مشاركة عبر

العمل مع مهام الحوادث في Microsoft Sentinel في مدخل Microsoft Azure

  • ينطبق على: Microsoft Sentinel in the Azure portal

توضح هذه المقالة كيف يمكن لمحللي SOC استخدام مهام الحوادث لإدارة عمليات سير العمل الخاصة بمعالجة الحوادث في Microsoft Sentinel في مدخل Microsoft Azure.

عادة ما يتم إنشاء مهام الحوادث تلقائيا إما بواسطة قواعد التشغيل التلقائي أو أدلة المبادئ التي أعدها كبار المحللين أو مديري SOC، ولكن يمكن للمحللين من المستوى الأدنى إنشاء مهامهم الخاصة على الفور، يدويا، مباشرة من داخل الحدث.

يمكنك مشاهدة قائمة المهام التي تحتاج إلى تنفيذها لحادث معين في صفحة تفاصيل الحادث، ووضع علامة عليها كمكتملة أثناء التنقل.

حالات الاستخدام لأدوار مختلفة

تتناول هذه المقالة السيناريوهات التالية، والتي تنطبق على محللي SOC:

تتناول المقالات الأخرى في الروابط التالية سيناريوهات تنطبق أكثر على مديري SOC وكبار المحللين ومهندسي الأتمتة:

المتطلبات الأساسية

دور مستجيب Microsoft Sentinel مطلوب لإنشاء قواعد التشغيل التلقائي ولعرض الحوادث وتحريرها، وكلاهما ضروري لإضافة المهام وعرضها وتحريرها.

عرض مهام الحوادث ومتابعتها

  1. في صفحة الحوادث ، حدد حدثا من القائمة، وحدد عرض التفاصيل الكاملة ضمن المهام في لوحة التفاصيل، أو حدد عرض التفاصيل الكاملة في أسفل لوحة التفاصيل.

    لقطة شاشة للارتباط لإدخال لوحة المهام من لوحة معلومات الحدث على شاشة الحوادث الرئيسية.

  2. إذا اخترت إدخال صفحة التفاصيل الكاملة، فحدد المهام من الشعار العلوي.

    تظهر لقطة الشاشة شاشة تفاصيل الحادث مع فتح لوحة المهام.

  3. سيتم فتح لوحة مهام الحادث على الجانب الأيمن من الشاشة التي كنت فيها (صفحة الحوادث الرئيسية أو صفحة تفاصيل الحادث). سترى قائمة المهام المعرفة لهذا الحدث، إلى جانب كيفية أو من قام بإنشائه - سواء يدويا أو بواسطة قاعدة التنفيذ التلقائي أو دليل المبادئ.

    تظهر لقطة الشاشة لوحة مهام الحدث كما هو الحال من صفحة تفاصيل الحادث.

  4. سيتم وضع علامة على المهام التي تحتوي على أوصاف بسهم توسيع. قم بتوسيع مهمة للاطلاع على وصفها الكامل.

    تظهر لقطة الشاشة لوحة مهام الحدث مع أوصاف مهام موسعة.

  5. وضع علامة على مهمة مكتملة عن طريق وضع علامة على الدائرة الموجودة بجانب اسم المهمة. ستظهر علامة اختيار في الدائرة، وسيظهر نص المهمة باللون الرمادي. راجع مثال "إعادة تعيين كلمة مرور المستخدم" في لقطات الشاشة أعلاه.

إضافة مهمة مخصصة يدويا إلى حادث

يمكنك أيضا إضافة مهام لنفسك، على الفور، إلى قائمة مهام الحدث. سيتم تطبيق هذه المهمة فقط على الحدث المفتوح. يساعد هذا إذا كان تحقيقك يقودك في اتجاهات جديدة وتفكر في أشياء جديدة تحتاج إلى التحقق منها. تضمن إضافة هذه المهام كمهام أنك لن تنسى القيام بها، وأنه سيكون هناك سجل لما فعلته، يمكن للمحللين والمديرين الآخرين الاستفادة منه.

  1. حدد + Add task من أعلى لوحة Incident tasks .

    لقطة شاشة توضح كيفية إضافة مهمة يدويا إلى قائمة المهام.

  2. أدخل عنوانا لمهمتك ووصفا إذا اخترت ذلك.

    لقطة شاشة توضح كيفية إضافة عنوان ووصف لمهمتك.

  3. حدد حفظ عند الانتهاء.

    لقطة شاشة توضح كيفية إنهاء تحديد المهمة وحفظها.

  4. راجع المهمة الجديدة في أسفل قائمة المهام. لاحظ أن المهام التي تم إنشاؤها يدويا لها نطاق ألوان مختلف على الحد الأيسر، وأن اسمك يظهر على أنه تم إنشاؤه بواسطة: ضمن عنوان المهمة ووصفها.

    لقطة شاشة تعرض مهمتك الجديدة في نهاية قائمة المهام.

الخطوات التالية

  • Last updated on