Správa případů operací zabezpečení nativně na portálu Microsoft Defender

Microsoft Defender správa případů je kolekce funkcí a možností, které poskytují jednotné prostředí správy případů zaměřené na zabezpečení. Toto prostředí je navržené pro nativní správu sjednocených operací zabezpečení na portálu Microsoft Defender, aniž by bylo nutné používat nástroje třetích stran. Provozní týmy zabezpečení udržují kontext zabezpečení, pracují efektivněji a rychleji reagují na útoky, když spravují práci s případem, aniž by opustily portál Defender.

Aktuální úvodní fáze zavedení správy případů centralizuje bohatou spolupráci, přizpůsobení, shromažďování důkazů a vytváření sestav napříč úlohami SecOps.

Co je správa případů?

Správa případů umožňuje nativně spravovat případy SecOps na portálu Defender. Dokonce i v počátečních fázích týmy SecOps předvádějí následující případy použití pro správu případů:

Reakce na události zabezpečení, které zahrnují více incidentů.
Správa proaktivního vyhledávání hrozeb
Sledování ioC a aktérů hrozeb
Logika detekce sledování, kterou je potřeba vyladit.

Tyto případy použití a scénáře podporují následující konkrétní funkce a funkce:

Vytvořte a sledujte případy související s SecOps na jednom místě pomocí nové stránky Případy .
Definujte vlastní pracovní postup případu konfigurací vlastních hodnot stavu.
Vylepšete spolupráci, kvalitu a zodpovědnost přiřazením úkolů a termínů splnění.
Řešení eskalací a složitých případů propojením několika incidentů s případem
Správa přístupu k případům pomocí RBAC
Přidejte komentáře s formátovaným textem, které poskytují odkazy, tabulky a formátování do protokolu aktivit.
Nahrajte přílohy pro ukládání souborů, jako jsou dokumenty, sdílené svazky clusteru a šifrované soubory ZIP obsahující ukázky malwaru.
Spravujte případy ve více tenantech prostřednictvím portálu pro správu s více tenanty.

Vzhledem k tomu, že stavíme na tomto základu správy případů, dáváme při vývoji tohoto řešení přednost těmto dalším robustním funkcím:

Automatizace
Další důkazy k přidání
Přizpůsobení pracovního postupu
Další integrace portálu Defender

Požadavky

Správa případů je k dispozici na portálu Defender, a pokud ji chcete použít, musíte mít připojený Microsoft Sentinel pracovní prostor. Případy jsou přístupné jenom z portálu Defender. Nevidíte je v Azure Portal.

Další informace najdete v tématu Připojení Microsoft Sentinel k portálu Defender.

K udělení přístupu k funkcím správy případů použijte sjednocené role RBAC nebo Microsoft Sentinel role Defenderu.

Funkce Případy	Microsoft Defender sjednoceného řízení přístupu na základě role	Microsoft Sentinel role
Pouze zobrazení – fronta případů – podrobnosti o případu – úlohy – komentáře – audity případů	Operace > zabezpečení Základy dat zabezpečení (čtení)	Microsoft Sentinel Reader
Vytváření a správa – případy a úkoly – přiřazení , aktualizace stavu – propojení a zrušení propojení incidentů	Výstrahy operací > zabezpečení (správa)	Microsoft Sentinel Respondér
Přizpůsobení možností stavu případu	Autorizace a nastavení > základního zabezpečení (správa)	Přispěvatel Microsoft Sentinel

Další informace najdete v tématu Microsoft Defender sjednoceného řízení přístupu na základě role (RBAC).

Fronta případů

Pokud chcete začít používat správu případů, vyberte případy na portálu Defender a získejte přístup do fronty případů. Případy můžete filtrovat, řadit nebo prohledávat, abyste našli, na co se musíte zaměřit.

Snímek obrazovky fronty případů na portálu Defender

Podrobnosti o případu

Každý případ má stránku, která analytikům umožňuje spravovat případ a zobrazuje důležité podrobnosti.

V následujícím příkladu hledač hrozeb zkoumá hypotetický útok "Burrowing", který se skládá z několika mitre ATT&technik CK® a indikátorů ohrožení (IoC).

Spravujte následující podrobnosti o případu, abyste mohli popsat, určit prioritu, přiřadit a sledovat práci:

Funkce zobrazených případů	Možnosti správy případů	Výchozí hodnota
Priority (Priorita)	`Very low`, `Low`, `Medium`, `High`, `Critical`	žádné
Stav	Nastavení podle analytiků, přizpůsobitelné správci	Výchozí stavy jsou `New`, `Open`a `Closed` Výchozí hodnota je `New`
Přiřazeno	Jeden uživatel v tenantovi	žádné
Popis	Prostý text	žádné
Podrobnosti o případu	ID případu	ID případů začínají na 1000 a nevyprázdní se. K archivaci případů použijte vlastní stavy a filtry. Čísla případů se nastavují automaticky.
	Vytvořeno Vytvořeno při poslední aktualizaci uživatelem Poslední aktualizace dne	automaticky nastavit
	Termín splnění u propojených incidentů	žádné

Případy můžete dále spravovat nastavením přizpůsobeného stavu, přiřazením úkolů, propojením incidentů a přidáním komentářů.

Přizpůsobení stavu

Návrh správy případů tak, aby vyhovoval potřebám vašeho centra pro operace zabezpečení (SOC). Přizpůsobte si možnosti stavu dostupné pro týmy SecOps tak, aby odpovídaly vašim procesům.

V návaznosti na příklad vytvoření případu útoku burrowing správci SOC nakonfigurovali stavy, které umožňují lovcům hrozeb uchovávat backlog hrozeb pro třídění na týdenní bázi. Vlastní stavy, jako je fáze výzkumu a generování hypotéz, odpovídají zavedenému procesu tohoto týmu proaktivního vyhledávání hrozeb.

Snímek obrazovky znázorňující výchozí možnosti stavu a přizpůsobené stavy

Úlohy

Přidejte úlohy pro správu podrobných komponent vašich případů. Každý úkol má vlastní název, stav, prioritu, vlastníka a termín splnění. Díky této informaci vždy víte, kdo je zodpovědný za dokončení jakého úkolu a do kdy. Popis úkolu shrnuje práci, která se má provést, a místo pro popis průběhu. Závěrečné poznámky poskytují další kontext o výsledku dokončených úkolů.

Obrázek znázorňuje následující dostupné stavy úkolů: Nový, Probíhá, Selhání, Částečně dokončeno, Vynecháno, Dokončeno

Propojení objektů

Propojení případu s dalšími objekty ve vašem prostředí pomůže týmům SecOps pochopit širší kontext hrozby. Případy můžete propojit s incidenty nebo indikátory ohrožení zabezpečení (IoCs).

Propojení incidentů

Propojení případu a incidentu pomáhá týmům SecOps spolupracovat na metodě, která je pro ně nejvhodnější. Například lovec hrozeb, který najde škodlivou aktivitu, vytvoří incident pro tým reakce na incidenty (IR). Tento lovec hrozeb spojuje incident s případem, takže je jasné, že souvisí. Tým prostředí IR teď rozumí kontextu vyhledávání, které aktivitu našlo.

Případně pokud tým IR potřebuje eskalovat jeden nebo více incidentů týmu proaktivního vyhledávání, může vytvořit případ a propojit incidenty ze stránky Podrobnosti incidentu vyšetřování & odpovědi .

Snímek obrazovky znázorňující možnost propojení incidentu z nabídky se třemi tečkami v zobrazení incidentu

Indikátory propojení (Preview)

Propojení případu s relevantními indikátory ohrožení (IOC) pomůže týmům SecOps pochopit širší kontext hrozby.

Pokud chcete případ propojit se vstupně-výstupními operacemi, přejděte na kartu Propojené objekty na stránce Případ a vyberte Indikátory. Pak vyberte tlačítko Přidat a pracovní prostor, ve které se indikátor TI nachází. Vyberte požadovaný indikátor TI a klikněte na Odkaz.

Snímek obrazovky znázorňující propojené indikátory pro hypotetický případ útoku s burrowingem

Případně můžete vytvořit případ a propojit indikátory ze stránky s podrobnostmi o indikátorech správy Společnosti Intel. Vyberte indikátor TI a pak na Link Cases (Případy propojení).

Snímek obrazovky znázorňující možnost indikátoru odkazu ze zobrazení indikátoru TI

Protokol aktivit

Potřebujete si zapsat poznámky nebo logiku detekce klíčů, kterou chcete předat? Vytvořte komentáře ve formátu RTF a zkontrolujte události auditu v protokolu aktivit. Komentáře jsou skvělým místem pro rychlé přidávání informací – včetně věcí, jako jsou dotazy, tabulky, odkazy a strukturovaný obsah – do případu.

Snímek obrazovky znázorňující neformální komentáře mezi analytiky

Události auditu se automaticky přidají do protokolu aktivit případu a nejnovější události se zobrazují nahoře. Pokud se potřebujete zaměřit na komentáře nebo historii auditu, změňte filtr.

Přílohy

Sdílejte sestavy, e-maily, snímky obrazovky, soubory protokolů a další informace, a to vše centrálně na kartě Přílohy případu. Ujistěte se, že máte všechny potřebné informace k rychlému a přesnému rozhodování při vyšetřování zabezpečení.

Snímek obrazovky s podrobnostmi karty Přílohy případu

K každému komentáři můžete připojit až 10 souborů.

Přidání přílohy k případu

Pokud chcete přidat přílohy k případu, přejděte na stránku Podrobnosti o případu , vyberte kartu Přílohy , vyberte Nahrát, vyberte soubor a počkejte, až se nahrávání dokončí. Po nahrání se soubor na pozadí zkontroluje na přítomnost malwaru. Po dokončení kontroly si může soubor stáhnout každý, kdo má k případu přístup. Pokud je soubor, který chcete nahrát, ve skutečnosti ukázkou malwaru, můžete ho zabalit do souboru ZIP chráněného heslem.

Přidání přílohy ke komentáři (Preview)

Přidání přílohy ke komentáři:

Přejděte do oblasti komentáře na stránce Případ .
Přejděte do textového editoru v dolní části obrazovky a výběrem ikony kancelářské sponky připojte soubor.
Vyberte soubor, který chcete připojit z počítače.
Kliknutím na Odeslat komentář uložte.
- Pokud chcete ke svému komentáři připojit snímek obrazovky, vložte ho do textového editoru.
- Pokud chcete z komentáře odstranit připojený soubor, vyberte ikonu přihrádky a najeďte myší na něj.

Odstranit případ (Preview)

Odstranění případu:

Otevřete obrazovku Případy, vyberte případ, který chcete odebrat, a vyberte Odstranit.
V automaticky otevíraných o

Omezení

Viz Omezení správy případů.

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-10-31