Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Microsoft Defender gestão de casos é uma coleção de funcionalidades e capacidades que proporciona uma experiência de gestão de casos unificada e focada na segurança. Esta experiência foi concebida para gerir operações de segurança unificadas no portal do Microsoft Defender, sem a necessidade de ferramentas de terceiros. As equipas de operações de segurança mantêm o contexto de segurança, trabalham de forma mais eficiente e respondem mais rapidamente aos ataques quando gerem o trabalho de casos sem sair do portal do Defender.
A fase introdutória atual da implementação da gestão de casos centraliza a colaboração avançada, a personalização, a recolha de provas e os relatórios em cargas de trabalho secOps.
O que é a gestão de casos?
A gestão de casos permite-lhe gerir casos SecOps nativamente no portal do Defender. Mesmo nas fases iniciais, as equipas do SecOps estão a demonstrar os seguintes casos de utilização para a gestão de casos:
Responder a eventos de segurança que abrangem vários incidentes.
Gerir a investigação de ameaças.
Controlar IoCs e atores de ameaças.
Controlar a lógica de deteção que precisa de ser otimizada.
As seguintes funcionalidades e capacidades específicas suportam estes cenários e casos de utilização:
- Crie e controle os seus casos relacionados com o SecOps num único local com a nova página Casos .
- Defina o seu próprio fluxo de trabalho de caso ao configurar valores de estado personalizados.
- Melhore a colaboração, a qualidade e a responsabilidade ao atribuir tarefas e datas para conclusão.
- Processe escalamentos e casos complexos ao associar vários incidentes a um caso.
- Gerir o acesso aos seus casos com o RBAC.
- Adicione comentários em texto formatado para fornecer ligações, tabelas e formatação ao registo de atividades.
- Carregue anexos para armazenar ficheiros como documentos, CSVs e ficheiros zip encriptados que contenham exemplos de software maligno.
- Gerir casos em vários inquilinos através do portal de gestão multi-inquilino.
À medida que criamos esta base da gestão de casos, estamos a dar prioridade a estas capacidades robustas adicionais à medida que desenvolvemos esta solução:
- Automatização
- Mais provas a adicionar
- Personalização do fluxo de trabalho
- Mais integrações do portal do Defender
Requisitos
A gestão de casos está disponível no portal do Defender e, para utilizá-la, tem de ter uma área de trabalho do Microsoft Sentinel ligada. Os casos só estão acessíveis a partir do portal do Defender; não pode vê-los no portal do Azure.
Para obter mais informações, veja Ligar o Microsoft Sentinel ao portal do Defender.
Utilize Defender XDR funções unificadas do RBAC ou do Microsoft Sentinel para conceder acesso a funcionalidades de gestão de casos.
| Funcionalidade De casos | MICROSOFT DEFENDER RBAC Unificado | Função do Microsoft Sentinel |
|---|---|---|
| Ver apenas – fila de casos – detalhes do caso – tarefas – comentários – auditorias de casos |
Noções básicas de dados de segurança (leitura) das operações > de segurança | Leitor do Microsoft Sentinel |
| Criar e Gerir – casos e tarefas de casos – atribuir – atualizar estado – ligação e desassociar incidentes |
Alertas de operações > de segurança (gerir) | Microsoft Sentinel Responder |
| Personalizar opções de estado de casos | Autorização e definição > das definições de Segurança Principal (gerir) | Contribuidor do Microsoft Sentinel |
Para obter mais informações, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.
Fila de maiúsculas/
Para começar a utilizar a gestão de casos, selecione Casos no portal do Defender para aceder à fila de casos. Filtre, ordene ou pesquise os seus casos para encontrar aquilo em que precisa de se concentrar.
Detalhes do caso
Cada caso tem uma página que permite aos analistas gerir o caso e apresenta detalhes importantes.
No exemplo seguinte, um caçador de ameaças está a investigar um hipotético ataque "Burrowing" que consiste em múltiplas técnicas MITRE ATT&CK® e indicadores de compromisso (IoCs).
Faça a gestão dos seguintes detalhes do caso para descrever, atribuir prioridades, atribuir e controlar o trabalho:
| Funcionalidade de maiúsculas/minúsculas apresentada | Gerir opções de casos | Valor predefinido |
|---|---|---|
| Priority |
Very low, Low, Medium, High, Critical |
nenhum |
| Estado | Definido por analistas, personalizável por administradores | Os estados predefinidos são New, Opene Closedo valor Predefinido é New |
| Atribuído a | Um único utilizador no inquilino | nenhum |
| Descrição | Texto simples | nenhum |
| Detalhes do caso | ID do Caso | Os IDs dos casos começam em 1000 e não são removidos. Utilize os estados e filtros personalizados para arquivar casos. Os números de maiúsculas e minúsculas são definidos automaticamente. |
| Criado por Criado na Última atualização por Última atualização em |
definir automaticamente | |
| Due on Linked incidents (Devido a incidentes ligados) |
nenhum |
Faça a gestão dos casos ao definir o estado personalizado, atribuir tarefas, ligar incidentes e adicionar comentários.
Personalizar estado
Arquitetar a gestão de casos de acordo com as necessidades do seu centro de operações de segurança (SOC). Personalize as opções de estado disponíveis para as suas equipas do SecOps para se ajustarem aos processos que tem em vigor.
Seguindo o exemplo de criação de casos de ataque, os administradores do SOC configuraram estados que permitem aos caçadores de ameaças manter um registo de ameaças de triagem semanalmente. Os estados personalizados, como a Fase de investigação e a opção Gerar hipótese, correspondem ao processo estabelecido desta equipa de investigação de ameaças.
Tarefas
Adicione tarefas para gerir componentes granulares dos seus casos. Cada tarefa inclui o seu próprio nome, estado, prioridade, proprietário e data para conclusão. Com estas informações, sabe sempre quem é responsável por concluir que tarefa e a que horas. A descrição da tarefa resume o trabalho a fazer e algum espaço para descrever o progresso. As notas de fecho fornecem mais contexto sobre o resultado das tarefas concluídas.
Imagem a mostrar os seguintes estados de tarefa disponíveis: Novo, Em curso, Com Falhas, Parcialmente concluído, Ignorado, Concluído
Ligar objetos
Ligar um caso a outros objetos no seu ambiente ajuda as suas equipas secOps a compreender o contexto mais amplo de uma ameaça. Pode ligar casos a incidentes ou indicadores de comprometimento (IoCs).
Incidentes de ligação
Associar um caso e um incidente ajuda as suas equipas do SecOps a colaborar no método que funciona melhor para eles. Por exemplo, um caçador de ameaças que encontra atividades maliciosas cria um incidente para a equipa de resposta a incidentes (IR). O caçador de ameaças liga o incidente a um caso, por isso é claro que estão relacionados. Agora, a equipa de IR compreende o contexto da caça que encontrou a atividade.
Em alternativa, se a equipa de IR precisar de escalar um ou mais incidentes para a equipa de investigação, pode criar um caso e ligar os incidentes a partir da página Detalhes do incidente de resposta & investigação .
Indicadores de ligação (pré-visualização)
Associar um caso a indicadores relevantes de compromisso (IOCs) ajuda as suas equipas do SecOps a compreender o contexto mais amplo de uma ameaça.
Para ligar o caso a IOCs, aceda ao separador Objetos Ligados na página Caso e selecione Indicadores. Em seguida, selecione o botão Adicionar e a área de trabalho onde se encontra o Indicador TI. Selecione o Indicador TI pretendido e clique em Ligação.
Em alternativa, pode criar um caso e ligar os indicadores a partir da página de detalhes dos indicadores de gestão da Intel. Selecione o indicador ti e, em seguida, em Casos de Ligação.
Registo de atividades
Precisa de anotar notas ou essa lógica de deteção de chaves para transmitir? Crie comentários em texto formatado e reveja os eventos de auditoria no registo de atividades. Os comentários são um ótimo local para adicionar rapidamente informações( incluindo consultas, tabelas, ligações e conteúdo estruturado) a um caso.
Os eventos de auditoria são automaticamente adicionados ao registo de atividades do caso e os eventos mais recentes são apresentados na parte superior. Altere o filtro se precisar de se concentrar nos comentários ou no histórico de auditorias.
Anexos
Partilhe relatórios, e-mails, capturas de ecrã, ficheiros de registo e muito mais, todos centralizados no separador Anexos de um caso. Certifique-se de que tem todas as informações necessárias para tomar decisões rápidas e precisas nas suas investigações de segurança.
Pode anexar até 10 ficheiros por comentário.
Adicionar anexo a um caso
Para adicionar anexos ao seu caso, aceda à página Detalhes do caso, selecione o separador Anexos , selecione Carregar, selecione o seu ficheiro e aguarde que o carregamento seja concluído. Depois de carregado, o ficheiro é analisado em segundo plano quanto a software maligno. Quando a análise estiver concluída, qualquer pessoa com acesso ao caso pode transferir o ficheiro. Se o ficheiro que pretende carregar for, na verdade, um exemplo de software maligno, pode encapsula-lo num ficheiro ZIP protegido por palavra-passe.
Adicionar anexo a um comentário (pré-visualização)
Para adicionar um anexo a um comentário:
Aceda à área de comentários da página Caso .
Aceda ao editor de texto na parte inferior do ecrã e selecione o ícone de clipe de papel para anexar um ficheiro.
Selecione o ficheiro que pretende anexar a partir do seu computador.
Selecione Enviar para guardar o comentário.
- Para anexar uma captura de ecrã ao seu comentário, cole-a no editor de texto.
- Para eliminar um ficheiro anexado do comentário, selecione o ícone de discretização enquanto paira o cursor sobre o mesmo.
Eliminar Caso (pré-visualização)
Para eliminar um caso:
Abra o ecrã Casos, selecione o caso que pretende remover e selecione Eliminar.
Na janela de pop-up, escreva eliminar e, em seguida, selecione Confirmar.
Limitações
Veja Limites de gestão de casos.