Udostępnij za pośrednictwem

Natywnie zarządzaj sprawami na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft

  • Artykuł

Zarządzanie przypadkami to pierwsza rata nowych możliwości zarządzania pracami nad zabezpieczeniami podczas dołączania do platformy ujednoliconych operacji zabezpieczeń (SecOps) firmy Microsoft.

Ten początkowy krok w kierunku zapewnienia ujednoliconego, skoncentrowanego na zabezpieczeniach środowiska do zarządzania przypadkami scentralizuje rozbudowaną współpracę, dostosowywanie, zbieranie dowodów i raportowanie w obciążeniach SecOps. Zespoły SecOps zachowują kontekst zabezpieczeń, działają wydajniej i szybciej reagują na ataki, gdy zarządzają sprawami bez opuszczania portalu usługi Defender.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Co to jest zarządzanie przypadkami (wersja zapoznawcza)?

Zarządzanie przypadkami umożliwia natywne zarządzanie przypadkami SecOps w portalu usługi Defender. Oto początkowy zestaw obsługiwanych scenariuszy i funkcji.

  • Definiowanie przepływu pracy własnego przypadku przy użyciu niestandardowych wartości stanu
  • Przypisywanie zadań współpracownikom i konfigurowanie terminów ukończenia
  • Obsługa eskalacji i złożonych przypadków przez połączenie wielu zdarzeń ze sprawą
  • Zarządzanie dostępem do spraw przy użyciu kontroli dostępu opartej na rolach

Bazując na tym fundamencie zarządzania przypadkami, priorytetyzujemy te dodatkowe niezawodne możliwości w miarę rozwoju tego rozwiązania:

  • Automatyzacja
  • Obsługa wielu dzierżaw
  • Więcej dowodów do dodania
  • Dostosowywanie przepływu pracy
  • Więcej integracji z portalem usługi Defender

Wymagania

Zarządzanie przypadkami jest dostępne w portalu usługi Defender i aby z niego korzystać, musisz mieć Microsoft Sentinel połączony obszar roboczy. Nie ma dostępu do spraw z Azure Portal.

Aby uzyskać więcej informacji, zobacz Łączenie Microsoft Sentinel z portalem usługi Defender.

Ta tabela służy do planowania kontroli rbac zarządzania przypadkami:

Funkcja Cases Minimalne uprawnienia wymagane w Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach
Wyświetlanie tylko
— kolejka
przypadków — szczegóły
sprawy — zadania
— komentarze
— inspekcje przypadków		 Operacje > zabezpieczeń — podstawy danych zabezpieczeń (odczyt)
Tworzenie i zarządzanie
— zadania
spraw i spraw — przypisywanie
— aktualizowanie stanu
— link i odłączanie zdarzeń		 Alerty operacji > zabezpieczeń (zarządzanie)
Dostosowywanie opcji stanu sprawy Autoryzacja i ustawianie > ustawień zabezpieczeń podstawowych (zarządzanie)

Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC).

Kolejka przypadków

Aby rozpocząć korzystanie z zarządzania przypadkami, wybierz pozycję Przypadki w portalu usługi Defender, aby uzyskać dostęp do kolejki przypadków. Filtruj, sortuj lub przeszukuj przypadki, aby znaleźć elementy, na których należy się skupić.

Zrzut ekranu przedstawiający kolejkę przypadków.

Szczegóły sprawy

Każdy przypadek ma stronę, która umożliwia analitykom zarządzanie sprawą i wyświetlanie ważnych szczegółów.

W poniższym przykładzie łowca zagrożeń bada hipotetyczny atak "Burrowing", który składa się z wielu technik CK i IoCs mitre att&.

Zrzut ekranu przedstawiający szczegóły sprawy.

Zarządzaj następującymi szczegółami sprawy, aby opisywać, ustalać priorytety, przypisywać i śledzić pracę:

Wyświetlana funkcja przypadku Zarządzanie opcjami wielkości liter Wartość domyślna
Priority (Priorytet) Very low, Low, Medium, High, Critical brak
Stan Ustawiane przez analityków, dostosowywalne przez administratorów Domyślne stany to New, Openi Closed
wartość domyślna to New
Przypisane do Pojedynczy użytkownik w dzierżawie brak
Opis Zwykły tekst brak
Szczegóły sprawy Identyfikator przypadku Identyfikatory przypadków zaczynają się od 1000 i nie są usuwane. Użyj niestandardowych stanów i filtrów do archiwizowania przypadków. Numery przypadków są ustawiane automatycznie.
Utworzone przez
utworzone w dniu
ostatniej aktualizacji przez
ostatnią aktualizację		 automatycznie ustawiane
Z powodu połączonych
zdarzeń		 brak

Dalej zarządzaj sprawami, ustawiając dostosowany stan, przypisując zadania, łącząc zdarzenia i dodając komentarze.

Dostosowywanie stanu

Projektowanie zarządzania przypadkami w celu dopasowania do potrzeb centrum operacji zabezpieczeń (SOC). Dostosuj opcje stanu dostępne dla zespołów SecOps, aby dopasować dostępne procesy.

Po przykładzie tworzenia przypadków ataku zakopywania administratorzy SOC skonfigurowali stany umożliwiające łowcom zagrożeń przechowywanie listy prac zagrożeń na potrzeby klasyfikacji co tydzień. Niestandardowe stany, takie jak faza badań i hipoteza generowania , są zgodne z ustalonym procesem tego zespołu zajmującego się wyszukiwaniem zagrożeń.

Zrzut ekranu przedstawiający domyślne opcje stanu i dostosowane stany.

Zadania

Dodaj zadania do zarządzania szczegółowymi składnikami przypadków. Każde zadanie ma własną nazwę, stan, priorytet, właściciela i datę ukończenia. Dzięki tym informacjom zawsze wiesz, kto jest odpowiedzialny za wykonanie którego zadania i o której godzinie. Opis zadania podsumowuje pracę do wykonania i trochę miejsca do opisywania postępu. Informacje końcowe zawierają więcej kontekstu dotyczącego wyniku wykonanych zadań.

Zrzut ekranu przedstawiający okienko zadań z zadaniami wypełnionymi dla dostępnych przypadków i stanów.
Obraz przedstawia następujące dostępne stany zadań: Nowy, W toku, Niepowodzenie, Częściowo ukończone, Pominięte, Ukończone

Łączenie przypadku i zdarzenia pomaga zespołom SecOps współpracować w metodzie, która działa najlepiej dla nich. Na przykład łowca zagrożeń, który znajduje złośliwe działanie, tworzy zdarzenie dla zespołu reagowania na zdarzenia (IR). Ten łowca zagrożeń łączy incydent ze sprawą, więc jest jasne, że są one ze sobą powiązane. Teraz zespół środowiska IR rozumie kontekst polowania, które wykryło działanie.

Zrzut ekranu przedstawiający połączone incydenty dla hipotetycznego przypadku ataku norowania.

Alternatywnie, jeśli zespół środowiska IR musi eskalować co najmniej jedno zdarzenie do zespołu wyszukiwania zagrożeń, może utworzyć przypadek i połączyć zdarzenia ze strony Szczegóły zdarzenia & reagowania na zdarzenia.

Zrzut ekranu przedstawiający opcję zdarzenia linku z menu wielokropka w widoku zdarzenia.

Dziennik aktywności

Chcesz zapisać notatki lub tę logikę wykrywania klucza, aby przekazać? Utwórz komentarze w postaci zwykłego tekstu i przejrzyj zdarzenia inspekcji w dzienniku aktywności. Komentarze to doskonałe miejsce do szybkiego dodawania informacji do sprawy.

Zrzut ekranu przedstawiający nieformalne komentarze między analitykami.

Zdarzenia inspekcji są automatycznie dodawane do dziennika aktywności sprawy, a najnowsze zdarzenia są wyświetlane u góry. Zmień filtr, jeśli chcesz skupić się na komentarzach lub historii inspekcji.

Zawartość pokrewna