Sdílet prostřednictvím


Vytváření úloh incidentů v Microsoft Sentinelu pomocí pravidel automatizace

Tento článek vysvětluje, jak pomocí pravidel automatizace vytvářet seznamy úkolů incidentů, aby bylo možné standardizovat procesy pracovního postupu analytika v Microsoft Sentinelu.

Úlohy incidentů je možné vytvářet automaticky nejen pomocí pravidel automatizace, ale také playbooků, a také ručně, ad hoc, z incidentu.

Případy použití pro různé role

Tento článek se zabývá následujícími scénáři, které platí pro manažery SOC, vedoucí analytiky a techniky automatizace:

Další takový scénář je vyřešený v následujícím doprovodném článku:

Další článek na následujících odkazech se zabývá scénáři, které se týkají analytiků SOC:

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Role Responder služby Microsoft Sentinel je nutná k vytváření pravidel automatizace a k zobrazení a úpravám incidentů, z nichž obě jsou nezbytné k přidání, zobrazení a úpravám úkolů.

Zobrazení pravidel automatizace pomocí akcí úkolů incidentů

Na stránce Automation můžete vyfiltrovat zobrazení pravidel automatizace a zobrazit jenom ty, které mají definované akce přidat úkol .

Snímek obrazovky znázorňující, jak filtrovat mřížku pravidel automatizace

  1. Vyberte filtr Akce.

  2. Zrušte zaškrtnutí políčka Vybrat vše .

  3. Posuňte se dolů a označte zaškrtávací políčko Přidat úkol .

  4. Vyberte OK a zobrazte výsledky.

    Snímek obrazovky zobrazující výsledky filtru v mřížce pravidel automatizace

    Toto jsou pravidla automatizace, která přidávají úlohy do incidentů. Sloupec s názvy analytických pravidel vám řekne, na kterých analytických pravidlech jsou tato pravidla automatizace podmíněná, takže budete mít obecnou představu o tom, které incidenty jsou ovlivněné.

    Poznámka:

    Pokud chcete mít přesné znalosti o tom, jestli se pravidlo automatizace použije u konkrétního incidentu, musíte pravidlo otevřít, abyste zjistili, jestli jsou definovány nějaké další podmínky kromě podmínky analytického pravidla. Pokud jsou definovány další podmínky, rozsah ovlivněných incidentů se odpovídajícím způsobem zúží.

Přidání úkolů do incidentů pomocí pravidel automatizace

  1. Na stránce Automation vyberte + Vytvořit a vyberte pravidlo Automatizace.

  2. Na pravé straně se otevře panel Vytvořit nové pravidlo automatizace.
    Pojmenujte pravidlo automatizace, které popisuje, co dělá.

  3. Vyberte Při vytvoření incidentu jako triggeru (můžete také použít při aktualizaci incidentu).

  4. Přidejte podmínky pro určení, ke kterým incidentům se přidají nové úkoly.

    Můžete například filtrovat podle názvu pravidla Analytics:

    • Do incidentů můžete chtít přidat úkoly na základě typů hrozeb zjištěných analytickým pravidlem nebo skupinou analytických pravidel, která je potřeba zpracovat podle určitého pracovního postupu. V rozevíracím seznamu vyhledejte a vyberte příslušná analytická pravidla.

    • Nebo můžete chtít přidat úkoly, které jsou relevantní pro incidenty napříč všemi typy hrozeb (v tomto případě ponechte výchozí výběr Vše tak, jak je).

    V obou případech můžete přidat další podmínky pro zúžení rozsahu incidentů, na které bude pravidlo automatizace platit. Přečtěte si další informace o přidávání rozšířených podmínek do pravidel automatizace.

    Jednou z věcí, kterou je potřeba vzít v úvahu, je, že pořadí, ve kterém se úkoly zobrazují ve vašem incidentu, určuje čas vytvoření úkolů. Pořadí pravidel automatizace můžete nastavit tak, aby pravidla, která přidávají úkoly požadované pro všechny incidenty, se spustila jako první a teprve potom se spustí všechna pravidla, která přidávají úkoly vyžadované pro incidenty generované konkrétními analytickými pravidly.

    Snímek obrazovky s první částí průvodce pravidlem automatizace

  5. V části Akce vyberte Přidat úkol.

    Snímek obrazovky s výběrem akce Přidat úlohu v pravidle automatizace

  6. Pro každý úkol zadejte název do pole Název úkolu a pak (volitelně) vyberte + Přidat popis a otevřete pole popisu.
    Na panelu seznamu úkolů incidentu se ve výchozím nastavení zobrazují jenom názvy úkolů. Popis úkolu se zobrazí pouze v případech, kdy je položka úkolu rozbalována.

    Snímek obrazovky znázorňující, jak přidat název a popis úkolu

  7. Do pole popisu můžete přidat bezplatný popis úkolu, včetně obrázků, odkazů a formátování rtF (viz hypertextové odkazy, číslovaný seznamy a blokovaný text v příkladech níže).

    Snímek obrazovky znázorňující, jak přidat popis k úkolu

  8. Pokud chcete přidat další úkoly do stejné skupiny incidentů, vyberte + Přidat akci a opakujte poslední tři kroky.

    Úkoly se vytvoří a přidají do incidentu podle pořadí akcí přidat úkoly v pravidlu automatizace.

    Snímek obrazovky znázorňující, jak přidat další úkoly do pravidla automatizace

  9. Dokončete vytváření pravidla automatizace dokončením zbývajících kroků, vypršením platnosti pravidla a pořadím a výběrem možnosti Použít na konci. Podívejte se na článek Vytvoření a použití pravidel automatizace Microsoft Sentinelu ke správě odpovědí pro úplné podrobnosti.

    Pokud jde o nastavení pořadí : Pořadí, ve kterém se úkoly zobrazují ve vašich incidentech, závisí na dvou věcech:

    1. Pořadí provádění pravidel automatizace podle čísla v nastavení Pořadí a...
    2. Pořadí akcí přidat úkoly definované v rámci každého pravidla automatizace.

Další kroky