Suojaustoimintojen toimintojen hallinta suoraan Microsoft Defender portaalissa

Microsoft Defender tapausten hallinta on kokoelma ominaisuuksia ja ominaisuuksia, jotka tarjoavat yhtenäisen, tietoturvaan keskittyvän tapauksenhallintakokemuksen. Tämä käyttökokemus on suunniteltu yhtenäisen suojaustoiminnon hallintaan suoraan Microsoft Defender portaalissa ilman kolmannen osapuolen työkaluja. Suojaustoimintaryhmät ylläpitävät suojauskontekstia, toimivat tehokkaammin ja reagoivat hyökkäyksiin nopeammin, kun ne hallitsevat tapaustyötä poistumatta Defender-portaalista.

Tapauksenhallinnan käyttöönoton nykyinen johdantovaihe keskittää monipuolisen yhteistyön, mukauttamisen, todisteiden keräämisen ja raportoinnin SecOps-kuormitusten välillä.

Mikä on tapausten hallinta?

Palvelupyyntöjen hallinnan avulla voit hallita SecOps-tapauksia suoraan Defender-portaalissa. Jopa alkuvaiheissaan SecOps-tiimit esittelevät seuraavat käyttötapaukset tapausten hallinnassa:

Useita tapauksia kattaviin suojaustapahtumiin vastaaminen.
Uhkien metsästyksen hallinta.
Jäljitä IOC-kutsuja ja uhkatoimijoita.
Seurannan havaitsemislogiikka, joka on muovattava.

Seuraavat tietyt ominaisuudet tukevat näitä käyttötapauksia ja skenaarioita:

Luo ja seuraa SecOpsiin liittyviä tapauksia yhdessä paikassa uuden Palvelupyynnöt-sivun avulla.
Määritä oma tapaustyönkulku määrittämällä mukautetut tila-arvot.
Paranna yhteistyötä, laatua ja vastuuvelvollisuutta määrittämällä tehtäviä ja määräpäiviä.
Käsittele eskalaatioita ja monimutkaisia tapauksia yhdistämällä useita tapauksia tapaukseen.
Hallitse palvelupyyntöjen käyttöoikeuksia RBAC:n avulla.
Lisää RTF-kommentteja, jotka sisältävät linkkejä, taulukoita ja muotoiluja toimintolokiin.
Lataa liitteet tiedostojen, kuten tiedostojen, CSV-tiedostojen ja haittaohjelmanäytteitä sisältävien salattujen zip-tiedostojen, tallentamiseen.
Hallitse palvelupyyntöjä useissa vuokraajissa usean kohteen hallintaportaalin kautta.

Luodessamme tätä tapausten hallinnan perusteita priorisoimme näitä vankkoja lisäominaisuuksia, kun kehitämme tätä ratkaisua:

Automaatio
Lisää lisättävää näyttöä
Työnkulun mukauttaminen
Lisää Defender-portaalin integrointeja

Vaatimukset

Tapausten hallinta on käytettävissä Defender-portaalissa, ja jotta voit käyttää sitä, sinulla on oltava Yhdistetty Microsoft Sentinel -työtila. Palvelupyynnöt ovat käytettävissä vain Defender-portaalissa. et näe niitä Azure-portaali.

Lisätietoja on artikkelissa Microsoft Sentinelin yhdistäminen Defender-portaaliin.

Käytä Defender XDR yhtenäisiä RBAC- tai Microsoft Sentinel -rooleja tapausten hallintaominaisuuksien käyttöoikeuksien myöntämiseen.

Palvelupyynnöt-ominaisuus	Microsoft Defender Unified RBAC	Microsoft Sentinel -rooli
Näytä vain - tapausjonon - tapauksen tiedot - tehtävät - kommentit - kirjainkokoa koskevat tarkastukset	Suojaustoiminnot > Suojaustietojen perusteet (luku)	Microsoft Sentinel Reader
Tapausten ja tapaustehtävien luominen ja hallinta - määritys - päivityksen tila - linkki ja tapausten linkityksen poistaminen	Suojaustoimintojen > ilmoitukset (hallitse)	Microsoft Sentinel -vastaaja
Tapauksen tila-asetusten mukauttaminen	Käyttöoikeuksien myöntäminen ja ydinsuojauksen asetusten määrittäminen > (hallinta)	Microsoft Sentinel -osallistuja

Lisätietoja on artikkelissa Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC).

Tapausjono

Aloita palvelupyyntöjen hallinta valitsemalla Defender-portaalissa Palvelupyynnöt , jotta voit käyttää palvelupyyntöjonoa. Voit suodattaa, lajitella tai hakea palvelupyyntösi löytääksesi sen, mihin sinun on keskityttävä.

Näyttökuva tapausjonosta Defender-portaalissa.

Tapauksen tiedot

Jokaisessa tapauksessa on sivu, jonka avulla analyytikot voivat hallita tapausta ja näyttää tärkeitä tietoja.

Seuraavassa esimerkissä uhkien metsästäjä tutkii hypoteettista "Burrowing"-hyökkäystä, joka koostuu useista MITRE ATT -tekniikoista&CK-tekniikoista® ja kompromissiindikaattoreista (IOC).

Hallitse seuraavia tapaustietoja kuvaamaan, priorisoimaan, määrittämään ja seuraamaan työtä:

Näytetty kirjainkoko -ominaisuus	Tapausasetusten hallinta	Oletusarvo
Priority (Prioriteetti)	`Very low`, `Low`, `Medium`, `High`, `Critical`	Ei mitään
Tila	Analyytikoiden määrittämä, järjestelmänvalvojien mukauttama	Oletustilat ovat `New`, `Open`ja `Closed` Oletusarvo on `New`
Vastuuhenkilö	Yksi käyttäjä vuokraajassa	Ei mitään
Kuvaus	Teksti	Ei mitään
Tapauksen tiedot	Tapaustunnus	Tapaustunnukset alkavat tuhannesta, eikä niitä tyhjennä. Arkistoi palvelupyynnöt mukautettujen tilojen ja suodattimien avulla. Tapausnumerot määritetään automaattisesti.
	Luonut luonut viimeksi päivittänyt viimeksi päivittänyt	määritä automaattisesti
	Määräpäivä linkitetyissä tapahtumissa	Ei mitään

Voit hallita tapauksia tarkemmin määrittämällä mukautetun tilan, määrittämällä tehtäviä, linkittämällä tapauksia ja lisäämällä kommentteja.

Mukauta tilaa

Arkkitehtitapausten hallinta tietoturvakeskuksen (SOC) tarpeisiin sopivaksi. Mukauta SecOps-tiimien käytettävissä olevia tilavaihtoehtoja, jotta ne sopivat käytössäsi oleviin prosesseihin.

Seuraavassa röyhtäilevän hyökkäystapauksen luontiesimerkin jälkeen SOC-järjestelmänvalvojat määritti tilat, joiden avulla uhkien metsästäjät voivat pitää uhkat kasassa triagessa viikoittain. Mukautetut tilat, kuten tutkimusvaihe ja hypoteesin luominen , vastaavat tämän uhanmetsästysryhmän vakiintunutta prosessia.

Näyttökuva, jossa näkyvät oletustila-asetukset ja mukautetut tilat.

Tehtävät

Lisää tehtäviä palvelupyyntöjen hajautettujen osien hallintaan. Jokaisella tehtävällä on oma nimensä, tilansa, prioriteettinsa, omistajansa ja määräpäivänsä. Näiden tietojen avulla tiedät aina, kuka on vastuussa minkäkin tehtävän suorittamisesta ja mihin aikaan. Tehtävän kuvauksessa on yhteenveto tehtävästä ja tilaa edistymisen kuvaamiseen. Loppumuistiinpanot antavat lisää kontekstia valmiiden tehtävien tuloksesta.

Kuvassa näkyvät seuraavat käytettävissä olevat tehtävien tilat: Uusi, Keskeneräinen, Epäonnistunut, Osittain suoritettu, Ohitettu, Valmis

Linkitä objektit

Tapauksen linkittäminen ympäristön muihin objekteihin auttaa SecOps-tiimejä ymmärtämään uhan laajemman kontekstin. Voit linkittää tapauksia vaaratilanteisiin tai kompromissi-indikaattoriin (IOC).

Linkkitapaukset

Tapauksen ja tapauksen linkittäminen auttaa SecOps-tiimejä tekemään yhteistyötä heille parhaiten toimivalla menetelmällä. Esimerkiksi uhkien metsästäjä, joka havaitsee pahantahtoisen toiminnan, luo tapahtuman tapausten käsittelyryhmälle (IR). Uhkanmetsästäjä yhdistää tapauksen tapaukseen, joten on selvää, että he ovat sukua. Nyt infrapunatiimi ymmärtää metsästyksen kontekstin, joka löysi toiminnan.

Vaihtoehtoisesti, jos infrapunatiimin on eskaloitava yksi tai useampi välikohtaus metsästysryhmälle, he voivat luoda tapauksen ja yhdistää tapaukset Investigation &-vastaustapauksen tietosivulta.

Näyttökuva, jossa näkyy linkkitapausvaihtoehto kolmen pisteen valikosta tapausnäkymässä.

Linkin ilmaisimet (esikatselu)

Tapauksen linkittäminen asiaan liittyvisiin kompromissi-indikaattorien (IOC) avulla SecOps-tiimisi ymmärtävät uhan laajemman kontekstin.

Jos haluat linkittää tapauksen IOC-tiedostoihin, siirry Tapaus-sivun Linkitetyt objektit -välilehteen ja valitse Ilmaisimet. Valitse sitten Lisää-painike ja työtila, jossa ti-ilmaisin on. Valitse haluttu ti-ilmaisin ja napsauta linkkiä.

Näyttökuva, jossa näkyvät hypoteettisen burrowing-hyökkäystapauksen linkitetyt ilmaisimet.

Vaihtoehtoisesti voit luoda tapauksen ja linkittää ilmaisimet Intelin hallintailmaisimien tietosivulta. Valitse ti-ilmaisin ja sitten Linkkitapaukset.

Näyttökuva, jossa näkyy linkki-ilmaisinvaihtoehto ti-ilmaisinnäkymässä.

Toimintoloki

Pitääkö sinun kirjoittaa muistiinpanot muistiin vai välitettävä avaintentunnistuslogiikka? Luo RTF-kommentteja ja tarkista valvontatapahtumat toimintolokissa. Kommentit ovat hyvä paikka lisätä nopeasti tietoja – esimerkiksi kyselyitä, taulukoita, linkkejä ja jäsenneltyä sisältöä – tapaukseen.

Näyttökuva, jossa näkyvät analyytikoiden väliset epäviralliset kommentit.

Valvontatapahtumat lisätään automaattisesti tapauksen toimintolokiin ja uusimmat tapahtumat näytetään ylimpänä. Muuta suodatinta, jos haluat keskittyä kommentteihin tai valvontahistoriaan.

Liitteet

Jaa raportteja, sähköpostiviestejä, näyttökuvia, lokitiedostoja ja paljon muuta tapauksen Liitteet-välilehdellä . Varmista, että sinulla on kaikki tarvittavat tiedot nopeiden ja tarkkojen päätösten tekemiseen tietoturvatutkimuksissasi.

Näyttökuva tapauksen Liitteet-välilehden tiedoista.

Voit liittää enintään 10 tiedostoa kommenttia kohden.

Liitteen lisääminen tapaukseen

Jos haluat lisätä liitteitä tapaukseen, siirry Tapaustiedot-sivulle , valitse Liitteet-välilehti , valitse Lataa, valitse tiedostosi ja odota, kunnes lataus on valmis. Kun tiedosto on ladattu, se skannataan taustalla haittaohjelmien osalta. Kun tarkistus on valmis, kuka tahansa, jolla on tapauksen käyttöoikeus, voi ladata tiedoston. Jos ladattava tiedosto on itse asiassa haittaohjelmamalli, voit paketoida sen salasanalla suojattuun ZIP-tiedostoon.

Liitteen lisääminen kommenttiin (esikatselu)

Liitteen lisääminen kommenttiin:

Siirry Tapaus-sivun kommenttialueelle.
Siirry näytön alareunan tekstieditoriin ja liitä tiedosto valitsemalla paperclip-kuvake.
Valitse tietokoneesta liitettävä tiedosto.
Tallenna kommentti valitsemalla Lähetä .
- Liitä näyttökuva kommenttiin liittämällä se tekstieditoriin.
- Jos haluat poistaa liitetyn tiedoston kommentista, valitse lokerokuvake viemällä hiiren osoitin sen päälle.

Poista kirjainkoko (esikatselu)

Tapauksen poistaminen:

Avaa Palvelupyynnöt-näyttö, valitse poistettava tapaus ja valitse Poista.
Kirjoita ponnahdusikkunaan Poista ja valitse sitten Vahvista.

Rajoitukset

Katso Tapausten hallinnan rajoitukset.

Palaute

Onko tästä sivusta apua?

Last updated on 2025-10-31