Partilhar via

Gerir casos nativamente na plataforma de operações de segurança unificada da Microsoft

  • Artigo

A gestão de casos é a primeira prestação de novas capacidades para gerir o trabalho de segurança quando integra na plataforma de operações de segurança unificadas (SecOps) da Microsoft.

Este passo inicial para fornecer uma experiência de gestão de casos unificada e focada na segurança centraliza a colaboração avançada, a personalização, a recolha de provas e os relatórios em cargas de trabalho secOps. As equipas do SecOps mantêm o contexto de segurança, trabalham de forma mais eficiente e respondem mais rapidamente aos ataques quando gerem o trabalho de casos sem sair do portal do Defender.

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

O que é a gestão de casos (Pré-visualização)?

A gestão de casos permite-lhe gerir casos SecOps nativamente no portal do Defender. Eis o conjunto inicial de cenários e funcionalidades suportados.

  • Definir o seu próprio fluxo de trabalho de caso com valores de estado personalizados
  • Atribuir tarefas a colaboradores e configurar datas para conclusão
  • Lidar com escalamentos e casos complexos ao ligar vários incidentes a um caso
  • Gerir o acesso aos seus casos com o RBAC

À medida que criamos esta base da gestão de casos, estamos a dar prioridade a estas capacidades robustas adicionais à medida que desenvolvemos esta solução:

  • Automatização
  • Suporte multi-inquilino
  • Mais provas a adicionar
  • Personalização do fluxo de trabalho
  • Mais integrações do portal do Defender

Requisitos

A gestão de casos está disponível no portal do Defender e, para utilizá-la, tem de ter uma área de trabalho Microsoft Sentinel ligada. Não há acesso a casos do portal do Azure.

Para obter mais informações, veja Ligar Microsoft Sentinel ao portal do Defender.

Utilize esta tabela para planear o RBAC de gestão de casos:

Funcionalidade De casos Permissões mínimas necessárias no MICROSOFT DEFENDER XDR RBAC Unificado
Ver apenas
– fila
de casos
– detalhes do caso – tarefas
– comentários – auditorias
de casos		 Noções básicas de dados de segurança (leitura) das operações > de segurança
Criar e Gerir
– casos e tarefas de casos
– atribuir
– atualizar estado
– ligação e desassociar incidentes		 Alertas de operações > de segurança (gerir)
Personalizar opções de estado de casos Autorização e definição > das definições de Segurança Principal (gerir)

Para obter mais informações, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.

Fila de maiúsculas/

Para começar a utilizar a gestão de casos, selecione Casos no portal do Defender para aceder à fila de casos. Filtre, ordene ou pesquise os seus casos para encontrar aquilo em que precisa de se concentrar.

Captura de ecrã da fila de casos.

Detalhes do caso

Cada caso tem uma página que permite aos analistas gerir o caso e apresenta detalhes importantes.

No exemplo seguinte, um caçador de ameaças está a investigar um hipotético ataque "Burrowing" que consiste em várias técnicas e IoCs da MITRE ATT&CK.

Captura de ecrã a mostrar os detalhes do caso.

Faça a gestão dos seguintes detalhes do caso para descrever, atribuir prioridades, atribuir e controlar o trabalho:

Funcionalidade de maiúsculas/minúsculas apresentada Gerir opções de casos Valor predefinido
Priority Very low, Low, Medium, High, Critical nenhum
Estado Definido por analistas, personalizável por administradores Os estados predefinidos são New, Opene Closed
o valor Predefinido é New
Atribuído a Um único utilizador no inquilino nenhum
Descrição Texto simples nenhum
Detalhes do caso ID do Caso Os IDs dos casos começam em 1000 e não são removidos. Utilize os estados e filtros personalizados para arquivar casos. Os números de maiúsculas e minúsculas são definidos automaticamente.
Criado por
Criado na
Última atualização por
Última atualização em		 definir automaticamente
Due on Linked incidents (Devido a
incidentes ligados)		 nenhum

Faça a gestão dos casos ao definir o estado personalizado, atribuir tarefas, ligar incidentes e adicionar comentários.

Personalizar estado

Arquitetar a gestão de casos de acordo com as necessidades do seu centro de operações de segurança (SOC). Personalize as opções de estado disponíveis para as suas equipas do SecOps para se ajustarem aos processos que tem em vigor.

Seguindo o exemplo de criação de casos de ataque, os administradores do SOC configuraram estados que permitem aos caçadores de ameaças manter um registo de ameaças de triagem semanalmente. Os estados personalizados, como a Fase de investigação e a opção Gerar hipótese, correspondem ao processo estabelecido desta equipa de investigação de ameaças.

Captura de ecrã a mostrar as opções de estado predefinidas e os estados personalizados.

Tarefas

Adicione tarefas para gerir componentes granulares dos seus casos. Cada tarefa inclui o seu próprio nome, estado, prioridade, proprietário e data para conclusão. Com estas informações, sabe sempre quem é responsável por concluir que tarefa e a que horas. A descrição da tarefa resume o trabalho a fazer e algum espaço para descrever o progresso. As notas de fecho fornecem mais contexto sobre o resultado das tarefas concluídas.

Captura de ecrã a mostrar o painel de tarefas com tarefas preenchidas para o caso e estados disponíveis.
Imagem a mostrar os seguintes estados de tarefa disponíveis: Novo, Em curso, Com Falhas, Parcialmente concluído, Ignorado, Concluído

Associar um caso e um incidente ajuda as suas equipas do SecOps a colaborar no método que funciona melhor para eles. Por exemplo, um caçador de ameaças que encontra atividades maliciosas cria um incidente para a equipa de resposta a incidentes (IR). O caçador de ameaças liga o incidente a um caso, por isso é claro que estão relacionados. Agora, a equipa de IR compreende o contexto da caça que encontrou a atividade.

Captura de ecrã a mostrar incidentes ligados para o caso hipotético de ataque de escavação.

Em alternativa, se a equipa de IR precisar de escalar um ou mais incidentes para a equipa de investigação, pode criar um caso e ligar os incidentes a partir da página Detalhes do incidente de resposta & investigação .

Captura de ecrã a mostrar a opção de incidente de ligação no menu de reticências na vista de incidente.

Registo de atividades

Precisa de anotar notas ou essa lógica de deteção de chaves para transmitir? Crie comentários em texto simples e reveja os eventos de auditoria no registo de atividades. Os comentários são um ótimo local para adicionar rapidamente informações a um caso.

Captura de ecrã a mostrar comentários informais entre analistas.

Os eventos de auditoria são automaticamente adicionados ao registo de atividades do caso e os eventos mais recentes são apresentados na parte superior. Altere o filtro se precisar de se concentrar nos comentários ou no histórico de auditorias.

Conteúdos relacionados