Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender Fallverwaltung ist eine Sammlung von Features und Funktionen, die eine einheitliche, sicherheitsorientierte Fallverwaltung bieten. Diese Benutzeroberfläche ist für die Verwaltung einheitlicher Sicherheitsvorgänge konzipiert, die nativ im Microsoft Defender-Portal funktionieren, ohne dass Tools von Drittanbietern erforderlich sind. Sicherheitsteams verwalten den Sicherheitskontext, arbeiten effizienter und reagieren schneller auf Angriffe, wenn sie fallbezogene Aufgaben verwalten, ohne das Defender-Portal zu verlassen.
In der aktuellen Einführungsphase des Rollouts der Fallverwaltung werden umfassende Zusammenarbeit, Anpassung, Beweissammlung und Berichterstellung für SecOps-Workloads zentralisiert.
Was ist Case Management?
Mit der Fallverwaltung können Sie SecOps-Fälle nativ im Defender-Portal verwalten. Bereits in der Anfangsphase zeigen SecOps-Teams die folgenden Anwendungsfälle für die Fallverwaltung:
Reagieren auf Sicherheitsereignisse, die mehrere Incidents umfassen.
Verwalten der Bedrohungssuche.
Nachverfolgen von IoCs und Bedrohungsakteuren.
Nachverfolgung der Erkennungslogik, die eine Optimierung erfordert.
Die folgenden spezifischen Funktionen und Features unterstützen diese Anwendungsfälle und Szenarien:
- Erstellen und nachverfolgen Sie Ihre SecOps-bezogenen Fälle an einem Ort mit der neuen Seite Fälle .
- Definieren Sie Ihren eigenen Fallworkflow, indem Sie benutzerdefinierte status-Werte konfigurieren.
- Verbessern Sie Zusammenarbeit, Qualität und Verantwortlichkeit, indem Sie Aufgaben und Fälligkeitsdaten zuweisen.
- Behandeln Sie Eskalationen und komplexe Fälle, indem Sie mehrere Vorfälle mit einem Fall verknüpfen.
- Verwalten Sie den Zugriff auf Ihre Fälle mithilfe von RBAC.
- Fügen Sie Rich-Text-Kommentare hinzu, um Links, Tabellen und Formatierungen zum Aktivitätsprotokoll bereitzustellen.
- Laden Sie Anlagen hoch, um Dateien wie Dokumente, CSVs und verschlüsselte ZIP-Dateien mit Schadsoftwarebeispielen zu speichern.
- Verwalten sie Fälle in mehreren Mandanten über das mehrinstanzenfähige Verwaltungsportal.
Da wir auf dieser Grundlage der Fallverwaltung aufbauen, priorisieren wir diese zusätzlichen robusten Funktionen, während wir diese Lösung weiterentwickeln:
- Automatisierung
- Weitere hinzuzufügende Beweise
- Workflowanpassung
- Weitere Integrationen im Defender-Portal
Anforderungen
Die Fallverwaltung ist im Defender-Portal verfügbar, und um es verwenden zu können, muss ein Microsoft Sentinel-Arbeitsbereich verbunden sein. Auf Fälle kann nur über das Defender-Portal zugegriffen werden. sie werden im Azure-Portal nicht angezeigt.
Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit dem Defender-Portal.
Verwenden Sie Defender XDR einheitlichen RBAC- oder Microsoft Sentinel-Rollen, um Zugriff auf Funktionen für die Fallverwaltung zu gewähren.
| Fallfunktion | Microsoft Defender Unified RBAC | Microsoft Sentinel-Rolle |
|---|---|---|
| Nur anzeigen - Fallwarteschlange - Falldetails - Aufgaben - Kommentare - Fallüberwachungen |
Sicherheitsvorgänge > Sicherheitsdatengrundlagen (lesen) | Microsoft Sentinel-Leser |
| Erstellen und Verwalten von Fällen und Fallaufgaben , Zuweisen , Aktualisieren status - Verknüpfen und Aufheben der Verknüpfung von Incidents |
Warnungen für Sicherheitsvorgänge > (verwalten) | Microsoft Sentinel Responder |
| Anpassen von Status-Optionen für Groß-/Kleinschreibung | Autorisierung und Festlegen von > Core Security-Einstellungen (verwalten) | Microsoft Sentinel-Mitwirkender |
Weitere Informationen finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).
Fallwarteschlange
Um mit der Fallverwaltung zu beginnen, wählen Sie fälle im Defender-Portal aus, um auf die Fallwarteschlange zuzugreifen. Filtern, sortieren oder durchsuchen Sie Ihre Fälle, um herauszufinden, worauf Sie sich konzentrieren müssen.
Falldetails
Jeder Fall verfügt über eine Seite, auf der Analysten den Fall verwalten und wichtige Details anzeigen können.
Im folgenden Beispiel untersucht ein Bedrohungsjäger einen hypothetischen "Burrowing"-Angriff, der aus mehreren MITRE ATT&CK-Techniken® und Indikatoren für Kompromittierung (Indicators of Compromise, IoCs) besteht.
Verwalten Sie die folgenden Falldetails, um Arbeit zu beschreiben, zu priorisieren, zuzuweisen und nachzuverfolgen:
| Angezeigte Case-Funktion | Verwalten von Falloptionen | Standardwert |
|---|---|---|
| Priorität |
Very low, Low, Medium, High, Critical |
keine |
| Status | Von Analysten festgelegt, von Administratoren anpassbar | Standardstatus sind New, Openund ClosedStandardwert ist New |
| Zugewiesen an | Ein einzelner Benutzer im Mandanten | keine |
| Beschreibung | Nur-Text | keine |
| Falldetails | Fall-ID | Fall-IDs beginnen bei 1000 und werden nicht gelöscht. Verwenden Sie benutzerdefinierte Status und Filter, um Fälle zu archivieren. Fallnummern werden automatisch festgelegt. |
| Erstellt von Created on Last updated by Last updated on |
automatisch festlegen | |
| Aufgrund von verknüpften Vorfällen |
keine |
Verwalten Sie Fälle weiter, indem Sie angepasste status festlegen, Aufgaben zuweisen, Incidents verknüpfen und Kommentare hinzufügen.
Anpassen von status
Entwerfen Sie die Fallverwaltung so, dass sie den Anforderungen Ihres Security Operations Center (SOC) entspricht. Passen Sie die status Verfügbaren Optionen für Ihre SecOps-Teams an die prozesse an, die Sie eingerichtet haben.
Nach dem Beispiel für die Erstellung eines Angriffsfalls haben die SOC-Administratoren Status konfiguriert, die es Bedrohungsjägern ermöglichen, wöchentlich einen Rückstand von Bedrohungen für die Selektierung zu verwalten. Benutzerdefinierte Status wie Recherchephase und Generieren von Hypothesen entsprechen dem etablierten Prozess dieses Bedrohungssucheteams.
Aufgaben
Fügen Sie Aufgaben hinzu, um präzise Komponenten Ihrer Fälle zu verwalten. Jede Aufgabe verfügt über einen eigenen Namen, status, Priorität, Besitzer und Fälligkeitsdatum. Mit diesen Informationen wissen Sie immer, wer für welche Aufgabe und zu welchem Zeitpunkt verantwortlich ist. Die Aufgabenbeschreibung fasst die zu erledigenden Aufgaben zusammen und enthält platz zum Beschreiben des Fortschritts. Schlussnotizen bieten mehr Kontext zum Ergebnis abgeschlossener Aufgaben.
Die Abbildung zeigt die folgenden verfügbaren Aufgabenstatus: Neu, In Bearbeitung, Fehler, Teilweise abgeschlossen, Übersprungen, Abgeschlossen
Verknüpfen von Objekten
Das Verknüpfen eines Falls mit anderen Objekten in Ihrer Umgebung hilft Ihren SecOps-Teams, den umfassenderen Kontext einer Bedrohung zu verstehen. Sie können Fälle mit Incidents oder Gefährdungsindikatoren (IoCs) verknüpfen.
Verknüpfen von Incidents
Das Verknüpfen eines Falls und eines Incidents hilft Ihren SecOps-Teams, an der Methode zusammenzuarbeiten, die für sie am besten geeignet ist. Beispielsweise erstellt ein Bedrohungsjäger, der schädliche Aktivitäten findet, einen Incident für das Incident Response-Team (IR). Dieser Bedrohungsjäger verknüpft den Vorfall mit einem Fall, sodass klar ist, dass er in Zusammenhang steht. Nun versteht das IR-Team den Kontext der Suche, die die Aktivität gefunden hat.
Wenn das IR-Team einen oder mehrere Incidents an das Huntingteam eskalieren muss, kann es alternativ einen Fall erstellen und die Vorfälle auf der Detailseite Untersuchung & Reaktion verknüpfen.
Verknüpfen von Indikatoren
Das Verknüpfen eines Falls mit relevanten Indikatoren für Gefährdung (IOCs) hilft Ihren SecOps-Teams, den umfassenderen Kontext einer Bedrohung zu verstehen.
Um den Fall mit IOCs zu verknüpfen, wechseln Sie auf der Seite Fall zur Registerkarte Verknüpfte Objekte , und wählen Sie Indikatoren aus. Wählen Sie dann die Schaltfläche Hinzufügen und den Arbeitsbereich aus, in dem sich der TI-Indikator befindet. Wählen Sie den gewünschten TI-Indikator aus, und klicken Sie auf Link.
Alternativ können Sie einen Fall erstellen und die Indikatoren auf der Detailseite der Intel-Verwaltungsindikatoren verknüpfen. Wählen Sie Ihren TI-Indikator und dann link cases (Fälle verknüpfen) aus.
Aktivitätsprotokoll
Müssen Sie sich Notizen notieren oder die Schlüsselerkennungslogik übergeben? Erstellen Sie Rich-Text-Kommentare, und überprüfen Sie die Überwachungsereignisse im Aktivitätsprotokoll. Kommentare eignen sich hervorragend zum schnellen Hinzufügen von Informationen wie Abfragen, Tabellen, Links und strukturierten Inhalten zu einem Fall.
Überwachungsereignisse werden automatisch zum Aktivitätsprotokoll des Falls hinzugefügt, und die neuesten Ereignisse werden oben angezeigt. Ändern Sie den Filter, wenn Sie sich auf Kommentare oder den Überwachungsverlauf konzentrieren müssen.
Anlagen
Freigeben von Berichten, E-Mails, Screenshots, Protokolldateien und mehr, alles zentral auf der Registerkarte Anlagen eines Falls. Stellen Sie sicher, dass Sie über alle erforderlichen Informationen verfügen, um schnelle und genaue Entscheidungen bei Ihren Sicherheitsuntersuchungen zu treffen.
Sie können bis zu 10 Dateien pro Kommentar anfügen.
Hinzufügen einer Anlage zu einem Fall
Um Anlagen zu Ihrem Fall hinzuzufügen, wechseln Sie zur Seite Falldetails , wählen Sie die Registerkarte Anlagen aus, wählen Sie Hochladen aus, wählen Sie Ihre Datei aus, und warten Sie, bis der Upload abgeschlossen ist. Nach dem Hochladen wird die Datei im Hintergrund auf Schadsoftware überprüft. Wenn die Überprüfung abgeschlossen ist, kann jeder, der Zugriff auf den Fall hat, die Datei herunterladen. Wenn die Datei, die Sie hochladen möchten, tatsächlich ein Schadsoftwarebeispiel ist, können Sie sie in eine kennwortgeschützte ZIP-Datei umschließen.
Hinzufügen einer Anlage zu einem Kommentar
So fügen Sie einem Kommentar eine Anlage hinzu:
- Wechseln Sie zum Kommentarbereich der Seite Fall .
- Wechseln Sie zum Text-Editor am unteren Bildschirmrand, und wählen Sie das Büroklammersymbol aus, um eine Datei anzufügen.
- Wählen Sie die Datei aus, die Sie von Ihrem Computer anfügen möchten.
- Wählen Sie Senden aus, um den Kommentar zu speichern.
- Um einen Screenshot an Ihren Kommentar anzufügen, fügen Sie ihn in den Text-Editor ein.
- Um eine angefügte Datei aus dem Kommentar zu löschen, wählen Sie das Bin-Symbol aus, während Sie darauf zeigen.
Groß-/Kleinschreibung löschen
So löschen Sie einen Fall
Öffnen Sie den Bildschirm Fälle, wählen Sie den Fall aus, den Sie entfernen möchten, und wählen Sie Löschen aus.
Geben Sie im Popupfenster löschen ein, und wählen Sie dann Bestätigen aus.
Begrenzungen
Weitere Informationen finden Sie unter Grenzwerte für die Fallverwaltung.