Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak analytici SOC můžou pomocí úloh incidentů spravovat procesy pracovního postupu zpracování incidentů v Microsoft Sentinelu na webu Azure Portal.
Úlohy incidentů se obvykle vytvářejí automaticky pomocí pravidel automatizace nebo playbooků vytvořených vedoucími analytiky nebo manažery SOC, ale analytici nižší úrovně můžou vytvářet vlastní úkoly na místě ručně přímo z incidentu.
Seznam úkolů, které potřebujete provést pro konkrétní incident, můžete zobrazit na stránce s podrobnostmi incidentu a označit je jako dokončené.
Případy použití pro různé role
Tento článek se zabývá následujícími scénáři, které platí pro analytiky SOC:
Další články na následujících odkazech řeší scénáře, které se týkají manažerů SOC, vedoucích analytiků a techniků automatizace:
- Zobrazení pravidel automatizace pomocí akcí úkolů incidentů
- Přidání úkolů do incidentů pomocí pravidel automatizace
- Přidání úkolů do incidentů pomocí playbooků
Požadavky
Role Responder služby Microsoft Sentinel je nutná k vytváření pravidel automatizace a k zobrazení a úpravám incidentů, z nichž obě jsou nezbytné k přidání, zobrazení a úpravám úkolů.
Zobrazit a sledovat úkoly týkající se incidentu
Na stránce Incidenty vyberte ze seznamu incident a v části Úkoly na panelu podrobností vyberte Zobrazit úplné podrobnosti nebo v dolní části panelu podrobností vyberte Zobrazit úplné podrobnosti.
Pokud jste se rozhodli zadat celou stránku podrobností, vyberte Úkoly v horním banneru.
Panel Úkoly incidentu se otevře na pravé straně obrazovky, ve které jste byli (hlavní stránka incidentů nebo stránka s podrobnostmi incidentu). Zobrazí se seznam úkolů definovaných pro tento incident spolu s tím, jak nebo kým byl vytvořen – ať už ručně, nebo pravidlem automatizace nebo playbookem.
Úkoly s popisy budou označené šipkou rozšíření. Rozbalením úkolu zobrazíte jeho úplný popis.
Označte úkol jako dokončený tak, že označíte kruh vedle názvu úkolu. V kruhu se zobrazí značka zaškrtnutí a text úkolu se zobrazí šedě. Podívejte se na příklad Resetování hesla uživatele na výše uvedených snímcích obrazovky.
Ruční přidání ad hoc úkolu k incidentu
Úkoly můžete také přidat sami na místě do seznamu úkolů incidentu. Tento úkol se bude vztahovat pouze na otevřený incident. To vám pomůže v případě, že vás vyšetřování povede novými směry a když vás napadne, že je potřeba zkontrolovat nové věci. Přidáním těchto úkolů zajistíte, že je nezapomenete udělat a že bude existovat záznam o tom, co jste udělali, že z nich můžou těžit další analytici a manažeři.
V horní části panelu Úkoly incidentu vyberte + Přidat úkol.
Pokud zvolíte , zadejte název úkolu a popis .
Po dokončení vyberte Uložit .
Podívejte se na nový úkol v dolní části seznamu úkolů. Všimněte si, že ručně vytvořené úkoly mají na levém okraji jiný barevný pruh a že vaše jméno se zobrazí jako Vytvořené: pod názvem a popisem úkolu.
Další kroky
- Přečtěte si další informace o úkolech incidentů.
- Zjistěte, jak vyšetřovat incidenty.
- Naučte se přidávat úkoly do skupin incidentů automaticky pomocí pravidel automatizace nebo playbooků a kdy je použít.
- Přečtěte si informace o sledování úkolů.
- Přečtěte si další informace o pravidlech automatizace a o tom, jak je vytvořit.
- Přečtěte si další informace o playbookech a o tom, jak je vytvořit.