Поделиться через

Управление обращениями в собственном коде на унифицированной платформе операций безопасности Майкрософт

  • Статья

Управление обращениями — это первая часть новых возможностей для управления работой по обеспечению безопасности при подключении к платформе Унифицированных операций безопасности (SecOps) Корпорации Майкрософт.

Этот начальный шаг на пути к созданию унифицированного интерфейса управления делами, ориентированного на безопасность, централизует широкие возможности совместной работы, настройки, сбора доказательств и отчетности в рабочих нагрузках SecOps. Команды SecOps поддерживают контекст безопасности, работают более эффективно и быстрее реагируют на атаки, когда управляют работой с обращениями, не выходя из портала Defender.

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Что такое управление делами (предварительная версия)?

Управление обращениями позволяет управлять делами SecOps в собственном коде на портале Defender. Ниже приведен начальный набор поддерживаемых сценариев и функций.

  • Определение собственного рабочего процесса обращения с настраиваемыми значениями состояния
  • Назначение задач участникам совместной работы и настройка сроков выполнения
  • Обработка эскалаций и сложных случаев путем связывания нескольких инцидентов с делом
  • Управление доступом к обращениям с помощью RBAC

По мере того как мы опираемся на эту основу управления делами, мы уделяем приоритетное внимание этим дополнительным надежным возможностям по мере развития этого решения:

  • Автоматизация
  • Поддержка нескольких клиентов
  • Дополнительные доказательства для добавления
  • Настройка рабочего процесса
  • Дополнительные интеграции с порталом Defender

Требования

Управление обращениями доступно на портале Defender, и чтобы использовать его, необходимо иметь подключенную рабочую область Microsoft Sentinel. Доступ к обращениям из портал Azure отсутствует.

Дополнительные сведения см. в статье Подключение Microsoft Sentinel к порталу Defender.

Используйте Defender XDR унифицированные роли RBAC или Microsoft Sentinel для предоставления доступа к функциям управления обращениями.

Функция вариантов Microsoft Defender XDR унифицированный RBAC роль Microsoft Sentinel
Просмотр только
- очередь
обращений - сведения о
случае - задачи
- комментарии
- аудиты случаев		 Операции безопасности > Основные сведения о данных безопасности (чтение) Средство чтения Microsoft Sentinel
Создание и управление
— случаи и задачи
обращения — назначение
и обновление состояния
— связывание и отмена связи инцидентов		 Оповещения об операциях > безопасности (управление)
или
Ответ на операции > безопасности (управление)		 Ответчик Microsoft Sentinel
Настройка параметров состояния обращения Авторизация и настройка > основных параметров безопасности (управление) Участник Microsoft Sentinel

Дополнительные сведения см. в разделе Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).

Очередь обращений

Чтобы начать использовать управление обращениями, выберите Варианты на портале Defender, чтобы получить доступ к очереди обращений. Фильтруйте, сортируйте или ищите варианты, чтобы найти то, на чем нужно сосредоточиться.

Снимок экрана: очередь обращений.

Максимально допустимое значение для каждого клиента — 100 000 вариантов.

Сведения о варианте

Каждый случай имеет страницу, которая позволяет аналитикам управлять делом и отображать важные сведения.

В следующем примере охотник за угрозами изучает гипотетическую атаку "Burrowing", которая состоит из нескольких MITRE ATT&методов CK и IoCs.

Снимок экрана: сведения о обращении.

Управляйте следующими сведениями о случаях для описания, определения приоритетов, назначения и отслеживания работы:

Функция отображения регистра Управление параметрами обращения Значение по умолчанию
Priority Very low, Low, Medium, High, Critical none
Состояние Устанавливается аналитиками, настраивается администраторами По умолчанию используются Newсостояния , Openи Closed
значение по умолчанию — . New
Кому назначено Один пользователь в клиенте none
Описание обычный текст none
Сведения о варианте Идентификатор обращения Идентификаторы дела начинаются с 1000 и не очищаются. Используйте настраиваемые состояния и фильтры для архивации вариантов. Номера обращений задаются автоматически.
Создано создано
в
последнее обновление последнее
обновление		 автоматическая установка
Из-за
связанных инцидентов		 none

Управляйте делами, задавая настраиваемое состояние, назначая задачи, связывая инциденты и добавляя примечания.

Настройка состояния

Создание архитектуры управления делами в соответствии с потребностями центра управления безопасностью (SOC). Настройте параметры состояния, доступные командам SecOps, в соответствии с имеющимися процессами.

В соответствии с примером создания случаев атаки с закапыванием администраторы SOC настроили состояния, позволяющие охотникам за угрозами еженедельно хранить невыполненную работу по угрозам для рассмотрения. Пользовательские состояния, такие как этап исследования и генерирование гипотезы , соответствуют установленному процессу этой команды по охоте на угрозы.

Снимок экрана: параметры состояния по умолчанию и настраиваемые состояния.

Задачи

Добавьте задачи для управления детализированными компонентами ваших случаев. Каждая задача поставляется с собственным именем, состоянием, приоритетом, владельцем и датой выполнения. С помощью этой информации вы всегда знаете, кто отвечает за выполнение какой задачи и к какому времени. В описании задачи содержится сводка работы и некоторое пространство для описания хода выполнения. Заключительные примечания содержат дополнительные сведения о результатах выполненных задач.

Снимок экрана: область задач с задачами, заполненными для обращения, и доступными состояниями.
На рисунке показаны следующие доступные состояния задач: New, In Progress, Failed, Partially Completed, Пропущено, Completed

Связывание дела и инцидента помогает командам SecOps совместно работать в методе, который лучше всего подходит для них. Например, охотник за угрозами, который находит вредоносные действия, создает инцидент для команды реагирования на инциденты (IR). Этот охотник за угрозами связывает инцидент с делом, чтобы было ясно, что они связаны. Теперь команда IR понимает контекст охоты, которая обнаружила действие.

Снимок экрана: связанные инциденты для гипотетического случая атаки с рывками.

Кроме того, если команде IR необходимо передать один или несколько инцидентов в группу охоты, она может создать дело и связать инциденты на странице "Расследование & сведения об инциденте реагирования".

Снимок экрана: параметр инцидента ссылки из меню с многоточием в представлении инцидента.

Каждый случай имеет пороговое значение 100 связанных инцидентов.

Журнал действий

Требуется записать заметки или логику обнаружения ключей, которую необходимо передать? Создайте примечания в виде обычного текста и просмотрите события аудита в журнале действий. Комментарии — это отличное место для быстрого добавления информации в дело.

Снимок экрана: неофициальные комментарии аналитиков.

События аудита автоматически добавляются в журнал действий дела, а последние события отображаются в верхней части. Измените фильтр, если необходимо сосредоточиться на комментариях или журнале аудита.

Связанные материалы