Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender управление делами — это набор функций и возможностей, которые обеспечивают единый интерфейс управления делами, ориентированным на безопасность. Этот интерфейс предназначен для управления работой унифицированных операций безопасности на портале Microsoft Defender без использования сторонних средств. Команды по операциям безопасности поддерживают контекст безопасности, работают более эффективно и быстрее реагируют на атаки, когда управляют работой с обращениями, не выходя на портал Defender.
Текущий вводный этап развертывания управления делами централизует совместную работу, настройку, сбор доказательств и отчеты для рабочих нагрузок SecOps.
Что такое управление делами?
Управление обращениями позволяет управлять делами SecOps в собственном коде на портале Defender. Даже на начальных этапах команды SecOps демонстрируют следующие варианты использования для управления обращениями:
Реагирование на события безопасности, охватывающие несколько инцидентов.
Управление охотой на угрозы.
Отслеживание операций ввода-вывода и субъектов угроз.
Логика обнаружения отслеживания, требующая настройки.
Следующие конкретные возможности и функции поддерживают эти варианты использования и сценарии:
- Создайте и отслеживайте связанные с SecOps случаи в одном месте с помощью новой страницы Варианты .
- Определите собственный рабочий процесс обращения, настроив настраиваемые значения состояния.
- Улучшите совместную работу, качество и подотчетность, назначая задачи и сроки выполнения.
- Обработка эскалаций и сложных случаев путем связывания нескольких инцидентов с делом.
- Управление доступом к обращениям с помощью RBAC.
- Добавьте примечания в форматированный текст для предоставления ссылок, таблиц и форматирования в журнал действий.
- Отправка вложений для хранения таких файлов, как документы, csv и зашифрованные ZIP-файлы, содержащие примеры вредоносных программ.
- Управление обращениями в нескольких клиентах с помощью мультитенантного портала управления.
По мере того как мы опираемся на эту основу управления делами, мы уделяем приоритетное внимание этим дополнительным надежным возможностям по мере развития этого решения:
- Автоматизация
- Дополнительные доказательства для добавления
- Настройка рабочего процесса
- Дополнительные интеграции с порталом Defender
Требования
Управление обращениями доступно на портале Defender, и чтобы использовать его, необходимо иметь подключенную рабочую область Microsoft Sentinel. Обращения доступны только на портале Defender; вы не видите их в портал Azure.
Дополнительные сведения см. в статье Подключение Microsoft Sentinel к порталу Defender.
Используйте единые роли RBAC в Defender или Microsoft Sentinel для предоставления доступа к функциям управления обращениями.
| Функция вариантов | Microsoft Defender унифицированный RBAC | роль Microsoft Sentinel |
|---|---|---|
| Просмотр только - очередь обращений - сведения о случае - задачи - комментарии - аудиты случаев |
Операции безопасности > Основные сведения о данных безопасности (чтение) | Средство чтения Microsoft Sentinel |
| Создание и управление — случаи и задачи обращения — назначение и обновление состояния — связывание и отмена связи инцидентов |
Оповещения об операциях > безопасности (управление) | Ответчик Microsoft Sentinel |
| Настройка параметров состояния обращения | Авторизация и настройка > основных параметров безопасности (управление) | Участник Microsoft Sentinel |
Дополнительные сведения см. в разделе Microsoft Defender унифицированного управления доступом на основе ролей (RBAC).
Очередь обращений
Чтобы начать использовать управление обращениями, выберите Варианты на портале Defender, чтобы получить доступ к очереди обращений. Фильтруйте, сортируйте или ищите варианты, чтобы найти то, на чем нужно сосредоточиться.
Сведения о варианте
Каждый случай имеет страницу, которая позволяет аналитикам управлять делом и отображать важные сведения.
В следующем примере охотник за угрозами изучает гипотетическую атаку "Burrowing", которая состоит из нескольких MITRE ATT&методов CK® и индикаторов компрометации (IoCs).
Управляйте следующими сведениями о случаях для описания, определения приоритетов, назначения и отслеживания работы:
| Функция отображения регистра | Управление параметрами обращения | Значение по умолчанию |
|---|---|---|
| Приоритет |
Very low, Low, Medium, High, Critical |
none |
| Состояние | Устанавливается аналитиками, настраивается администраторами | По умолчанию используются Newсостояния , Openи Closedзначение по умолчанию — . New |
| Кому назначено | Один пользователь в клиенте | none |
| Описание | обычный текст | none |
| Сведения о варианте | Идентификатор обращения | Идентификаторы дела начинаются с 1000 и не очищаются. Используйте настраиваемые состояния и фильтры для архивации вариантов. Номера обращений задаются автоматически. |
| Создано создано в последнее обновление последнее обновление |
автоматическая установка | |
| Из-за связанных инцидентов |
none |
Управляйте делами, задавая настраиваемое состояние, назначая задачи, связывая инциденты и добавляя примечания.
Настройка состояния
Создание архитектуры управления делами в соответствии с потребностями центра управления безопасностью (SOC). Настройте параметры состояния, доступные командам SecOps, в соответствии с имеющимися процессами.
В соответствии с примером создания случаев атаки с закапыванием администраторы SOC настроили состояния, позволяющие охотникам за угрозами еженедельно хранить невыполненную работу по угрозам для рассмотрения. Пользовательские состояния, такие как этап исследования и генерирование гипотезы , соответствуют установленному процессу этой команды по охоте на угрозы.
Задачи
Добавьте задачи для управления детализированными компонентами ваших случаев. Каждая задача поставляется с собственным именем, состоянием, приоритетом, владельцем и датой выполнения. С помощью этой информации вы всегда знаете, кто отвечает за выполнение какой задачи и к какому времени. В описании задачи содержится сводка работы и некоторое пространство для описания хода выполнения. Заключительные примечания содержат дополнительные сведения о результатах выполненных задач.
На рисунке показаны следующие доступные состояния задач: New, In Progress, Failed, Partially Completed, Пропущено, Completed
Связывание объектов
Связывание дела с другими объектами в вашей среде помогает командам SecOps понять более широкий контекст угрозы. Можно связать случаи с инцидентами или индикаторами компрометации (IoCs).
Связывание инцидентов
Связывание дела и инцидента помогает командам SecOps совместно работать в методе, который лучше всего подходит для них. Например, охотник за угрозами, который находит вредоносные действия, создает инцидент для команды реагирования на инциденты (IR). Этот охотник за угрозами связывает инцидент с делом, чтобы было ясно, что они связаны. Теперь команда IR понимает контекст охоты, которая обнаружила действие.
Кроме того, если команде IR необходимо передать один или несколько инцидентов в группу охоты, она может создать дело и связать инциденты на странице "Расследование & сведения об инциденте реагирования".
Индикаторы связи (предварительная версия)
Связывание дела с соответствующими индикаторами компрометации помогает командам SecOps понять более широкий контекст угрозы.
Чтобы связать дело с ioCs, перейдите на вкладку Связанные объекты на странице Вариант и выберите Индикаторы. Затем нажмите кнопку Добавить и рабочую область, в ней находится индикатор TI. Выберите нужный индикатор TI и щелкните Ссылку.
Кроме того, можно создать дело и связать индикаторы на странице сведений о индикаторах управления Intel. Выберите индикатор TI, а затем выберите Варианты связывания.
Журнал действий
Требуется записать заметки или логику обнаружения ключей, которую необходимо передать? Создайте примечания в формате форматированного текста и просмотрите события аудита в журнале действий. Комментарии — это отличное место для быстрого добавления в дело информации, включая запросы, таблицы, ссылки и структурированное содержимое.
События аудита автоматически добавляются в журнал действий дела, а последние события отображаются в верхней части. Измените фильтр, если необходимо сосредоточиться на комментариях или журнале аудита.
Вложения
Предоставление общего доступа к отчетам, электронным письмам, снимкам экрана, файлам журналов и многому другому централизованно на вкладке Вложения дела. Убедитесь, что у вас есть вся необходимая информация для принятия быстрых и точных решений при расследовании безопасности.
Для каждого комментария можно вложить до 10 файлов.
Добавление вложения в дело
Чтобы добавить вложения в дело, перейдите на страницу Сведения о варианте , перейдите на вкладку Вложения , нажмите кнопку Отправить, выберите файл и дождитесь завершения отправки. После отправки файл проверяется в фоновом режиме на наличие вредоносных программ. После завершения сканирования любой пользователь, у кого есть доступ к делу, может скачать файл. Если файл, который вы хотите отправить, на самом деле является примером вредоносной программы, его можно завернуть в защищенный паролем ZIP-файл.
Добавление вложения в комментарий (предварительная версия)
Чтобы добавить вложение в комментарий, выполните приведенные далее действия.
Перейдите в область комментариев на странице Обращение .
Перейдите в текстовый редактор в нижней части экрана и щелкните значок скрепки, чтобы вложить файл.
Выберите файл, который нужно вложить с компьютера.
Нажмите кнопку Отправить , чтобы сохранить комментарий.
- Чтобы вложить снимок экрана в комментарий, вставьте его в текстовый редактор.
- Чтобы удалить вложенный файл из комментария, щелкните значок ячейки, наведите на него указатель мыши.
Удаление регистра (предварительная версия)
Удаление дела
Откройте экран Варианты, выберите дело, которое нужно удалить, и нажмите кнопку Удалить.
Во всплывающем окне введите delete и нажмите кнопку Подтвердить.
Ограничения
См. раздел Ограничения для управления обращениями.