Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender gestion des cas est un ensemble de fonctionnalités et de fonctionnalités offrant une expérience unifiée et axée sur la sécurité. Cette expérience est conçue pour gérer les opérations de sécurité unifiées en mode natif dans le portail Microsoft Defender, sans avoir besoin d’outils tiers. Les équipes des opérations de sécurité gèrent le contexte de sécurité, travaillent plus efficacement et répondent plus rapidement aux attaques lorsqu’elles gèrent le travail des cas sans quitter le portail Defender.
La phase d’introduction actuelle du déploiement de la gestion des cas centralise la collaboration enrichie, la personnalisation, la collecte de preuves et la création de rapports entre les charges de travail SecOps.
Qu’est-ce que la gestion de cas ?
La gestion des cas vous permet de gérer les cas SecOps en mode natif dans le portail Defender. Même dans ses phases initiales, les équipes SecOps illustrent les cas d’usage suivants pour la gestion des cas :
Réponse aux événements de sécurité qui couvrent plusieurs incidents.
Gestion de la chasse aux menaces.
Suivi des ioC et des acteurs des menaces.
Logique de détection de suivi qui doit être paramétrée.
Les fonctionnalités et fonctionnalités spécifiques suivantes prennent en charge ces cas d’usage et scénarios :
- Créez et suivez vos cas liés à SecOps au même endroit avec la nouvelle page Cas .
- Définissez votre propre workflow de cas en configurant des valeurs de status personnalisées.
- Améliorez la collaboration, la qualité et la responsabilité en affectant des tâches et des échéances.
- Gérez les escalades et les cas complexes en liant plusieurs incidents à un cas.
- Gérez l’accès à vos cas à l’aide de RBAC.
- Ajoutez des commentaires en texte enrichi pour fournir des liens, des tableaux et une mise en forme au journal d’activité.
- Chargez des pièces jointes pour stocker des fichiers tels que des documents, des csv et des fichiers zip chiffrés contenant des exemples de programmes malveillants.
- Gérez les cas dans plusieurs locataires via le portail de gestion multilocataire.
À mesure que nous nous appuyons sur cette base de la gestion des cas, nous hiérarchisons ces fonctionnalités robustes supplémentaires à mesure que nous faisons évoluer cette solution :
- Automation
- Preuve supplémentaire à ajouter
- Personnalisation du flux de travail
- Autres intégrations au portail Defender
Configuration requise
La gestion des cas est disponible dans le portail Defender et, pour l’utiliser, vous devez disposer d’un espace de travail Microsoft Sentinel connecté. Les cas sont accessibles uniquement à partir du portail Defender ; vous ne pouvez pas les voir dans le Portail Azure.
Pour plus d’informations, consultez Connecter Microsoft Sentinel au portail Defender.
Utilisez Defender XDR rôles RBAC unifiés ou Microsoft Sentinel pour accorder l’accès aux fonctionnalités de gestion des cas.
| Fonctionnalité de cas | Microsoft Defender RBAC unifié | Rôle Microsoft Sentinel |
|---|---|---|
| Afficher uniquement - file d’attente de cas - détails du cas - tâches - commentaires - audits de cas |
Opérations > de sécurité Notions de base sur les données de sécurité (lecture) | Lecteur Microsoft Sentinel |
| Créer et gérer - cas et tâches de cas - attribuer - mettre à jour status - lier et dissocier des incidents |
Alertes d’opérations > de sécurité (gérer) | Répondeur Microsoft Sentinel |
| Personnaliser les options de status cas | Autorisation et définition des > paramètres principaux de sécurité (gérer) | Contributeur Microsoft Sentinel |
Pour plus d’informations, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.
File d’attente de cas
Pour commencer à utiliser la gestion des cas, sélectionnez Cas dans le portail Defender pour accéder à la file d’attente des cas. Filtrez, triez ou recherchez vos cas pour trouver ce sur quoi vous devez vous concentrer.
Détails du cas
Chaque cas a une page qui permet aux analystes de gérer le cas et affiche des détails importants.
Dans l’exemple suivant, un chasseur de menaces étudie une attaque hypothétique de « creusement » qui se compose de plusieurs techniques MITRE ATT&CK® et d’indicateurs de compromission (IOC).
Gérez les détails de cas suivants pour décrire, hiérarchiser, attribuer et suivre le travail :
| Fonctionnalité de cas affiché | Gérer les options de cas | Valeur par défaut |
|---|---|---|
| Priority |
Very low, Low, Medium, High, Critical |
none |
| État | Défini par les analystes, personnalisable par les administrateurs | Les états par défaut sont New, Openet Closedla valeur par défaut est New |
| Affectée à | Un seul utilisateur dans le locataire | none |
| Description | Texte simple | none |
| Détails du cas | ID de cas | Les ID de cas commencent à 1000 et ne sont pas purgés. Utilisez des états et des filtres personnalisés pour archiver les cas. Les numéros de cas sont automatiquement définis. |
| Créé par Créé lors de la dernière mise à jour par Dernière mise à jour le |
définir automatiquement | |
| Due sur les incidents liés |
none |
Gérez davantage les cas en définissant des status personnalisées, en attribuant des tâches, en liant des incidents et en ajoutant des commentaires.
Personnaliser status
Concevez la gestion des cas pour répondre aux besoins de votre centre d’opérations de sécurité (SOC). Personnalisez les options de status disponibles pour vos équipes SecOps en fonction des processus que vous avez en place.
À la suite de l’exemple de création de cas d’attaque par creusement, les administrateurs SOC ont configuré des états permettant aux chasseurs de menaces de conserver un backlog de menaces pour le triage sur une base hebdomadaire. Les états personnalisés tels que Phase de recherche et Génération d’hypothèse correspondent au processus établi par cette équipe de repérage des menaces.
Tâches
Ajoutez des tâches pour gérer les composants granulaires de vos cas. Chaque tâche est fournie avec son propre nom, son status, sa priorité, son propriétaire et sa date d’échéance. Avec ces informations, vous savez toujours qui est responsable d’effectuer quelle tâche et à quelle heure. La description de la tâche résume le travail à effectuer et un espace pour décrire la progression. Les notes de clôture fournissent plus de contexte sur le résultat des tâches terminées.
Image montrant les états de tâche suivants disponibles : Nouveau, En cours, Échec, Partiellement terminé, Ignoré, Terminé
Objets de liaison
La liaison d’un cas à d’autres objets dans votre environnement permet à vos équipes SecOps de comprendre le contexte plus large d’une menace. Vous pouvez lier des cas à des incidents ou à des indicateurs de compromission (IoC).
Incidents de liaison
La liaison d’un cas et d’un incident aide vos équipes SecOps à collaborer sur la méthode qui leur convient le mieux. Par exemple, un chasseur de menaces qui détecte une activité malveillante crée un incident pour l’équipe de réponse aux incidents (IR). Ce chasseur de menaces lie l’incident à un cas. Il est donc clair qu’ils sont liés. À présent, l’équipe de runtime d’intégration comprend le contexte de la chasse qui a trouvé l’activité.
Sinon, si l’équipe du runtime d’intégration doit remonter un ou plusieurs incidents à l’équipe de chasse, elle peut créer un cas et lier les incidents à partir de la page Détails de l’incident d’enquête & réponse .
Indicateurs de liaison (préversion)
La liaison d’un cas à des indicateurs de compromission (ICS) pertinents aide vos équipes SecOps à comprendre le contexte plus large d’une menace.
Pour lier le cas à des E/S, accédez à l’onglet Objets liés dans la page Cas et sélectionnez Indicateurs. Ensuite, sélectionnez le bouton Ajouter et l’espace de travail dans lequel se trouve l’indicateur TI. Sélectionnez l’indicateur TI souhaité, puis cliquez sur Lien.
Vous pouvez également créer un cas et lier les indicateurs à partir de la page des détails des indicateurs de gestion Intel. Sélectionnez votre indicateur TI, puis cliquez sur Cas de liaison.
Journal d’activité
Vous avez besoin d’écrire des notes, ou cette logique de détection clé à transmettre ? Créez des commentaires en texte enrichi et passez en revue les événements d’audit dans le journal d’activité. Les commentaires sont l’endroit idéal pour ajouter rapidement des informations, notamment des éléments tels que des requêtes, des tables, des liens et du contenu structuré, à un cas.
Les événements d’audit sont automatiquement ajoutés au journal d’activité du cas et les derniers événements sont affichés en haut. Modifiez le filtre si vous devez vous concentrer sur les commentaires ou l’historique d’audit.
Pièces jointes
Partagez des rapports, des e-mails, des captures d’écran, des fichiers journaux et bien plus encore, le tout centralisé sous l’onglet Pièces jointes d’un cas. Veillez à disposer de toutes les informations nécessaires pour prendre des décisions rapides et précises dans vos enquêtes de sécurité.
Vous pouvez joindre jusqu’à 10 fichiers par commentaire.
Ajouter une pièce jointe à un cas
Pour ajouter des pièces jointes à votre cas, accédez à la page Détails du cas , sélectionnez l’onglet Pièces jointes , sélectionnez Charger, sélectionnez votre fichier et attendez que le chargement se termine. Une fois chargé, le fichier est analysé en arrière-plan à la recherche de logiciels malveillants. Une fois l’analyse terminée, toute personne ayant accès au cas peut télécharger le fichier. Si le fichier que vous souhaitez charger est en fait un exemple de programme malveillant, vous pouvez l’encapsuler dans un fichier ZIP protégé par mot de passe.
Ajouter une pièce jointe à un commentaire (préversion)
Pour ajouter une pièce jointe à un commentaire :
Accédez à la zone de commentaire de la page Cas .
Accédez à l’éditeur de texte en bas de l’écran, puis sélectionnez l’icône en forme de trombone pour joindre un fichier.
Sélectionnez le fichier que vous souhaitez joindre à partir de votre ordinateur.
Sélectionnez Envoyer pour enregistrer le commentaire.
- Pour joindre une capture d’écran à votre commentaire, collez-la dans l’éditeur de texte.
- Pour supprimer un fichier joint du commentaire, sélectionnez l’icône de compartiment tout en pointant dessus.
Supprimer la casse (préversion)
Pour supprimer un cas :
Ouvrez l’écran Cas, sélectionnez le cas que vous souhaitez supprimer, puis sélectionnez Supprimer.
Dans la fenêtre contextuelle, tapez supprimer , puis sélectionnez Confirmer.
Limitations
Consultez Limites de gestion de cas.