مشاركة عبر

العمل مع مهام الحوادث في Microsoft Sentinel

  • مقالة

تشرح هذه المقالة كيف يمكن لمحللي SOC استخدام مهام الحوادث لإدارة عمليات سير العمل الخاصة بمعالجة الحوادث في Microsoft Sentinel.

عادة ما يتم إنشاء مهام الحوادث تلقائيا إما بواسطة قواعد التشغيل التلقائي أو أدلة المبادئ التي أعدها كبار المحللين أو مديري SOC، ولكن يمكن للمحللين من المستوى الأدنى إنشاء مهامهم الخاصة على الفور، يدويا، مباشرة من داخل الحدث.

يمكنك مشاهدة قائمة المهام التي تحتاج إلى تنفيذها لحادث معين في صفحة تفاصيل الحادث، ووضع علامة عليها كمكتملة أثناء التنقل.

حالات الاستخدام لأدوار مختلفة

تتناول هذه المقالة السيناريوهات التالية، والتي تنطبق على محللي SOC:

تتناول المقالات الأخرى في الروابط التالية سيناريوهات تنطبق أكثر على مديري SOC وكبار المحللين ومهندسي الأتمتة:

المتطلبات الأساسية

دور مستجيب Microsoft Sentinel مطلوب لإنشاء قواعد التشغيل التلقائي ولعرض الحوادث وتحريرها، وكلاهما ضروري لإضافة المهام وعرضها وتحريرها.

عرض مهام الحوادث ومتابعتها

  1. في صفحة الحوادث ، حدد حدثا من القائمة، وحدد عرض التفاصيل الكاملة ضمن المهام في لوحة التفاصيل، أو حدد عرض التفاصيل الكاملة في أسفل لوحة التفاصيل.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. إذا اخترت إدخال صفحة التفاصيل الكاملة، فحدد المهام من الشعار العلوي.

    Screenshot shows incident details screen with tasks panel open.

  3. سيتم فتح لوحة مهام الحادث على الجانب الأيمن من الشاشة التي كنت فيها (صفحة الحوادث الرئيسية أو صفحة تفاصيل الحادث). سترى قائمة المهام المعرفة لهذا الحدث، إلى جانب كيفية أو من قام بإنشائه - سواء يدويا أو بواسطة قاعدة التنفيذ التلقائي أو دليل المبادئ.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. سيتم وضع علامة على المهام التي تحتوي على أوصاف بسهم توسيع. قم بتوسيع مهمة للاطلاع على وصفها الكامل.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. وضع علامة على مهمة مكتملة عن طريق وضع علامة على الدائرة الموجودة بجانب اسم المهمة. ستظهر علامة اختيار في الدائرة، وسيظهر نص المهمة باللون الرمادي. راجع مثال "إعادة تعيين كلمة مرور المستخدم" في لقطات الشاشة أعلاه.

إضافة مهمة مخصصة يدويا إلى حادث

يمكنك أيضا إضافة مهام لنفسك، على الفور، إلى قائمة مهام الحدث. سيتم تطبيق هذه المهمة فقط على الحدث المفتوح. يساعد هذا إذا كان تحقيقك يقودك في اتجاهات جديدة وتفكر في أشياء جديدة تحتاج إلى التحقق منها. تضمن إضافة هذه المهام كمهام أنك لن تنسى القيام بها، وأنه سيكون هناك سجل لما فعلته، يمكن للمحللين والمديرين الآخرين الاستفادة منه.

  1. حدد + Add task من أعلى لوحة Incident tasks .

    Screenshot shows how to manually add a task to your task list.

  2. أدخل عنوانا لمهمتك ووصفا إذا اخترت ذلك.

    Screenshot shows how to add a title and description to your task.

  3. حدد حفظ عند الانتهاء.

    Screenshot shows how to finish defining and save your task.

  4. راجع المهمة الجديدة في أسفل قائمة المهام. لاحظ أن المهام التي تم إنشاؤها يدويا لها نطاق ألوان مختلف على الحد الأيسر، وأن اسمك يظهر على أنه تم إنشاؤه بواسطة: ضمن عنوان المهمة ووصفها.

    Screenshot showing your new task at the end of the task list.

الخطوات التالية