Arbejd med hændelsesopgaver i Microsoft Sentinel i Azure Portal

I denne artikel forklares det, hvordan SOC-analytikere kan bruge hændelsesopgaver til at administrere deres processer for håndtering af hændelser i Microsoft Sentinel i Azure Portal.

Hændelsesopgaver oprettes typisk automatisk af enten automatiseringsregler eller strategibøger, der er konfigureret af overordnede analytikere eller SOC-ledere, men analytikere på lavere niveauer kan oprette deres egne opgaver på stedet manuelt direkte fra hændelsen.

Du kan se en liste over de opgaver, du skal udføre for en bestemt hændelse, på siden med oplysninger om hændelser og markere dem som fuldførte efterhånden.

Use cases for forskellige roller

Denne artikel omhandler følgende scenarier, som gælder for SOC-analytikere:

• Få vist og følg hændelsesopgaver
• Føj manuelt en ad hoc-opgave til en hændelse

Andre artikler på følgende links omhandler scenarier, der gælder mere for SOC-ledere, senioranalytikere og automatiseringsteknikere:

• Vis automatiseringsregler med handlinger for hændelsesopgave
• Føj opgaver til hændelser med automatiseringsregler
• Føj opgaver til hændelser med playbooks

Forudsætninger

Rollen Microsoft Sentinel Responder er påkrævet for at oprette automatiseringsregler og for at få vist og redigere hændelser, som begge er nødvendige for at tilføje, få vist og redigere opgaver.

Få vist og følg hændelsesopgaver

1. Vælg en hændelse på listen på siden Hændelser , og vælg Få vist alle detaljer under Opgaver i detaljepanelet, eller vælg Få vist alle detaljer nederst i detaljepanelet.

   

2. Hvis du har valgt at angive hele siden med detaljer, skal du vælge Opgaver fra det øverste banner.

   

3. Panelet Hændelsesopgaver åbnes i højre side af den skærm, du var på (siden med de vigtigste hændelser eller siden med oplysninger om hændelser). Du får vist en liste over de opgaver, der er defineret for denne hændelse, sammen med, hvordan eller af hvem den blev oprettet – enten manuelt eller af en automatiseringsregel eller en playbook.

   

4. De opgaver, der har beskrivelser, markeres med en udvidelsespil. Udvid en opgave for at se dens fulde beskrivelse.

   

5. Markér en opgave som fuldført ved at markere cirklen ud for opgavenavnet. Der vises et flueben i cirklen, og opgavens tekst er nedtonet. Se eksemplet "Nulstil brugeradgangskode" på skærmbillederne ovenfor.

Føj manuelt en ad hoc-opgave til en hændelse

Du kan også føje opgaver til dig selv på stedet på en hændelses opgaveliste. Denne opgave gælder kun for den åbne hændelse. Dette hjælper, hvis din undersøgelse fører dig i nye retninger, og du tænker på nye ting, du skal kontrollere. Tilføjelse af disse som opgaver sikrer, at du ikke glemmer at gøre dem, og at der vil være en oversigt over, hvad du gjorde, som andre analytikere og ledere kan drage fordel af.

1. Vælg + Tilføj opgave øverst i panelet Hændelsesopgaver .

   

2. Angiv en titel til opgaven og en beskrivelse , hvis du vælger det.

   

3. Vælg Gem , når du er færdig.

   

4. Se din nye opgave nederst på opgavelisten. Bemærk, at manuelt oprettede opgaver har et andet farvebånd på venstre kant, og at dit navn vises som Oprettet af: under opgavens titel og beskrivelse.

   

Næste trin

• Få mere at vide om hændelsesopgaver.
• Få mere at vide om, hvordan du undersøger hændelser.
• Få mere at vide om, hvordan du føjer opgaver til grupper af hændelser automatisk ved hjælp af automatiseringsregler eller playbooks, og hvornår du skal bruge hvilke.
• Få mere at vide om , hvordan du holder styr på dine opgaver.
• Få mere at vide om automatiseringsregler , og hvordan du opretter dem.
• Få mere at vide om strategibøger , og hvordan du opretter dem.