共用方式為

在Microsoft的統一安全性作業平臺中以原生方式管理案例

  • 發行項

當您在 SecOps) 平臺 (Microsoft 統一安全性作業時,案例管理是管理安全性工作的第一項新功能。

這個初始步驟可提供以安全性為主的統一案例管理體驗,將跨 SecOps 工作負載的豐富共同作業、自定義、辨識項收集和報告集中化。 SecOps 小組會維護安全性內容、更有效率地工作,並在不離開 Defender 入口網站的情況下管理案例工作時,更快速地回應攻擊。

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

什麼是案例管理 (預覽) ?

案例管理可讓您以原生方式在Defender入口網站中管理 SecOps 案例。 以下是支援的一組初始案例和功能。

  • 使用自定義狀態值定義您自己的案例工作流程
  • 將工作指派給共同作業者並設定到期日
  • 藉由將多個事件連結至案例來處理呈報和複雜案例
  • 使用 RBAC 管理案例的存取權

當我們以此案例管理的基礎為基礎進行建置時,我們會在發展此解決方案時,優先處理這些額外的強固功能:

  • 自動化
  • 多租用戶支援
  • 要新增的更多辨識項
  • 工作流程自定義
  • 更多 Defender 入口網站整合

需求

案例管理可在 Defender 入口網站中取得,若要使用,您必須連線 Microsoft Sentinel 工作區。 無法從 Azure 入口網站 存取案例。

如需詳細資訊,請參閱將 Microsoft Sentinel 連線到Defender入口網站

使用下表來規劃案例管理的 RBAC:

案例功能 Microsoft Defender 全面偵測回應 整合 RBAC 中所需的最低許可權

檢視案例佇列
- 案例詳細數據
- 工作
- 批注
- 案例稽核		 安全性作業 > (讀取) 的安全性數據基本概念
建立和管理
案例和案例工作
- assign
- 更新狀態
- 連結和取消連結事件		 安全性作業 > 管理 ()
自定義案例狀態選項 管理) (授權和設定 > 核心安全性設定

如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC)

案例佇列

若要開始使用案例管理,請在Defender入口網站中選取 [ 案例 ] 以存取案例佇列。 篩選、排序或搜尋您的案例,以尋找您需要專注的專案。

案例佇列的螢幕快照。

案例詳細數據

每個案例都有一個頁面,可讓分析師管理案例並顯示重要詳細數據。

在下列範例中,威脅搜捕人員正在調查由多個 MITRE ATT&CK 技術和 IoC 所組成的假設性“ Burrowing” 攻擊。

案例詳細數據的螢幕快照。

管理下列案例詳細數據,以描述、排定優先順序、指派及追蹤工作:

顯示的案例功能 管理案例選項 預設值
優先順序 Very low, Low, Medium, High, Critical
狀態 由分析師設定,可由系統管理員自定義 默認狀態為 NewOpen,默 Closed
認值為 New
指派給 租使用者中的單一使用者
描述 純文字
案例詳細數據 案例標識碼 案例標識碼從 1000 開始,且不會清除。 使用自定義狀態和篩選來封存案例。 案例編號會自動設定。
建立者

上次更新日期:上次更新日期
 自動設定
已連結事件的
到期日

藉由設定自定義狀態、指派工作、連結事件,以及新增批注,進一步管理案例。

自訂狀態

架構案例管理,以符合安全性作業中心 (SOC) 的需求。 自定義 SecOps 小組可用的狀態選項,以符合您已備妥的程式。

在攻擊案例建立範例之後,SOC 系統管理員已設定狀態,讓威脅搜捕人員每周保留待處理的威脅分級。 自定義狀態,例如 「研究階段 」和「 產生假設」 ,都符合此威脅搜捕小組所建立的程式。

顯示預設狀態選項和自定義狀態的螢幕快照。

工作

新增工作以管理案例的細微元件。 每個工作都有自己的名稱、狀態、優先順序、擁有者和到期日。 使用這項資訊,您一律會知道誰負責完成哪項工作,以及何時完成。 工作描述會摘要說明要執行的工作,以及描述進度的一些空間。 結尾附註提供更多有關已完成工作結果的內容。

顯示工作窗格的螢幕快照,其中已針對可用的案例和狀態填入工作。
影像顯示下列可用的工作狀態:新增、進行中、失敗、部分完成、略過、已完成

連結案例和事件可協助您的 SecOps 小組以最適合他們的方法共同作業。 例如,尋找惡意活動的威脅搜捕者會 (IR) 小組建立事件回應的事件。 該威脅搜捕人員會將事件連結至案例,以便清楚說明其相關性。 現在,IR 小組瞭解找到活動的搜捕內容。

此螢幕快照顯示假設性擲擲攻擊案例的連結事件。

或者,如果 IR 小組需要向搜捕小組呈報一或多個事件,他們可以建立案例,並從 [ 調查 & 回應 事件詳細數據頁面連結事件。

顯示事件檢視中省略號功能表中連結事件選項的螢幕快照。

活動記錄

需要寫下附注,或要傳遞的密鑰偵測邏輯嗎? 建立純文本批注,並檢閱活動記錄中的稽核事件。 批注是快速將資訊新增至案例的絕佳位置。

顯示分析師之間非正式批注的螢幕快照。

稽核事件會自動新增至案例的活動記錄檔,而最新的事件會顯示在頂端。 如果您需要專注於批注或稽核歷程記錄,請變更篩選。

相關內容