Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender gestione dei casi è una raccolta di funzionalità e funzionalità che offrono un'esperienza unificata di gestione dei casi incentrata sulla sicurezza. Questa esperienza è progettata per la gestione delle operazioni di sicurezza unificata in modo nativo nel portale di Microsoft Defender, senza la necessità di strumenti di terze parti. I team delle operazioni di sicurezza mantengono il contesto di sicurezza, lavorano in modo più efficiente e rispondono più velocemente agli attacchi quando gestiscono il case work senza uscire dal portale di Defender.
La fase introduttiva corrente dell'implementazione della gestione dei casi centralizza la collaborazione avanzata, la personalizzazione, la raccolta di prove e la creazione di report nei carichi di lavoro SecOps.
Che cos'è la gestione dei casi?
La gestione dei casi consente di gestire i casi SecOps in modo nativo nel portale di Defender. Anche nelle fasi iniziali, i team SecOps illustrano i casi d'uso seguenti per la gestione dei casi:
Risposta agli eventi di sicurezza che si estendono su più eventi imprevisti.
Gestione della ricerca delle minacce.
Rilevamento di IoC e attori delle minacce.
Logica di rilevamento del rilevamento che richiede l'ottimizzazione.
Le funzionalità e le funzionalità specifiche seguenti supportano questi casi d'uso e scenari:
- Creare e tenere traccia dei casi correlati secOps in un'unica posizione con la nuova pagina Case .
- Definire il flusso di lavoro del caso configurando valori di stato personalizzati.
- Migliorare collaborazione, qualità e responsabilità assegnando attività e date di scadenza.
- Gestire escalation e casi complessi collegando più eventi imprevisti a un caso.
- Gestire l'accesso ai casi usando il controllo degli accessi in base al ruolo.
- Aggiungere commenti RTF per fornire collegamenti, tabelle e formattazione al log attività.
- Caricare allegati per archiviare file come documenti, CSV e file ZIP crittografati contenenti esempi di malware.
- Gestire i casi in più tenant tramite il portale di gestione multi-tenant.
Man mano che ci basiamo su questa base della gestione dei casi, diamo priorità a queste funzionalità aggiuntive e affidabili man mano che si evolve questa soluzione:
- Automazione
- Altre prove da aggiungere
- Personalizzazione del flusso di lavoro
- Altre integrazioni del portale di Defender
Requisiti
La gestione dei casi è disponibile nel portale di Defender e per usarla è necessario disporre di un'area di lavoro Microsoft Sentinel connessa. I casi sono accessibili solo dal portale di Defender; non è possibile vederli nella portale di Azure.
Per altre informazioni, vedere Connettere Microsoft Sentinel al portale di Defender.
Usare Defender XDR ruolo di controllo degli accessi in base al ruolo unificato o Microsoft Sentinel per concedere l'accesso alle funzionalità di gestione dei casi.
| Funzionalità Case | controllo degli accessi in base al ruolo unificato Microsoft Defender | ruolo Microsoft Sentinel |
|---|---|---|
| Visualizzare solo - coda dei casi- dettagli del caso- attività - commenti - controlli del caso |
Operazioni > di sicurezza Nozioni di base sulla sicurezza (lettura) | lettore Microsoft Sentinel |
| Creare e gestire - case e attività case- assign - update status - link and unlink incidents |
Avvisi delle operazioni > di sicurezza (gestione) | risponditore Microsoft Sentinel |
| Personalizzare le opzioni di stato del case | Autorizzazione e impostazione delle > impostazioni di sicurezza di base (gestione) | Collaboratore Microsoft Sentinel |
Per altre informazioni, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.
Coda di maiuscole e minuscole
Per iniziare a usare la gestione dei casi , selezionare Case nel portale di Defender per accedere alla coda dei casi. Filtrare, ordinare o cercare i casi per trovare gli elementi su cui concentrarsi.
Dettagli del caso
Ogni caso ha una pagina che consente agli analisti di gestire il caso e visualizza dettagli importanti.
Nell'esempio seguente, un cacciatore di minacce sta analizzando un ipotetico attacco "Burrowing" costituito da più tecniche MITRE ATT&CK® e indicatori di compromissione (IoC).
Gestire i dettagli del caso seguenti per descrivere, assegnare priorità, assegnare e tenere traccia del lavoro:
| Funzionalità maiuscole/minuscole visualizzata | Gestire le opzioni del caso | Valore predefinito |
|---|---|---|
| Priorità |
Very low, Low, Medium, High, Critical |
nessuno |
| Stato | Impostato dagli analisti, personalizzabile dagli amministratori | Gli stati predefiniti sono New, Opene ClosedIl valore predefinito è New |
| Assegnata a | Un singolo utente nel tenant | nessuno |
| Descrizione | Testo normale | nessuno |
| Dettagli del caso | ID caso | Gli ID case iniziano da 1000 e non vengono eliminati. Usare gli stati e i filtri personalizzati per archiviare i casi. I numeri di case vengono impostati automaticamente. |
| Creato da Creato l'ultimo aggiornamento da Ultimo aggiornamento in |
impostare automaticamente | |
| Causa di eventi imprevisti collegati |
nessuno |
Gestire ulteriormente i casi impostando lo stato personalizzato, assegnando attività, collegando eventi imprevisti e aggiungendo commenti.
Personalizzare lo stato
Progettare la gestione dei casi in base alle esigenze del centro operativo di sicurezza (SOC). Personalizzare le opzioni di stato disponibili per i team SecOps in base ai processi eseguiti.
Dopo l'esempio di creazione del caso di attacco scavatore, gli amministratori del SOC hanno configurato gli stati consentendo ai cacciatori di minacce di mantenere un backlog di minacce per la valutazione su base settimanale. Gli stati personalizzati, ad esempio fase di ricerca e ipotesi di generazione , corrispondono al processo stabilito dal team di ricerca delle minacce.
Attività
Aggiungere attività per gestire i componenti granulari dei casi. Ogni attività include il proprio nome, stato, priorità, proprietario e data di scadenza. Con queste informazioni, si sa sempre chi è responsabile di completare quale attività e in base a quale ora. La descrizione dell'attività riepiloga il lavoro da eseguire e uno spazio per descrivere lo stato di avanzamento. Le note di chiusura forniscono più contesto sul risultato delle attività completate.
Immagine che mostra i seguenti stati delle attività disponibili: Nuovo, In corso, Non riuscito, Parzialmente completato, Ignorato, Completato
Collegare gli eventi imprevisti
Il collegamento di un caso e un evento imprevisto consente ai team SecOps di collaborare al metodo più adatto. Ad esempio, un cacciatore di minacce che trova attività dannose crea un evento imprevisto per il team di risposta agli eventi imprevisti. Questo cacciatore di minacce collega l'incidente a un caso, quindi è chiaro che sono correlati. Ora il team di runtime di integrazione comprende il contesto della ricerca che ha trovato l'attività.
In alternativa, se il team del runtime di integrazione deve inoltrare uno o più eventi imprevisti al team di ricerca, può creare un caso e collegare gli eventi imprevisti dalla pagina dei dettagli degli eventi imprevisti di indagine & risposta .
Log attività
È necessario annotare le note o la logica di rilevamento delle chiavi da passare? Creare commenti RTF ed esaminare gli eventi di controllo nel log attività. I commenti sono un'ottima posizione per aggiungere rapidamente informazioni, ad esempio query, tabelle, collegamenti e contenuto strutturato, a un caso.
Gli eventi di controllo vengono aggiunti automaticamente al log attività del caso e gli eventi più recenti vengono visualizzati nella parte superiore. Modificare il filtro se è necessario concentrarsi sui commenti o sulla cronologia di controllo.
Allegati
Condividere report, messaggi di posta elettronica, screenshot, file di log e altro ancora, tutti centralizzati nella scheda Allegati di un caso. Assicurarsi di disporre di tutte le informazioni necessarie per prendere decisioni rapide e accurate nelle indagini di sicurezza.
Per aggiungere allegati al caso, passare alla pagina Dettagli case , selezionare la scheda Allegati , selezionare Carica, selezionare il file e attendere il completamento del caricamento. Dopo il caricamento, il file viene analizzato in background per individuare il malware. Al termine dell'analisi, chiunque abbia accesso al caso può scaricare il file. Se il file da caricare è in realtà un esempio di malware, è possibile eseguirne il wrapping in un file ZIP protetto da password.
Limitazioni
Vedere Limiti di gestione dei casi.