Trabajo con tareas de incidentes en Microsoft Sentinel

  • Artículo

En este artículo se explica cómo los analistas de SOC pueden usar tareas de incidentes para administrar sus procesos de flujo de trabajo de control de incidentes en Microsoft Sentinel.

Normalmente, las tareas de incidente se crean automáticamente mediante reglas de automatización o cuadernos de estrategias configurados por analistas sénior o administradores de SOC, pero los analistas de nivel inferior pueden crear sus propias tareas en el lugar, manualmente, directamente desde dentro del incidente.

Puede ver la lista de tareas que debe realizar para un incidente determinado en la página de detalles del incidente y marcarlas completadas según vaya.

Casos de uso para distintos roles

En este artículo se tratan los siguientes escenarios, que se aplican a los analistas de SOC:

Otros artículos de los siguientes vínculos abordan escenarios que se aplican más a los administradores de SOC, analistas sénior e ingenieros de automatización:

Prerrequisitos

El rol de respondedor de Sentinel Microsoft es necesario para crear reglas de automatización y ver y editar incidentes, ambos necesarios para agregar, ver y editar tareas.

Ver y seguir las tareas de incidentes

  1. En la página Incidentes, seleccione un incidente en la lista y seleccione Ver detalles completos en Tareas en el panel de detalles o seleccione Ver detalles completos en la parte inferior del panel de detalles.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Si optó por escribir la página de detalles completa, seleccione Tareas en el banner superior.

    Screenshot shows incident details screen with tasks panel open.

  3. El panel Tareas de incidentes se abrirá en el lado derecho de la pantalla en la que se encontraba (la página principal de incidentes o la página de detalles del incidente). Verá la lista de tareas definidas para este incidente, junto con cómo o por quién se creó, ya sea manualmente o por una regla de automatización o un cuaderno de estrategias.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Las tareas que tienen descripciones se marcarán con una flecha de expansión. Expanda una tarea para ver su descripción completa.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Marque una tarea completada marcando el círculo situado junto al nombre de la tarea. Aparecerá una marca de verificación en el círculo y el texto de la tarea aparecerá atenuado. Consulte el ejemplo "Restablecer contraseña de usuario" en las capturas de pantalla anteriores.

Agregar manualmente una tarea ad hoc a un incidente

También puede agregar tareas usted mismo, en el lugar, a la lista de tareas de un incidente. Esta tarea solo se aplicará al incidente abierto. Esto ayuda a si la investigación le lleva en nuevas direcciones y piensa en cosas nuevas que necesita comprobar. Agregarlas como tareas garantiza que no se olvide de hacerlo y que habrá un registro de lo que hizo, del que otros analistas y administradores pueden beneficiarse.

  1. Seleccione + Agregar tarea en la parte superior del panel Tareas de incidentes.

    Screenshot shows how to manually add a task to your task list.

  2. Escriba un Título para la tarea y una Descripción si lo desea.

    Screenshot shows how to add a title and description to your task.

  3. Al acabar, seleccione Guardar.

    Screenshot shows how to finish defining and save your task.

  4. Vea la nueva tarea en la parte inferior de la lista de tareas. Tenga en cuenta que las tareas creadas manualmente tienen una banda de color diferente en el borde izquierdo y que el nombre aparece como Creado por: en el título y la descripción de la tarea.

    Screenshot showing your new task at the end of the task list.

Pasos siguientes