Del via

Administrer sager oprindeligt i Microsofts samlede platform til sikkerhedshandlinger

  • Artikel

Sagsstyring er den første rate af nye funktioner til administration af sikkerhedsarbejde, når du onboarder til Microsofts SecOps-platform (Unified Security Operations).

Dette indledende skridt mod levering af en samlet, sikkerhedsfokuseret sagsstyringsoplevelse centraliserer omfattende samarbejde, tilpasning, indsamling af beviser og rapportering på tværs af SecOps-arbejdsbelastninger. SecOps-teams bevarer sikkerhedskontekst, arbejder mere effektivt og reagerer hurtigere på angreb, når de administrerer sagsarbejde uden at forlade Defender-portalen.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Hvad er sagsstyring (prøveversion)?

Sagsstyring giver dig mulighed for at administrere SecOps-sager oprindeligt på Defender-portalen. Her er det første sæt scenarier og funktioner, der understøttes.

  • Definer din egen sagsarbejdsproces med brugerdefinerede statusværdier
  • Tildel opgaver til samarbejdspartnere, og konfigurer forfaldsdatoer
  • Håndter eskaleringer og komplekse sager ved at sammenkæde flere hændelser med en sag
  • Administrer adgang til dine sager ved hjælp af RBAC

I takt med at vi bygger videre på dette grundlag for sagsstyring, prioriterer vi disse yderligere robuste funktioner, efterhånden som vi udvikler denne løsning:

  • Automatisering
  • Understøttelse af flere lejere
  • Flere beviser, der skal tilføjes
  • Tilpasning af arbejdsproces
  • Flere Integrationer af Defender-portalen

Forudsætninger

Sagsstyring er tilgængelig på Defender-portalen, og hvis du vil bruge den, skal du have et Microsoft Sentinel arbejdsområde forbundet. Der er ingen adgang til sager fra Azure Portal.

Du kan få flere oplysninger under Opret forbindelse Microsoft Sentinel til Defender-portalen.

Brug Defender XDR unified RBAC eller Microsoft Sentinel roller til at give adgang til funktioner til sagsstyring.

Sagsfunktion Microsoft Defender XDR Unified RBAC Microsoft Sentinel rolle
Vis kun
- sagskø
- sagsdetaljer
- opgaver
- kommentarer
- sagsovervågninger		 Sikkerhedshandlinger > Grundlæggende oplysninger om sikkerhed (læs) Microsoft Sentinel Læser
Opret og administrer
– sager og sagsopgaver
– tildel
- opdater status
– link og fjern sammenkædning af hændelser		 Vigtige sikkerhedshandlinger > (administrer) Microsoft Sentinel responder
Tilpas indstillinger for sagsstatus Godkendelse og angivelse af > kernesikkerhedsindstillinger (administrer) Microsoft Sentinel bidragyder

Du kan få flere oplysninger under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

Sagskø

Hvis du vil bruge sagsstyring, skal du vælge Sager på Defender-portalen for at få adgang til sagskøen. Filtrer, sortér eller søg i dine sager for at finde det, du skal fokusere på.

Skærmbillede af sagskø.

Det maksimalt tilladte pr. lejer er 100.000 sager.

Sagsdetaljer

Hver sag har en side, der giver analytikere mulighed for at administrere sagen og viser vigtige oplysninger.

I følgende eksempel undersøger en trusselsjæger et hypotetisk "Burrowing"-angreb, der består af flere MITRE ATT-&CK-teknikker og IoCs.

Skærmbillede af sagsdetaljer.

Administrer følgende sagsdetaljer for at beskrive, prioritere, tildele og spore arbejde:

Funktion til visning af sag Administrer indstillinger for sag Standardværdi
Prioritet Very low, Low, Medium, High, Critical ingen
Status Indstillet af analytikere og kan tilpasses af administratorer Standardstatusserne er New, Open, og Closed
standardværdien er New
Tildelt til En enkelt bruger i lejeren ingen
Beskrivelse Almindelig tekst ingen
Sagsdetaljer Sags-id Sags-id'er starter kl. 1000 og fjernes ikke. Brug brugerdefinerede statusser og filtre til at arkivere sager. Sagsnummer angives automatisk.
Oprettet af
Oprettet
den Senest opdateret af
Senest opdateret den		 indstilles automatisk
Forfalder ved
linkede hændelser		 ingen

Administrer sager yderligere ved at angive tilpasset status, tildele opgaver, sammenkæde hændelser og tilføje kommentarer.

Tilpas status

Administration af arkitektcases, der passer til behovene i dit SOC (Security Operations Center). Tilpas de statusindstillinger, der er tilgængelige for dine SecOps-teams, så de passer til de processer, du har på plads.

Efter eksemplet med oprettelse af et brolagt angrebseksempel konfigurerede SOC-administratorer statusser, der gør det muligt for trusselsjægere at holde styr på trusler for sortering ugentligt. Brugerdefinerede statusser som f.eks. forskningsfase og genererings hypotese stemmer overens med dette trusselsjagtteams etablerede proces.

Skærmbillede, der viser standardstatusindstillinger og tilpassede statusser.

Opgaver

Tilføj opgaver for at administrere detaljerede komponenter i dine sager. Hver opgave leveres med sit eget navn, sin egen status, prioritet, ejer og forfaldsdato. Med disse oplysninger ved du altid, hvem der er ansvarlig for at udføre hvilken opgave og hvornår. Opgavebeskrivelsen opsummerer det arbejde, der skal udføres, og lidt plads til at beskrive statussen. Slutnoter giver mere kontekst om resultatet af fuldførte opgaver.

Skærmbillede, der viser opgaveruden med opgaver, der er udfyldt for sagen, og statusser, der er tilgængelige.
Billede, der viser følgende tilgængelige opgavestatusser: Ny, I gang, Mislykket, Delvist fuldført, Sprunget over, Fuldført

Sammenkædning af en sag og en hændelse hjælper dine SecOps-teams med at samarbejde om den metode, der fungerer bedst for dem. En trusselsjæger, der finder skadelig aktivitet, opretter f.eks. en hændelse for teamet for svar på hændelser (IR). Den trusselsjæger knytter hændelsen til en sag, så det er tydeligt, at de er relateret til hinanden. Nu forstår IR-teamet konteksten for den jagt, der fandt aktiviteten.

Skærmbillede, der viser sammenkædede hændelser for den hypotetiske burrowing-angrebssag.

Hvis IR-teamet har brug for at eskalere en eller flere hændelser til jagtteamet, kan de oprette en sag og linke hændelserne fra siden Med undersøgelse & oplysninger om svarhændelse .

Skærmbillede, der viser indstillingen for linkhændelse fra menuen med de tre prikker i hændelsesvisningen.

Hver sag har en grænse på 100 sammenkædede hændelser.

Aktivitetslog

Har du brug for at skrive noter ned, eller skal den pågældende logik til registrering af nøgler overføres? Opret kommentarer i almindelig tekst, og gennemse overvågningshændelserne i aktivitetsloggen. Kommentarer er et godt sted til hurtigt at føje oplysninger til en sag.

Skærmbillede, der viser uformelle kommentarer mellem analytikere.

Overvågningshændelser føjes automatisk til aktivitetsloggen for sagen, og de seneste hændelser vises øverst. Rediger filteret, hvis du har brug for at fokusere på kommentarer eller overvågningshistorik.

Relateret indhold