare e gestire
- case e attività
case- assign
- update status
- link and unlink incidents		 Avvisi delle operazioni > di sicurezza (gestione)
Personalizzare le opzioni di stato del case Autorizzazione e impostazione delle > impostazioni di sicurezza di base (gestione)

Per altre informazioni, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.

Coda di maiuscole e minuscole

Per iniziare a usare la gestione dei casi , selezionare Case nel portale di Defender per accedere alla coda dei casi. Filtrare, ordinare o cercare i casi per trovare gli elementi su cui concentrarsi.

Screenshot della coda dei casi.

Dettagli del caso

Ogni caso ha una pagina che consente agli analisti di gestire il caso e visualizza dettagli importanti.

Nell'esempio seguente, un cacciatore di minacce sta esaminando un ipotetico attacco "Burrowing" costituito da più tecniche MITRE ATT&CK e IoC.

Screenshot dei dettagli del caso.

Gestire i dettagli del caso seguenti per descrivere, assegnare priorità, assegnare e tenere traccia del lavoro:

Funzionalità maiuscole/minuscole visualizzata Gestire le opzioni del caso Valore predefinito
Priorità Very low, Low, Medium, High, Critical nessuno
Stato Impostato dagli analisti, personalizzabile dagli amministratori Gli stati predefiniti sono New, Opene Closed
Il valore predefinito è New
Assegnata a Un singolo utente nel tenant nessuno
Descrizione Testo normale nessuno
Dettagli del caso ID caso Gli ID case iniziano da 1000 e non vengono eliminati. Usare gli stati e i filtri personalizzati per archiviare i casi. I numeri di case vengono impostati automaticamente.
Creato da
Creato l'ultimo
aggiornamento da
Ultimo aggiornamento in		 impostare automaticamente
Causa di
eventi imprevisti collegati		 nessuno

Gestire ulteriormente i casi impostando lo stato personalizzato, assegnando attività, collegando eventi imprevisti e aggiungendo commenti.

Personalizzare lo stato

Progettare la gestione dei casi in base alle esigenze del centro operativo di sicurezza (SOC). Personalizzare le opzioni di stato disponibili per i team SecOps in base ai processi eseguiti.

Dopo l'esempio di creazione del caso di attacco scavatore, gli amministratori del SOC hanno configurato gli stati consentendo ai cacciatori di minacce di mantenere un backlog di minacce per la valutazione su base settimanale. Gli stati personalizzati, ad esempio fase di ricerca e ipotesi di generazione , corrispondono al processo stabilito dal team di ricerca delle minacce.

Screenshot che mostra le opzioni di stato predefinite e gli stati personalizzati.

Attività

Aggiungere attività per gestire i componenti granulari dei casi. Ogni attività include il proprio nome, stato, priorità, proprietario e data di scadenza. Con queste informazioni, si sa sempre chi è responsabile di completare quale attività e in base a quale ora. La descrizione dell'attività riepiloga il lavoro da eseguire e uno spazio per descrivere lo stato di avanzamento. Le note di chiusura forniscono più contesto sul risultato delle attività completate.

Screenshot che mostra il riquadro attività con le attività popolate per il caso e gli stati disponibili.
Immagine che mostra i seguenti stati delle attività disponibili: Nuovo, In corso, Non riuscito, Parzialmente completato, Ignorato, Completato

Il collegamento di un caso e un evento imprevisto consente ai team SecOps di collaborare al metodo più adatto. Ad esempio, un cacciatore di minacce che trova attività dannose crea un evento imprevisto per il team di risposta agli eventi imprevisti. Questo cacciatore di minacce collega l'incidente a un caso, quindi è chiaro che sono correlati. Ora il team di runtime di integrazione comprende il contesto della ricerca che ha trovato l'attività.

Screenshot che mostra gli eventi imprevisti collegati per l'ipotetico caso di attacco di tana.

In alternativa, se il team del runtime di integrazione deve inoltrare uno o più eventi imprevisti al team di ricerca, può creare un caso e collegare gli eventi imprevisti dalla pagina dei dettagli degli eventi imprevisti di indagine & risposta .

Screenshot che mostra l'opzione di collegamento imprevisto dal menu puntini di sospensione nella visualizzazione eventi imprevisti.

Log attività

È necessario annotare le note o la logica di rilevamento delle chiavi da passare? Creare commenti in testo normale ed esaminare gli eventi di controllo nel log attività. I commenti sono un ottimo posto per aggiungere rapidamente informazioni a un caso.

Screenshot che mostra i commenti informali tra gli analisti.

Gli eventi di controllo vengono aggiunti automaticamente al log attività del caso e gli eventi più recenti vengono visualizzati nella parte superiore. Modificare il filtro se è necessario concentrarsi sui commenti o sulla cronologia di controllo.

Contenuto correlato