在当今的安全运营中心(SOC)中,许多团队依赖 Microsoft Sentinel 或 Microsoft Defender 进行安全工作,同时使用第三方工具进行案例管理。然而,这些第三方系统通常未针对 SecOps 的独特需求进行优化,导致视图和数据的通用性、缺乏安全上下文、响应时间延长,以及额外的实施成本。此外,过度依赖第三方票务系统进行内部和外部沟通与协作,可能导致协作能力不足,且无法与 SecOps 工作流充分集成。
为了解决这些挑战,微软宣布推出全新的案例管理服务的公开预览版。该功能旨在提供统一的、安全为中心的案例管理体验,集中丰富的协作、自定义、证据收集和报告功能,减少对外部票务系统的依赖。
新的案例管理服务提供了一套初步功能,为未来的能力奠定基础。通过该服务,您可以:
- 通过新的案例页面,在一个地方创建和跟踪与 SecOps 相关的案例。
- 通过配置自定义状态值,定义您自己的工作流程。
- 通过分配任务和截止日期,提高协作、质量和责任感。
- 通过将多个事件链接到一个案例,处理升级和复杂案例。
- 使用基于角色的访问控制(RBAC)管理对您案例的访问。
若要使用它,必须连接Microsoft Sentinel工作区到Microsoft Defender门户中,据此操作可以参考前文部署并初始化Microsoft Defender 门户中的统一安全运营平台 – 365vCloud’s Journey to the Cloud
| 案例功能 | Microsoft Defender XDR Unified RBAC 中所需的最低权限 |
| 仅 查看案例队列 – 案例详细信息 – 任务 – 注释 – 案例审核 |
安全操作 > 安全数据基础知识 (读取) |
| 创建和管理 案例和案例任务 -分配 -更新状态 -链接和取消链接事件 |
(管理) 的安全操作 > 警报 |
| 自定义案例状态选项 | 授权和设置 > 核心安全性设置 (管理) |
您可以通过将 Microsoft Sentinel 工作区连接到您的 Defender 门户,开始您的旅程,以启用统一的安全运营平台。在 Defender 门户导航栏中点击“案例”条目,您将能够在案例页面上创建和查看您的案例。
创建案例时定义以下信息,以描述、确定工作优先级、分配和跟踪工作:
| 显示案例功能 | 管理案例选项 | 默认值 |
| 优先级 | Very low, Low, Medium, High, Critical | 无 |
| 状态 | 由分析师设置,管理员可自定义 | 默认状态为 New、 Open, Closed 默认值为 New |
| 分配到 | 租户中的单个用户 | 无 |
| 说明 | 纯文本 | 无 |
| 案例详细信息 | 案例 ID | 案例 ID 从 1000 开始,不会清除。 使用自定义状态和筛选器存档案例。 将自动设置案例编号。 |
| 创建时间 : 上次更新的创建时间 |
自动设置 | |
| 已链接事件到期 | 无 |
你也可以将某一个“事件”链接到案例
每个案例在队列中都有一个案例详细信息页面,您可以在其中管理案例并查看内容。在活动日志区域,您有足够的空间发表评论、粘贴内容并分享您的发现。例如,一个威胁猎手正在调查一个新的假设“Burrowing Attack”,该攻击包含多个 MITRE ATT&CK 技术和 IoC。
每个 SecOps 团队都有自己的流程。通过设置自定义状态值,配置您的案例以匹配您的流程。例如,威胁猎手的状态使其能够保留每周可以分类的威胁积压。自定义状态(如“研究阶段”和“生成假设”)与该威胁猎人团队的流程相匹配。
您可以使用任务进行更细致的管理。每个案例中的任务都有自己的名称、状态、优先级、所有者和截止日期。通过这些信息,多个协作者可以在一个案例上协同工作,您将始终知道谁负责完成哪个任务,以及截止时间,以确保案例中的所有必要步骤都已完成。
假设我们的威胁猎手发现了恶意活动,并为 IR 团队创建了一个事件。他们可以将该事件链接到案例,以明确事件和案例之间的关系。或者,如果 IR 团队需要将一个或多个事件升级到猎人团队,他们可以创建一个案例并将事件链接到那里。在链接的事件选项卡中,您可以看到每个链接事件的状态。您可以点击事件名称,在相应的事件详细信息页面上进一步调查。
链接案例和事件可帮助 SecOps 团队以最适合他们的方法进行协作。 例如,发现恶意活动的威胁猎手会为事件响应创建事件响应 (IR) 团队。 那个威胁猎人把事件与一个案件联系在一起,所以很明显他们有联系。 现在,IR 团队已了解发现活动的搜寻上下文。
或者,如果 IR 团队需要将一个或多个事件上报给搜寻团队,他们可以创建一个案例,并从 “调查 & 响应 事件详细信息”页链接事件。
目前,该功能仅在 Defender 门户的最新体验中可用,在 Azure 门户的 Microsoft Sentinel 体验中暂无法使用。需要注意的是,关闭案例时,目前还不会同时关闭关联的事件,但微软已经收到了相关反馈,后续版本可能会进行优化。
我可以在 Azure 门户的 Microsoft Sentinel 体验中访问此新功能吗?
不,该功能仅在 Defender 门户的最新体验中可用。
案例与事件之间有什么关系?
案例和事件是独立的项目,各自有其作用。事件适用于分类、安全调查、补救和其他 IR 活动。案例管理更为通用,能够跨多个 SecOps 工作负载实现协作和效率。
了解 365vCloud's Journey to the Cloud 的更多信息
订阅后即可通过电子邮件收到最新文章。
