Administrer sager om sikkerhedshandlinger oprindeligt på Microsoft Defender-portalen

Microsoft Defender sagsstyring er en samling funktioner og funktioner, der leverer en samlet, sikkerhedsfokuseret oplevelse med sagsstyring. Denne oplevelse er udviklet til administration af samlede sikkerhedshandlinger, der fungerer oprindeligt på Microsoft Defender-portalen, uden at der er behov for tredjepartsværktøjer. Sikkerhedsteams bevarer sikkerhedskontekst, arbejder mere effektivt og reagerer hurtigere på angreb, når de administrerer sagsarbejde uden at forlade Defender-portalen.

Den aktuelle introduktionsfase i udrulningen af sagsstyring centraliserer omfattende samarbejde, tilpasning, indsamling af beviser og rapportering på tværs af SecOps-arbejdsbelastninger.

Hvad er sagsstyring?

Sagsstyring giver dig mulighed for at administrere SecOps-sager oprindeligt på Defender-portalen. Selv i de indledende faser demonstrerer SecOps-teams følgende use cases til sagsstyring:

Svar på sikkerhedshændelser, der strækker sig over flere hændelser.
Administration af trusselsjagt.
Sporing af IoCs og trusselsaktører.
Sporingsregistreringslogik, der skal justeres.

Følgende specifikke egenskaber og funktioner understøtter disse use cases og scenarier:

Opret og spor dine SecOps-relaterede sager ét sted med siden Nye sager .
Definer din egen sagsarbejdsproces ved at konfigurere brugerdefinerede statusværdier.
Øg samarbejdet, kvaliteten og ansvarligheden ved at tildele opgaver og forfaldsdatoer.
Håndter eskaleringer og komplekse sager ved at sammenkæde flere hændelser med en sag.
Administrer adgang til dine sager ved hjælp af RBAC.
Tilføj RTF-kommentarer for at føje links, tabeller og formatering til aktivitetsloggen.
Upload vedhæftede filer for at gemme filer, f.eks. dokumenter, CSV'er og krypterede zip-filer, der indeholder malwareeksempler.
Administrer sager i flere lejere via portalen til administration af flere brugere.

I takt med at vi bygger videre på dette grundlag for sagsstyring, prioriterer vi disse yderligere robuste funktioner, efterhånden som vi udvikler denne løsning:

Automatisering
Flere beviser, der skal tilføjes
Tilpasning af arbejdsproces
Flere Integrationer af Defender-portalen

Forudsætninger

Sagsstyring er tilgængelig på Defender-portalen, og hvis du vil bruge den, skal du have et Microsoft Sentinel-arbejdsområde forbundet. Sager er kun tilgængelige fra Defender-portalen. Du kan ikke se dem i Azure Portal.

Du kan få flere oplysninger under Opret forbindelse mellem Microsoft Sentinel og Defender-portalen.

Brug Defender XDR unified RBAC- eller Microsoft Sentinel-roller til at give adgang til funktioner til sagsstyring.

Sagsfunktion	Microsoft Defender Unified RBAC	Microsoft Sentinel-rolle
Vis kun - sagskø - sagsdetaljer - opgaver - kommentarer - sagsovervågninger	Sikkerhedshandlinger > Grundlæggende oplysninger om sikkerhed (læs)	Microsoft Sentinel Reader
Opret og administrer – sager og sagsopgaver – tildel - opdater status – link og fjern sammenkædning af hændelser	Vigtige sikkerhedshandlinger > (administrer)	Microsoft Sentinel Responder
Tilpas indstillinger for sagsstatus	Godkendelse og angivelse af > kernesikkerhedsindstillinger (administrer)	Microsoft Sentinel-bidragyder

Du kan få flere oplysninger under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

Sagskø

Hvis du vil bruge sagsstyring, skal du vælge Sager på Defender-portalen for at få adgang til sagskøen. Filtrer, sortér eller søg i dine sager for at finde det, du skal fokusere på.

Skærmbillede af sagskøen på Defender-portalen.

Sagsdetaljer

Hver sag har en side, der giver analytikere mulighed for at administrere sagen og viser vigtige oplysninger.

I følgende eksempel undersøger en trusselsjæger et hypotetisk "Burrowing"-angreb, der består af flere MITRE ATT-&CK-teknikker® og indikatorer for kompromis (IoCs).

Administrer følgende sagsdetaljer for at beskrive, prioritere, tildele og spore arbejde:

Funktion til visning af sag	Administrer indstillinger for sag	Standardværdi
Prioritet	`Very low`, `Low`, `Medium`, `High`, `Critical`	ingen
Status	Indstillet af analytikere og kan tilpasses af administratorer	Standardstatusserne er `New`, `Open`, og `Closed` standardværdien er `New`
Tildelt til	En enkelt bruger i lejeren	ingen
Beskrivelse	Almindelig tekst	ingen
Sagsdetaljer	Sags-id	Sags-id'er starter kl. 1000 og fjernes ikke. Brug brugerdefinerede statusser og filtre til at arkivere sager. Sagsnummer angives automatisk.
	Oprettet af Oprettet den Senest opdateret af Senest opdateret den	indstilles automatisk
	Forfalder ved linkede hændelser	ingen

Administrer sager yderligere ved at angive tilpasset status, tildele opgaver, sammenkæde hændelser og tilføje kommentarer.

Tilpas status

Administration af arkitektcases, der passer til behovene i dit SOC (Security Operations Center). Tilpas de statusindstillinger, der er tilgængelige for dine SecOps-teams, så de passer til de processer, du har på plads.

Efter eksemplet med oprettelse af et brolagt angrebseksempel konfigurerede SOC-administratorer statusser, der gør det muligt for trusselsjægere at holde styr på trusler for sortering ugentligt. Brugerdefinerede statusser som f.eks. forskningsfase og genererings hypotese stemmer overens med dette trusselsjagtteams etablerede proces.

Skærmbillede, der viser standardstatusindstillinger og tilpassede statusser.

Opgaver

Tilføj opgaver for at administrere detaljerede komponenter i dine sager. Hver opgave leveres med sit eget navn, sin egen status, prioritet, ejer og forfaldsdato. Med disse oplysninger ved du altid, hvem der er ansvarlig for at udføre hvilken opgave og hvornår. Opgavebeskrivelsen opsummerer det arbejde, der skal udføres, og lidt plads til at beskrive statussen. Slutnoter giver mere kontekst om resultatet af fuldførte opgaver.

Billede, der viser følgende tilgængelige opgavestatusser: Ny, I gang, Mislykket, Delvist fuldført, Sprunget over, Fuldført

Sammenkæde objekter

Sammenkædning af en sag med andre objekter i dit miljø hjælper dine SecOps-teams med at forstå en trussels bredere kontekst. Du kan knytte sager til hændelser eller indikatorer for kompromiser (IoCs).

Linkhændelser

Sammenkædning af en sag og en hændelse hjælper dine SecOps-teams med at samarbejde om den metode, der fungerer bedst for dem. En trusselsjæger, der finder skadelig aktivitet, opretter f.eks. en hændelse for teamet for svar på hændelser (IR). Den trusselsjæger knytter hændelsen til en sag, så det er tydeligt, at de er relateret til hinanden. Nu forstår IR-teamet konteksten for den jagt, der fandt aktiviteten.

Hvis IR-teamet har brug for at eskalere en eller flere hændelser til jagtteamet, kan de oprette en sag og linke hændelserne fra siden Med undersøgelse & oplysninger om svarhændelse .

Skærmbillede, der viser indstillingen for linkhændelse fra menuen med de tre prikker i hændelsesvisningen.

Linkindikatorer (prøveversion)

Sammenkædning af en sag med relevante indikatorer for kompromis (IOCs) hjælper dine SecOps-teams med at forstå den bredere kontekst af en trussel.

Hvis du vil knytte sagen til IOCs, skal du gå til fanen Sammenkædede objekter på siden Sag og vælge Indikatorer. Vælg derefter knappen Tilføj , hvorefter arbejdsområdet TI-indikatoren er i. Vælg den ønskede TI-indikator, og klik på Link.

Skærmbillede, der viser de sammenkædede indikatorer for den hypotetiske burrowing-angrebssag.

Du kan også oprette en sag og linke indikatorerne fra siden med oplysninger om Intel-styringsindikatorer. Vælg din TI-indikator, og vælg derefter Linkcases.

Skærmbillede, der viser indstillingen linkindikator fra visningen TI-indikator.

Aktivitetslog

Har du brug for at skrive noter ned, eller skal den pågældende logik til registrering af nøgler overføres? Opret RTF-kommentarer, og gennemse overvågningshændelserne i aktivitetsloggen. Kommentarer er et godt sted til hurtigt at føje oplysninger – f.eks. forespørgsler, tabeller, links og struktureret indhold – til en sag.

Skærmbillede, der viser uformelle kommentarer mellem analytikere.

Overvågningshændelser føjes automatisk til aktivitetsloggen for sagen, og de seneste hændelser vises øverst. Rediger filteret, hvis du har brug for at fokusere på kommentarer eller overvågningshistorik.

Vedhæftede filer

Del rapporter, mails, skærmbilleder, logfiler m.m. centraliseret under fanen Vedhæftede filer i en sag. Sørg for, at du har alle de nødvendige oplysninger til at træffe hurtige og nøjagtige beslutninger i dine sikkerhedsundersøgelser.

Skærmbillede af detaljerne under fanen Vedhæftede filer i en sag.

Du kan vedhæfte op til 10 filer pr. kommentar.

Føj en vedhæftet fil til en sag

Hvis du vil føje vedhæftede filer til din sag, skal du gå til siden Sagsoplysninger , vælge fanen Vedhæftede filer , vælge Upload, vælge din fil og vente på, at overførslen fuldføres. Når filen er uploadet, scannes den i baggrunden for malware. Når scanningen er fuldført, kan alle med adgang til sagen downloade filen. Hvis den fil, du vil uploade, faktisk er et malwareeksempel, kan du ombryde den i en ZIP-fil, der er beskyttet med adgangskode.

Føj vedhæftet fil til en kommentar (eksempelvisning)

Sådan føjer du en vedhæftet fil til en kommentar:

Gå til kommentarområdet på siden Sag .
Gå til teksteditoren nederst på skærmen, og vælg papirclipsikonet for at vedhæfte en fil.
Vælg den fil, du vil vedhæfte fra computeren.
Vælg Send for at gemme kommentaren.
- Hvis du vil vedhæfte et skærmbillede til din kommentar, skal du indsætte det i teksteditoren.
- Hvis du vil slette en vedhæftet fil fra kommentaren, skal du vælge beholderikonet, mens du holder markøren over den.

Slet sag (eksempelvisning)

Sådan sletter du en sag:

Åbn skærmbilledet Sager, vælg den sag, du vil fjerne, og vælg Slet.
I pop op-vinduet skal du skrive Slet og derefter vælge Bekræft.

Begrænsninger

Se Grænser for sagsstyring.

Feedback

Var denne side nyttig?

Last updated on 2025-10-31