Arbeiten mit Incidentaufgaben in Microsoft Sentinel im Azure-Portal

  • Gilt für:: Microsoft Sentinel in the Azure portal

In diesem Artikel wird erläutert, wie SOC-Analysten Incidenttasks verwenden können, um ihre Workflowprozesse zur Incidentbehandlung in Microsoft Sentinel im Azure-Portal zu verwalten.

Incidentaufgaben werden in der Regel automatisch von Automatisierungsregeln oder Playbooks erstellt, die von Senior Analysts oder SOC-Managern eingerichtet wurden, aber Analysten auf niedrigeren Ebenen können ihre eigenen Aufgaben vor Ort manuell und direkt innerhalb des Incidents erstellen.

Sie können die Liste der Aufgaben, die Sie für einen bestimmten Incident ausführen müssen, auf der Seite mit den Incidentdetails anzeigen und diese als abgeschlossen markieren.

Anwendungsfälle für verschiedene Rollen

In diesem Artikel werden die folgenden Szenarien behandelt, die für SOC-Analysten gelten:

Weitere Artikel unter den folgenden Links behandeln Szenarien, die mehr für SOC-Manager, Senior Analysts und Automatisierungstechniker gelten:

Voraussetzungen

Die rolle "Microsoft Sentinel Responder" ist erforderlich, um Automatisierungsregeln zu erstellen und Incidents anzuzeigen und zu bearbeiten, die beide zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich sind.

Anzeigen und Folgen von Incidentaufgaben

  1. Wählen Sie auf der Seite Incidents einen Incident aus der Liste aus, und wählen Sie im Detailbereich unter Aufgaben die Option Vollständige Details anzeigen aus, oder wählen Sie unten im Detailbereich vollständige Details anzeigen aus.

    Screenshot: Link zum Öffnen des Aufgabenbereichs im Bereich

  2. Wenn Sie sich für die vollständige Detailseite entschieden haben, wählen Sie im oberen Banner Aufgaben aus.

    Screenshot: Bildschirm

  3. Der Bereich Incidentaufgaben wird auf der rechten Seite des Bildschirms geöffnet, auf dem Sie sich befanden (die Hauptseite für Incidents oder die Seite mit den Incidentdetails). Sie sehen die Liste der für diesen Incident definierten Aufgaben sowie die Art und Weise oder durch wen er erstellt wurde – entweder manuell oder durch eine Automatisierungsregel oder ein Playbook.

    Screenshot des Bereichs

  4. Die Aufgaben mit Beschreibungen werden mit einem Erweiterungspfeil markiert. Erweitern Sie eine Aufgabe, um die vollständige Beschreibung anzuzeigen.

    Screenshot: Bereich

  5. Markieren Sie eine Aufgabe als abgeschlossen, indem Sie den Kreis neben dem Vorgangsnamen markieren. Im Kreis wird ein Häkchen angezeigt, und der Text der Aufgabe ist abgeblendet. Sehen Sie sich das Beispiel "Zurücksetzen des Benutzerkennworts" in den obigen Screenshots an.

Manuelles Hinzufügen einer Ad-hoc-Aufgabe zu einem Incident

Sie können auch aufgaben für sich selbst vor Ort zur Aufgabenliste eines Incidents hinzufügen. Diese Aufgabe gilt nur für den offenen Incident. Dies hilft, wenn Ihre Untersuchung Sie in neue Richtungen führt und Sie an neue Dinge denken, die Sie überprüfen müssen. Wenn Sie diese Aufgaben als Aufgaben hinzufügen, wird sichergestellt, dass Sie nicht vergessen, sie zu erledigen, und dass es eine Aufzeichnung ihrer Aktivitäten gibt, von denen andere Analysten und Manager profitieren können.

  1. Wählen Sie oben im Bereich Incidentaufgabendie Option + Aufgabe hinzufügen aus.

    Screenshot: Manuelles Hinzufügen einer Aufgabe zu Ihrer Aufgabenliste

  2. Geben Sie einen Titel für Ihre Aufgabe und ggf. eine Beschreibung ein.

    Screenshot: Hinzufügen eines Titels und einer Beschreibung zu Ihrer Aufgabe

  3. Wählen Sie Speichern aus, wenn Sie fertig sind.

    Screenshot: Fertigstellen des Definierens und Speicherns ihrer Aufgabe

  4. Sehen Sie sich Ihre neue Aufgabe am Ende der Aufgabenliste an. Beachten Sie, dass manuell erstellte Aufgaben ein anderes Farbband am linken Rand aufweisen und Ihr Name unter dem Aufgabentitel und der Beschreibung als Erstellt von angezeigt wird.

    Screenshot: Neue Aufgabe am Ende der Aufgabenliste

Nächste Schritte

  • Last updated on