Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender casebeheer is een verzameling functies en mogelijkheden die een uniforme, op beveiliging gerichte ervaring voor casebeheer bieden. Deze ervaring is ontworpen voor het beheren van geïntegreerde beveiligingsbewerkingen die systeemeigen worden uitgevoerd in de Microsoft Defender portal, zonder dat er hulpprogramma's van derden nodig zijn. Beveiligingsteams onderhouden de beveiligingscontext, werken efficiënter en reageren sneller op aanvallen wanneer ze case-werk beheren zonder de Defender-portal te verlaten.
De huidige, inleidende fase van de implementatie van casebeheer centraliseert uitgebreide samenwerking, aanpassing, het verzamelen van bewijsmateriaal en rapportage tussen SecOps-workloads.
Wat is casebeheer?
Met casebeheer kunt u SecOps-aanvragen systeemeigen beheren in de Defender-portal. Zelfs in de beginfasen demonstreren SecOps-teams de volgende use cases voor casebeheer:
Reageren op beveiligingsincidenten die meerdere incidenten omvatten.
Opsporing van bedreigingen beheren.
IOC's en bedreigingsactoren bijhouden.
Traceringslogica die moet worden afgestemd.
De volgende specifieke mogelijkheden en functies ondersteunen deze use cases en scenario's:
- Maak en volg uw SecOps-gerelateerde cases op één plek met de nieuwe pagina Cases .
- Definieer uw eigen casewerkstroom door aangepaste statuswaarden te configureren.
- Verbeter de samenwerking, kwaliteit en verantwoordelijkheid door taken en einddatums toe te wijzen.
- Verhandel escalaties en complexe gevallen door meerdere incidenten aan een case te koppelen.
- Toegang tot uw cases beheren met behulp van RBAC.
- Voeg opmerkingen met opmaak toe om koppelingen, tabellen en opmaak aan het activiteitenlogboek op te geven.
- Upload bijlagen om bestanden zoals documenten, CSV's en versleutelde zip-bestanden met malwarevoorbeelden op te slaan.
- Beheer cases in meerdere tenants via de beheerportal voor meerdere tenants.
Naarmate we voortbouwen op deze basis van casebeheer, geven we prioriteit aan deze extra robuuste mogelijkheden bij het ontwikkelen van deze oplossing:
- Automatisering
- Meer bewijs om toe te voegen
- Werkstroom aanpassen
- Meer Defender-portalintegraties
Vereisten
Casebeheer is beschikbaar in de Defender-portal en als u deze wilt gebruiken, moet er een Microsoft Sentinel-werkruimte zijn verbonden. Cases zijn alleen toegankelijk vanuit de Defender-portal; u kunt ze niet zien in de Azure Portal.
Zie Microsoft Sentinel verbinden met de Defender-portal voor meer informatie.
Gebruik Defender XDR geïntegreerde RBAC- of Microsoft Sentinel-rollen om toegang te verlenen tot casebeheerfuncties.
| Cases-functie | Microsoft Defender Unified RBAC | Microsoft Sentinel-rol |
|---|---|---|
| Alleen weergeven- casewachtrij - details van case- taken - opmerkingen - casecontroles |
Beveiligingsbewerkingen > Basisprincipes van beveiligingsgegevens (lezen) | Microsoft Sentinel Reader |
| Maken en beheren - cases en casetaken - toewijzen - updatestatus - koppelen en loskoppelen van incidenten |
Waarschuwingen voor beveiligingsbewerkingen > (beheren) | Microsoft Sentinel Responder |
| Opties voor casestatus aanpassen | Autorisatie en instellingen voor kernbeveiliging instellen > (beheren) | Microsoft Sentinel-inzender |
Zie Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
Casewachtrij
Als u casebeheer wilt gaan gebruiken, selecteert u Cases in de Defender-portal om toegang te krijgen tot de casewachtrij. Filter, sorteer of zoek uw cases om te vinden waar u zich op moet richten.
Casedetails
Elke case heeft een pagina waarop analisten de case kunnen beheren en waarop belangrijke details worden weergegeven.
In het volgende voorbeeld onderzoekt een bedreigingsjager een hypothetische 'Burrowing'-aanval die bestaat uit meerdere MITRE ATT-&CK-technieken® en indicatoren van inbreuk (IOC's).
Beheer de volgende casedetails om werk te beschrijven, te prioriteren, toe te wijzen en bij te houden:
| Weergegeven casefunctie | Caseopties beheren | Standaardwaarde |
|---|---|---|
| Prioriteit |
Very low, Low, Medium, High, Critical |
geen |
| Status | Ingesteld door analisten, aanpasbaar door beheerders | De standaardstatussen zijn New, Openen Closedde standaardwaarde is New |
| Toegewezen aan | Eén gebruiker in de tenant | geen |
| Beschrijving | Tekst zonder opmaak | geen |
| Casedetails | Case-id | Case-id's beginnen bij 1000 en worden niet opgeschoond. Gebruik aangepaste statussen en filters om cases te archiveren. Casenummers worden automatisch ingesteld. |
| Gemaakt door Gemaakt op Laatst bijgewerkt door Laatst bijgewerkt op |
automatisch instellen | |
| Einddatum voor gekoppelde incidenten |
geen |
Beheer cases verder door aangepaste status in te stellen, taken toe te wijzen, incidenten te koppelen en opmerkingen toe te voegen.
Status aanpassen
Ontwerp casebeheer om te voldoen aan de behoeften van uw Security Operations Center (SOC). Pas de statusopties aan die beschikbaar zijn voor uw SecOps-teams, zodat deze passen bij de processen die u hebt ingesteld.
Naar aanleiding van het voorbeeld van het maken van een intrigerend aanvalsvoorbeeld hebben de SOC-beheerders statussen geconfigureerd, zodat bedreigingsjagers wekelijks een achterstand van bedreigingen voor triage kunnen bijhouden. Aangepaste statussen, zoals onderzoeksfase en hypothese genereren , komen overeen met het tot stand gebrachte proces van dit bedreigingsteam.
Taken
Voeg taken toe om gedetailleerde onderdelen van uw cases te beheren. Elke taak wordt geleverd met een eigen naam, status, prioriteit, eigenaar en einddatum. Met deze informatie weet u altijd wie verantwoordelijk is voor het voltooien van welke taak en op welk tijdstip. De taakbeschrijving bevat een overzicht van het te doen werk en enige ruimte voor het beschrijven van de voortgang. Slotnotities bieden meer context over het resultaat van voltooide taken.
Afbeelding toont de volgende beschikbare taakstatussen: Nieuw, Wordt uitgevoerd, Mislukt, Gedeeltelijk voltooid, Overgeslagen, Voltooid
Objecten koppelen
Door een case te koppelen aan andere objecten in uw omgeving, kunnen uw SecOps-teams de bredere context van een bedreiging begrijpen. U kunt cases koppelen aan incidenten of indicatoren van inbreuk (IOC's).
Incidenten koppelen
Door een case en een incident te koppelen, kunnen uw SecOps-teams samenwerken in de methode die voor hen het beste werkt. Een bedreigingsjager die schadelijke activiteit vindt, maakt bijvoorbeeld een incident voor het incidentresponsteam. Die bedreigingsjager koppelt het incident aan een zaak, zodat het duidelijk is dat ze gerelateerd zijn. Nu begrijpt het IR-team de context van de opsporing die de activiteit heeft gevonden.
Als het IR-team een of meer incidenten naar het opsporingsteam moet escaleren, kunnen ze ook een case maken en de incidenten koppelen vanaf de pagina Met details van het onderzoek & reactie-incident .
Koppelingsindicatoren (preview)
Door een case te koppelen aan relevante indicatoren van inbreuk (IOC's) kunnen uw SecOps-teams de bredere context van een bedreiging begrijpen.
Als u de case wilt koppelen aan IOC's, gaat u naar het tabblad Gekoppelde objecten op de pagina Case en selecteert u Indicatoren. Selecteer vervolgens de knop Toevoegen en de werkruimte waarin de TI-indicator zich bevindt. Selecteer de gewenste TI-indicator en klik op Koppeling.
U kunt ook een case maken en de indicatoren koppelen vanaf de detailpagina van Intel-beheerindicatoren. Selecteer uw TI-indicator en vervolgens op Cases koppelen.
Activiteitenlogboek
Wilt u notities noteren of wilt u die sleuteldetectielogica doorgeven? Maak opmerkingen met opmaak en controleer de controlegebeurtenissen in het activiteitenlogboek. Opmerkingen zijn een uitstekende plek om snel informatie, zoals query's, tabellen, koppelingen en gestructureerde inhoud, toe te voegen aan een case.
Controlegebeurtenissen worden automatisch toegevoegd aan het activiteitenlogboek van de case en de meest recente gebeurtenissen worden bovenaan weergegeven. Wijzig het filter als u zich wilt concentreren op opmerkingen of controlegeschiedenis.
Bijlagen
Deel rapporten, e-mailberichten, schermopnamen, logboekbestanden en meer, allemaal gecentraliseerd op het tabblad Bijlagen van een case. Zorg ervoor dat u over alle benodigde informatie beschikt om snelle en nauwkeurige beslissingen te nemen in uw beveiligingsonderzoeken.
U kunt maximaal 10 bestanden per opmerking bijvoegen.
Bijlage toevoegen aan een case
Als u bijlagen wilt toevoegen aan uw case, gaat u naar de pagina Casedetails , selecteert u het tabblad Bijlagen , selecteert u Uploaden, selecteert u uw bestand en wacht u tot het uploaden is voltooid. Na het uploaden wordt het bestand op de achtergrond gescand op malware. Wanneer de scan is voltooid, kan iedereen met toegang tot de case het bestand downloaden. Als het bestand dat u wilt uploaden eigenlijk een malware-voorbeeld is, kunt u het verpakken in een zip-bestand met wachtwoordbeveiliging.
Bijlage toevoegen aan een opmerking (preview)
Een bijlage toevoegen aan een opmerking:
Ga naar het opmerkingengebied van de pagina Case .
Ga naar de teksteditor onderaan het scherm en selecteer het paperclippictogram om een bestand bij te voegen.
Selecteer het bestand dat u vanaf uw computer wilt bijvoegen.
Selecteer Verzenden om de opmerking op te slaan.
- Als u een schermafbeelding wilt toevoegen aan uw opmerking, plakt u deze in de teksteditor.
- Als u een bijgevoegd bestand uit de opmerking wilt verwijderen, selecteert u het bin-pictogram terwijl u er de muisaanwijzer overheen beweegt.
Case verwijderen (preview)
Een case verwijderen:
Open het scherm Cases, selecteer de case die u wilt verwijderen en selecteer Verwijderen.
Typ verwijderen in het pop-upvenster en selecteer bevestigen.
