Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender zarządzania przypadkami to zbiór funkcji i możliwości zapewniających ujednolicone, skoncentrowane na zabezpieczeniach środowisko zarządzania przypadkami. To środowisko jest przeznaczone do zarządzania ujednoliconymi operacjami zabezpieczeń w portalu Microsoft Defender bez konieczności używania narzędzi innych firm. Zespoły ds. operacji zabezpieczeń zachowują kontekst zabezpieczeń, działają wydajniej i szybciej reagują na ataki, gdy zarządzają sprawami bez opuszczania portalu usługi Defender.
Bieżąca faza wprowadzająca wdrożenia zarządzania przypadkami scentralizuje rozbudowaną współpracę, dostosowywanie, zbieranie dowodów i raportowanie w obciążeniach SecOps.
Co to jest zarządzanie przypadkami?
Zarządzanie przypadkami umożliwia natywne zarządzanie przypadkami SecOps w portalu usługi Defender. Nawet na początkowych etapach zespoły SecOps demonstrują następujące przypadki użycia do zarządzania przypadkami:
Reagowanie na zdarzenia zabezpieczeń obejmujące wiele zdarzeń.
Zarządzanie wyszukiwaniem zagrożeń.
Śledzenie IoCs i podmiotów zagrożeń.
Logika wykrywania śledzenia wymagająca dostrajania.
Następujące konkretne możliwości i funkcje obsługują te przypadki użycia i scenariusze:
- Utwórz i śledź sprawy związane z usługą SecOps w jednym miejscu przy użyciu nowej strony Cases( Przypadki ).
- Zdefiniuj przepływ pracy własnego przypadku, konfigurując niestandardowe wartości stanu.
- Popraw współpracę, jakość i odpowiedzialność, przypisując zadania i terminy ukończenia.
- Obsługa eskalacji i złożonych przypadków przez połączenie wielu zdarzeń ze sprawą.
- Zarządzanie dostępem do spraw przy użyciu kontroli dostępu opartej na rolach.
- Dodaj komentarze sformatowany, aby udostępnić linki, tabele i formatowanie do dziennika aktywności.
- Przekaż załączniki do przechowywania plików, takich jak dokumenty, woluminy CSV i zaszyfrowane pliki zip zawierające przykłady złośliwego oprogramowania.
- Zarządzanie przypadkami w wielu dzierżawach za pośrednictwem wielodostępnych portalów zarządzania.
Bazując na tym fundamencie zarządzania przypadkami, priorytetyzujemy te dodatkowe niezawodne możliwości w miarę rozwoju tego rozwiązania:
- Automatyzacja
- Więcej dowodów do dodania
- Dostosowywanie przepływu pracy
- Więcej integracji z portalem usługi Defender
Wymagania
Zarządzanie przypadkami jest dostępne w portalu usługi Defender i aby z niego korzystać, musisz mieć połączony obszar roboczy usługi Microsoft Sentinel. Przypadki są dostępne tylko z poziomu portalu usługi Defender; nie widać ich w Azure Portal.
Aby uzyskać więcej informacji, zobacz Łączenie usługi Microsoft Sentinel z portalem usługi Defender.
Użyj Defender XDR ujednoliconych ról RBAC lub Microsoft Sentinel, aby udzielić dostępu do funkcji zarządzania przypadkami.
| Funkcja Cases | Microsoft Defender ujednoliconej kontroli dostępu opartej na rolach | Rola usługi Microsoft Sentinel |
|---|---|---|
| Wyświetlanie tylko — kolejka przypadków — szczegóły sprawy — zadania — komentarze — inspekcje przypadków |
Operacje > zabezpieczeń — podstawy danych zabezpieczeń (odczyt) | Czytelnik usługi Microsoft Sentinel |
| Tworzenie i zarządzanie — zadania spraw i spraw — przypisywanie — aktualizowanie stanu — link i odłączanie zdarzeń |
Alerty operacji > zabezpieczeń (zarządzanie) | Osoba odpowiadająca w usłudze Microsoft Sentinel |
| Dostosowywanie opcji stanu sprawy | Autoryzacja i ustawianie > ustawień zabezpieczeń podstawowych (zarządzanie) | Współautor usługi Microsoft Sentinel |
Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC).
Kolejka przypadków
Aby rozpocząć korzystanie z zarządzania przypadkami, wybierz pozycję Przypadki w portalu usługi Defender, aby uzyskać dostęp do kolejki przypadków. Filtruj, sortuj lub przeszukuj przypadki, aby znaleźć elementy, na których należy się skupić.
Szczegóły sprawy
Każdy przypadek ma stronę, która umożliwia analitykom zarządzanie sprawą i wyświetlanie ważnych szczegółów.
W poniższym przykładzie łowca zagrożeń bada hipotetyczny atak typu "Burrowing", który składa się z wielu technik IoC (MITRE ATT)&CK® i wskaźników naruszenia zabezpieczeń ( IoCs).
Zarządzaj następującymi szczegółami sprawy, aby opisywać, ustalać priorytety, przypisywać i śledzić pracę:
| Wyświetlana funkcja przypadku | Zarządzanie opcjami wielkości liter | Wartość domyślna |
|---|---|---|
| Priority (Priorytet) |
Very low, Low, Medium, High, Critical |
brak |
| Stan | Ustawiane przez analityków, dostosowywalne przez administratorów | Domyślne stany to New, Openi Closedwartość domyślna to New |
| Przypisane do | Pojedynczy użytkownik w dzierżawie | brak |
| Opis | Zwykły tekst | brak |
| Szczegóły sprawy | Identyfikator przypadku | Identyfikatory przypadków zaczynają się od 1000 i nie są usuwane. Użyj niestandardowych stanów i filtrów do archiwizowania przypadków. Numery przypadków są ustawiane automatycznie. |
| Utworzone przez utworzone w dniu ostatniej aktualizacji przez ostatnią aktualizację |
automatycznie ustawiane | |
| Z powodu połączonych zdarzeń |
brak |
Dalej zarządzaj sprawami, ustawiając dostosowany stan, przypisując zadania, łącząc zdarzenia i dodając komentarze.
Dostosowywanie stanu
Projektowanie zarządzania przypadkami w celu dopasowania do potrzeb centrum operacji zabezpieczeń (SOC). Dostosuj opcje stanu dostępne dla zespołów SecOps, aby dopasować dostępne procesy.
Po przykładzie tworzenia przypadków ataku zakopywania administratorzy SOC skonfigurowali stany umożliwiające łowcom zagrożeń przechowywanie listy prac zagrożeń na potrzeby klasyfikacji co tydzień. Niestandardowe stany, takie jak faza badań i hipoteza generowania , są zgodne z ustalonym procesem tego zespołu zajmującego się wyszukiwaniem zagrożeń.
Zadania
Dodaj zadania do zarządzania szczegółowymi składnikami przypadków. Każde zadanie ma własną nazwę, stan, priorytet, właściciela i datę ukończenia. Dzięki tym informacjom zawsze wiesz, kto jest odpowiedzialny za wykonanie którego zadania i o której godzinie. Opis zadania podsumowuje pracę do wykonania i trochę miejsca do opisywania postępu. Informacje końcowe zawierają więcej kontekstu dotyczącego wyniku wykonanych zadań.
Obraz przedstawia następujące dostępne stany zadań: Nowy, W toku, Niepowodzenie, Częściowo ukończone, Pominięte, Ukończone
Łączenie obiektów
Połączenie przypadku z innymi obiektami w środowisku pomaga zespołom SecOps zrozumieć szerszy kontekst zagrożenia. Przypadki można łączyć ze zdarzeniami lub wskaźnikami naruszenia zabezpieczeń (IoCs).
Łączenie zdarzeń
Łączenie przypadku i zdarzenia pomaga zespołom SecOps współpracować w metodzie, która działa najlepiej dla nich. Na przykład łowca zagrożeń, który znajduje złośliwe działanie, tworzy zdarzenie dla zespołu reagowania na zdarzenia (IR). Ten łowca zagrożeń łączy incydent ze sprawą, więc jest jasne, że są one ze sobą powiązane. Teraz zespół środowiska IR rozumie kontekst polowania, które wykryło działanie.
Alternatywnie, jeśli zespół środowiska IR musi eskalować co najmniej jedno zdarzenie do zespołu wyszukiwania zagrożeń, może utworzyć przypadek i połączyć zdarzenia ze strony Szczegóły zdarzenia & reagowania na zdarzenia.
Wskaźniki linku (wersja zapoznawcza)
Połączenie przypadku z odpowiednimi wskaźnikami naruszenia zabezpieczeń (IOCs) pomaga zespołom SecOps zrozumieć szerszy kontekst zagrożenia.
Aby połączyć sprawę z IOCs, przejdź do karty Połączone obiekty na stronie Case (Przypadek) i wybierz pozycję Wskaźniki. Następnie wybierz przycisk Dodaj i obszar roboczy, w który znajduje się wskaźnik TI. Wybierz żądany wskaźnik TI i kliknij pozycję Link.
Alternatywnie możesz utworzyć przypadek i połączyć wskaźniki ze strony szczegółów wskaźników zarządzania firmy Intel. Wybierz wskaźnik TI, a następnie pozycję Połącz przypadki.
Dziennik aktywności
Chcesz zapisać notatki lub tę logikę wykrywania klucza, aby przekazać? Utwórz sformatowany tekst komentarzy i przejrzyj zdarzenia inspekcji w dzienniku aktywności. Komentarze są doskonałym miejscem do szybkiego dodawania do sprawy informacji, takich jak zapytania, tabele, linki i zawartość strukturalna.
Zdarzenia inspekcji są automatycznie dodawane do dziennika aktywności sprawy, a najnowsze zdarzenia są wyświetlane u góry. Zmień filtr, jeśli chcesz skupić się na komentarzach lub historii inspekcji.
Załączniki
Udostępnianie raportów, wiadomości e-mail, zrzutów ekranu, plików dziennika i innych elementów scentralizowanych na karcie Załączniki w przypadku. Upewnij się, że masz wszystkie informacje niezbędne do szybkiego i dokładnego podejmowania decyzji w badaniach bezpieczeństwa.
Możesz dołączyć maksymalnie 10 plików na komentarz.
Dodawanie załącznika do sprawy
Aby dodać załączniki do sprawy, przejdź do strony Szczegóły sprawy , wybierz kartę Załączniki , wybierz pozycję Przekaż, wybierz plik i poczekaj na ukończenie przekazywania. Po przekazaniu plik jest skanowany w tle pod kątem złośliwego oprogramowania. Po zakończeniu skanowania każda osoba mająca dostęp do sprawy może pobrać plik. Jeśli plik, który chcesz przekazać, jest w rzeczywistości przykładem złośliwego oprogramowania, możesz owinąć go w chroniony hasłem plik ZIP.
Dodawanie załącznika do komentarza (wersja zapoznawcza)
Aby dodać załącznik do komentarza:
Przejdź do obszaru komentarzy na stronie Przypadek .
Przejdź do edytora tekstów w dolnej części ekranu i wybierz ikonę spinacza do papieru, aby dołączyć plik.
Wybierz plik, który chcesz dołączyć z komputera.
Wybierz pozycję Wyślij , aby zapisać komentarz.
- Aby dołączyć zrzut ekranu do komentarza, wklej go w edytorze tekstów.
- Aby usunąć dołączony plik z komentarza, wybierz ikonę pojemnika, kursorując nad nim.
Usuń przypadek (wersja zapoznawcza)
Aby usunąć przypadek:
Otwórz ekran Sprawy, wybierz przypadek, który chcesz usunąć, a następnie wybierz pozycję Usuń.
W oknie podręcznym wpisz usuń , a następnie wybierz pozycję Potwierdź.
Ograniczenia
Zobacz Limity zarządzania przypadkami.