Erstellen von Vorfallsaufgaben in Microsoft Sentinel mithilfe von Automatisierungsregeln

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird erläutert, wie Sie mithilfe von Automatisierungsregeln Listen mit Vorfallsaufgaben erstellen, um Analysten-Workflowprozesse in Microsoft Sentinel zu standardisieren.

Vorfallsaufgaben können nicht nur von Automatisierungsregeln, sondern auch von Playbooks automatisch erstellt werden, sowie auch manuell ad-hoc innerhalb eines Vorfalls.

Anwendungsfälle für verschiedene Rollen

In diesem Artikel werden die folgenden Szenarien behandelt, die für SOC-Manager, leitende Analysten und Automatisierungstechniker gelten:

Ein weiteres solches Szenario wird im folgenden Begleitartikel behandelt:

Ein weiterer Artikel – zu finden unter den folgenden Links – befasst sich mit Szenarien, die mehr für SOC-Analysten gelten:

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Die Rolle Microsoft Sentinel-Antwortberechtigter ist erforderlich, um Automatisierungsregeln zu erstellen und Vorfälle anzuzeigen und zu bearbeiten, was beides zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich ist.

Anzeigen von Automatisierungsregeln mit Vorfallsaufgabenaktionen

Auf der Seite Automation können Sie die Ansicht der Automatisierungsregeln filtern, um nur diejenigen anzuzeigen, für die Aufgabe hinzufügen-Aktionen definiert sind.

Screenshot des Filterns des Rasters mit Automatisierungsregeln.

  1. Wählen Sie den Filter Aktionen aus.

  2. Deaktivieren Sie das Kontrollkästchen Alle auswählen.

  3. Scrollen Sie nach unten, und aktivieren Sie das Kontrollkästchen Aufgabe hinzufügen.

  4. Wählen Sie OK aus, und sehen Sie sich die Ergebnisse an.

    Screenshot der Ergebnisse des Filters im Raster mit Automatisierungsregeln.

    Dies sind die Automatisierungsregeln, die Vorfällen Aufgaben hinzufügen. In der Spalte Analytics-Regelnamen erfahren Sie, auf welche Analyseregeln diese Automatisierungsregeln beruhen, sodass Sie eine allgemeine Vorstellung davon haben, welche Vorfälle betroffen sind.

    Hinweis

    Um genau zu wissen, ob eine Automatisierungsregel für einen bestimmten Vorfall gilt, müssen Sie die Regel öffnen, um festzustellen, ob neben der Analyseregelbedingung zusätzliche Bedingungen definiert sind. Wenn weitere Bedingungen definiert sind, wird der Umfang der betroffenen Vorfälle entsprechend eingeschränkt.

Hinzufügen von Aufgaben zu Vorfällen mit Automatisierungsregeln

  1. Wählen Sie auf der Seite Automatisierung die Option + Erstellen und dann Automatisierungsregel aus.

  2. Der Bereich Neue Automatisierungsregel erstellen wird auf der rechten Seite geöffnet.
    Geben Sie Ihrer Automatisierungsregel einen Namen, der beschreibt, was sie tut.

  3. Wählen Sie Beim Erstellen des Vorfalls als Trigger aus. (Sie können auch Beim Aktualisieren des Vorfalls verwenden.)

  4. Fügen Sie Bedingungen hinzu, um zu bestimmen, zu welchen Vorfällen neue Aufgaben hinzugefügt werden.

    Filtern Sie beispielsweise nach Analyseregelname:

    • Möglicherweise möchten Sie Incident Aufgaben basierend auf den Arten von Bedrohungen hinzufügen, die von einer Analyseregel oder einer Gruppe von Analyseregeln erkannt werden und gemäß einem bestimmten Workflow behandelt werden müssen. Suchen Sie in der Dropdownliste nach den relevanten Analyseregeln, und wählen Sie sie aus.

    • Oder Sie können auch Aufgaben hinzufügen, die für Vorfälle mit allen Arten von Bedrohungen relevant sind. (In diesem Fall behalten Sie die Standardauswahl Alle unverändert bei.)

    In beiden Fällen können Sie weitere Bedingungen hinzufügen, um den Bereich der Vorfälle einzugrenzen,für den Ihre Automatisierungsregel gilt. Erfahren Sie mehr über das Hinzufügen erweiterter Bedingungen zu Automatisierungsregeln.

    Ein Aspekt, den Sie beachten müssen, ist, dass die Reihenfolge, in der Aufgaben in Ihrem Vorfall angezeigt werden, durch die Erstellungszeit der Aufgaben bestimmt wird. Sie können die Reihenfolge der Automatisierungsregeln so festlegen, dass Regeln, die für alle Vorfälle erforderliche Aufgaben hinzufügen, zuerst ausgeführt werden, und erst danach alle Regeln, die Aufgaben hinzufügen, die für Vorfälle erforderlich sind, die von bestimmten Analyseregeln generiert wurden.

    Screenshot des ersten Teils des Automatisierungsregel-Assistenten.

  5. Wählen Sie unter Aktionen die Option Aufgabe hinzufügen aus.

    Screenshot des Auswählens der Aktion „Aufgabe hinzufügen“ in einer Automatisierungsregel.

  6. Geben Sie für jede Aufgabe einen Titel in das Feld Aufgabentitel ein, und wählen Sie dann (optional) + Beschreibung hinzufügen aus, um ein Beschreibungsfeld zu öffnen.
    Nur Aufgabentitel werden standardmäßig im Aufgabenlistenbereich des Vorfalls angezeigt. Die Beschreibung einer Aufgabe wird nur angezeigt, wenn das Aufgabenelement erweitert wird.

    Screenshot des Hinzufügens eines Titels und einer Beschreibung zu einer Aufgabe.

  7. Im Beschreibungsfeld können Sie eine Freiformbeschreibung für die Aufgabe hinzufügen, einschließlich Bildern, Links und Rich-Text-Formatierung (siehe die Links, nummerierte Listen und den Codeblock-formatierten Text in den unten stehenden Beispielen).

    Screenshot des Hinzufügens einer Beschreibung zu einer Aufgabe.

  8. Fügen Sie derselben Gruppe von Vorfällen weitere Aufgaben hinzu, indem Sie + Aktion hinzufügen auswählen und die letzten drei Schritte wiederholen.

    Aufgaben werden entsprechend der Reihenfolge der Aufgabe hinzufügen-Aktionen in Ihrer Automatisierungsregel erstellt und dem Vorfall hinzugefügt.

    Screenshot des Hinzufügens weiterer Aufgaben zu einer Automatisierungsregel.

  9. Schließen Sie das Erstellen der Automatisierungsregel ab, indem Sie die verbleibenden Schritte Regelablauf und Reihenfolge abschließen, und wählen Sie am Ende Anwenden aus. Die vollständigen Details finden Sie unter Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zum Verwalten von Reaktionen.

    Bezüglich der Einstellung Reihenfolge: Die Reihenfolge, in der Aufgaben in Ihren Vorfällen angezeigt werden, hängt von zwei Dingen ab:

    1. Der Reihenfolge der Ausführung der Automatisierungsregeln, wie sie durch die Zahl in der Einstellung Reihenfolge bestimmt wird, und...
    2. Der Reihenfolge der Aufgabe hinzufügen-Aktionen, die in der jeweiligen Automatisierungsregel definiert sind.

Nächste Schritte