Megosztás a következőn keresztül:

Esetek natív kezelése a Microsoft egységes biztonsági üzemeltetési platformján

  • Cikk

Az esetkezelés a biztonsági feladatok kezelésére szolgáló új képességek első telepítése a Microsoft egységes biztonsági üzemeltetési (SecOps) platformjára való előkészítéskor.

Ez a kezdeti lépés az egységes, biztonságközpontú esetkezelési élmény felé, amely központosítja a gazdag együttműködést, a testreszabást, a bizonyítékok gyűjtését és a jelentéskészítést a SecOps számítási feladatokban. A SecOps-csapatok fenntartják a biztonsági környezetet, hatékonyabban dolgoznak, és gyorsabban reagálnak a támadásokra, amikor az esetkezelést a Defender portál elhagyása nélkül kezelik.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Mi az esetkezelés (előzetes verzió)?

Az esetkezelés lehetővé teszi a SecOps-esetek natív kezelését a Defender portálon. Íme a támogatott forgatókönyvek és funkciók kezdeti készlete.

  • Saját eset-munkafolyamat definiálása egyéni állapotértékekkel
  • Tevékenységek hozzárendelése közreműködőkhöz és határidők konfigurálása
  • Az eszkalációk és az összetett esetek kezelése több incidens esethez kapcsolásával
  • Az esetekhez való hozzáférés kezelése az RBAC használatával

Az esetkezelés ezen alaprendszerére alapozva a megoldás fejlesztése során ezeket a további robusztus képességeket rangsorolásra fogjuk:

  • Automatizálás
  • Több-bérlős támogatás
  • További bizonyíték hozzáadása
  • Munkafolyamat testreszabása
  • További Defender-portálintegrációk

Követelmények

Az esetkezelés elérhető a Defender portálon, és a használatához csatlakoztatva kell lennie egy Microsoft Sentinel munkaterületnek. A Azure Portal nem férnek hozzá az esetekhez.

További információ: Microsoft Sentinel csatlakoztatása a Defender portálhoz.

Használjon Defender XDR egyesített RBAC- vagy Microsoft Sentinel-szerepköröket az esetkezelési funkciókhoz való hozzáférés biztosításához.

Esetek funkció egyesített RBAC Microsoft Defender XDR Microsoft Sentinel szerepkör
Csak
az esetsor
megtekintése – eset részletei
– feladatok
– megjegyzések
– esetnaplók		 Biztonsági műveletek > – A biztonsági adatok alapjai (olvasás) Microsoft Sentinel Olvasó
Esetek és esetfeladatok
létrehozása és kezelése
– hozzárendelés
– állapotfrissítés
– kapcsolat és incidensek leválasztása		 Biztonsági műveletekre > vonatkozó riasztások (kezelés) Microsoft Sentinel válaszadó
Esetállapot beállításainak testreszabása Az alapvető biztonsági beállítások engedélyezése és beállítása > (kezelés) Microsoft Sentinel közreműködő

További információ: Microsoft Defender XDR Egyesített szerepköralapú hozzáférés-vezérlés (RBAC).

Esetsor

Az esetkezelés használatának megkezdéséhez válassza az Esetek lehetőséget a Defender portálon az esetsor eléréséhez. Szűrheti, rendezheti vagy keresheti az eseteket, hogy megtalálja, mire kell összpontosítania.

Képernyőkép az esetsorról.

Bérlőnként legfeljebb 100 000 eset engedélyezett.

Eset részletei

Minden esethez tartozik egy oldal, amelyen az elemzők kezelhetik az esetet, és fontos részleteket jelenítenek meg.

A következő példában egy fenyegetésvadász egy hipotetikus "burrowing" támadást vizsgál, amely több MITRE ATT&CK-technikából és IoC-ből áll.

Képernyőkép az eset részleteiről.

A következő esetadatokat kezelheti a munka leírásához, rangsorolásához, hozzárendeléséhez és nyomon követéséhez:

Kis- és nagybetűk megjelenítése funkció Esetbeállítások kezelése Alapértelmezett érték
Elsőbbség Very low, Low, Medium, High, Critical nincs
Állapot Elemzők által beállítható, rendszergazdák által testre szabható Az alapértelmezett állapotok a következők: New, Openés Closed
az alapértelmezett érték New
Hozzárendelve a Egyetlen felhasználó a bérlőben nincs
Leírás Egyszerű szöveg nincs
Eset részletei Esetazonosító Az esetazonosítók 1000-nél kezdődnek, és nem törlődnek. Egyéni állapotok és szűrők használatával archiválhatja az eseteket. A rendszer automatikusan beállítja az esetszámokat.
Létrehozta:
Létrehozás dátuma:
Utolsó frissítés,
utolsó frissítés dátuma:		 automatikus beállítás
Kapcsolódó incidensek miatt
esedékes		 nincs

Az esetek további kezelésére testre szabott állapotot állíthat be, feladatokat rendelhet hozzá, incidenseket kapcsolhat össze és megjegyzéseket adhat hozzá.

Állapot testreszabása

Az esetkezelést a biztonsági üzemeltetési központ (SOC) igényeinek megfelelően kell létrehozni. Szabja testre a SecOps-csapatok számára elérhető állapotbeállításokat, hogy megfeleljenek a már érvényben lévő folyamatoknak.

A burrowing attack case creation példát követve az SOC-rendszergazdák olyan állapotokat konfiguráltak, amelyek lehetővé teszik, hogy a veszélyforrás-vadászok heti rendszerességgel visszatarthassák a fenyegetések osztályozását. Az olyan egyéni állapotok, mint a Kutatási fázis és a Hipotézis létrehozása , megfelelnek ennek a veszélyforrás-keresési csapatnak a létrehozott folyamatának.

Képernyőkép az alapértelmezett állapotbeállításokról és a testre szabott állapotokról.

Feladatok

Adjon hozzá feladatokat az esetek részletes összetevőinek kezeléséhez. Minden tevékenység saját nevet, állapotot, prioritást, tulajdonost és határidőt tartalmaz. Ezzel az információval mindig tudja, hogy ki és milyen idő alatt végezheti el a feladatokat. A tevékenység leírása összefoglalja a feladatokat, és némi helyet ad a folyamat leírásának. A záró megjegyzések további kontextust nyújtanak a befejezett tevékenységek eredményéről.

Képernyőkép a munkaablakról az esethez és az elérhető állapotokhoz kitöltött feladatokkal.
A képen a következő elérhető tevékenységállapotok láthatók: Új, Folyamatban, Sikertelen, Részben befejezve, Kihagyva, Befejezve

Egy eset és egy incidens összekapcsolásával a SecOps-csapatok együttműködhetnek a számukra legmegfelelőbb módszerrel. Egy rosszindulatú tevékenységet megtaláló fenyegetésvadász például incidenst hoz létre az incidensmegoldási (IR) csapat számára. Ez a fenyegetésvadász egy esethez kapcsolja az incidenst, így egyértelmű, hogy kapcsolatban állnak egymással. Az integrációs modul csapata most már ismeri a tevékenységet megtaláló vadászat kontextusát.

Képernyőkép a feltételezett burrowing támadási esethez kapcsolódó incidensekről.

Ha az integrációs modul csapatának egy vagy több incidenst kell eszkalálnia a veszélyforrás-keresési csapatnak, létrehozhat egy esetet, és összekapcsolhatja az incidenseket a Vizsgálat & válasz incidens részletei oldalon.

Képernyőkép az incidens nézetben található három pont menü incidenshivatkozási lehetőségéről.

Minden eset küszöbértéke 100 kapcsolódó incidens.

Tevékenységnapló

Fel kell írnia a jegyzeteket vagy a kulcsészlelési logikát, hogy továbbadja? Egyszerű szöveges megjegyzések létrehozása és a naplózási események áttekintése a tevékenységnaplóban. A megjegyzések kiválóan alkalmasak arra, hogy gyorsan információkat adjanak egy esethez.

Az elemzők közötti kötetlen megjegyzéseket ábrázoló képernyőkép.

A naplóesemények automatikusan bekerülnek az eset tevékenységnaplójába, és felül megjelennek a legújabb események. Módosítsa a szűrőt, ha a megjegyzésekre vagy a naplózási előzményekre kell összpontosítania.

Kapcsolódó tartalom