Microsoft Defender案例管理是一系列特性和功能,可提供统一的、以安全为中心的案例管理体验。 此体验设计用于在 Microsoft Defender 门户中本机管理统一安全作,而无需使用第三方工具。 安全运营团队无需离开 Defender 门户即可维护安全上下文,更高效地工作,并更快地响应攻击。
案例管理推出的当前入门阶段集中了跨 SecOps 工作负载的丰富协作、自定义、证据收集和报告。
什么是案例管理?
案例管理使你能够在 Defender 门户中本机管理 SecOps 案例。 即使在初始阶段,SecOps 团队也会演示以下案例管理用例:
响应跨多个事件的安全事件。
管理威胁搜寻。
跟踪 IoC 和威胁参与者。
跟踪需要优化的检测逻辑。
以下特定功能和功能支持这些用例和方案:
- 使用新案例页面在一个位置创建和跟踪与 SecOps 相关的 案例 。
- 通过配置自定义状态值来定义自己的案例工作流。
- 通过分配任务和截止日期来改进协作、质量和责任制。
- 通过将多个事件链接到一个案例来处理升级和复杂案例。
- 使用 RBAC 管理对案例的访问。
- 添加富文本注释以提供活动日志的链接、表和格式设置。
- 上传附件以存储文档、CSV 和包含恶意软件示例的加密 zip 文件等文件。
- 通过多租户管理门户管理多个租户中的案例。
在案例管理的这一基础上进行构建时,我们会在改进此解决方案时优先考虑以下附加的可靠功能:
- 自动化
- 要添加的更多证据
- 工作流自定义
- 更多 Defender 门户集成
要求
Defender 门户中提供案例管理,若要使用它,必须连接Microsoft Sentinel工作区。 只能从 Defender 门户访问案例;无法在Azure 门户中看到它们。
有关详细信息,请参阅将Microsoft Sentinel连接到 Defender 门户。
使用Defender XDR统一的 RBAC 或 Microsoft Sentinel 角色授予对案例管理功能的访问权限。
| 案例功能 | Microsoft Defender统一 RBAC | Microsoft Sentinel角色 |
|---|---|---|
| 仅 查看案例队列 - 案例详细信息 - 任务 - 注释 - 案例审核 |
安全作 > 安全数据基础知识 (读取) | Microsoft Sentinel阅读器 |
| 创建和管理 案例和案例任务 -分配 -更新状态 -链接和取消链接事件 |
(管理) 的安全作 > 警报 | Microsoft Sentinel响应方 |
| 自定义案例状态选项 | 授权和设置 > 核心安全性设置 (管理) | Microsoft Sentinel参与者 |
有关详细信息,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 。
案例队列
若要开始使用案例管理,请在 Defender 门户中选择“ 案例 ”以访问案例队列。 筛选、排序或搜索案例,找到需要关注的内容。
案例详细信息
每个案例都有一个页面,允许分析师管理案例并显示重要详细信息。
在以下示例中,威胁猎手正在调查一个假设的“挖洞”攻击,该攻击包括多种 MITRE ATT&CK® 技术和入侵指标 (IoC) 。
管理以下案例详细信息,以描述、确定工作优先级、分配和跟踪工作:
| 显示案例功能 | 管理案例选项 | 默认值 |
|---|---|---|
| 优先级 |
Very low, Low, Medium, High, Critical |
无 |
| 状态 | 由分析师设置,管理员可自定义 | 默认状态为 New、 Open, Closed默认值为 New |
| 分配到 | 租户中的单个用户 | 无 |
| 说明 | 纯文本 | 无 |
| 案例详细信息 | 案例 ID | 案例 ID 从 1000 开始,不会清除。 使用自定义状态和筛选器存档案例。 将自动设置案例编号。 |
| 创建时间 : 上次更新的创建时间 |
自动设置 | |
| 已链接事件到期 |
无 |
通过设置自定义状态、分配任务、链接事件和添加注释,进一步管理案例。
自定义状态
构建符合安全运营中心需求 (SOC) 的案例管理。 自定义可供 SecOps 团队使用的状态选项,以适应已有的流程。
按照挖洞攻击案例创建示例,SOC 管理员配置了状态,使威胁搜寻者能够每周保留积压的威胁进行会审。 自定义状态(如 “研究阶段 ”和 “生成假设” )与此威胁搜寻团队的既定过程相匹配。
任务
添加任务以管理案例的精细组件。 每个任务都有自己的名称、状态、优先级、所有者和截止日期。 通过此信息,你始终知道谁负责在什么时间完成哪个任务。 任务说明总结了要完成的工作以及描述进度的一些空间。 结束注释提供了有关已完成任务结果的更多上下文。
图像显示以下可用的任务状态:“新建”、“正在进行”、“失败”、“部分完成”、“已跳过”、“已完成”
链接事件
链接案例和事件可帮助 SecOps 团队以最适合他们的方法进行协作。 例如,发现恶意活动的威胁猎手会为事件响应创建事件响应 (IR) 团队。 那个威胁猎人把事件与一个案件联系在一起,所以很明显他们有联系。 现在,IR 团队已了解发现活动的搜寻上下文。
或者,如果 IR 团队需要将一个或多个事件上报给搜寻团队,他们可以创建一个案例,并从 “调查 & 响应 事件详细信息”页链接事件。
活动日志
需要记下笔记,或者要传递的密钥检测逻辑? 创建富文本注释并查看活动日志中的审核事件。 注释是快速向案例添加信息(包括查询、表、链接和结构化内容)的绝佳位置。
审核事件会自动添加到事例的活动日志中,最新事件显示在顶部。 如果需要关注批注或审核历史记录,请更改筛选器。
附件
共享报告、电子邮件、屏幕截图、日志文件等,全部集中在案例的“ 附件 ”选项卡中。 确保拥有所有必要的信息,以在安全调查中快速准确地做出决策。
若要向案例添加附件,请转到 案例详细信息 页,选择“ 附件 ”选项卡,选择“ 上传”,选择文件,然后等待上传完成。 上传后,文件在后台扫描是否存在恶意软件。 扫描完成后,有权访问案例的任何人都可以下载该文件。 如果要上传的文件实际上是恶意软件示例,则可以将其包装在受密码保护的 ZIP 文件中。
限制
请参阅 案例管理限制。