Partage via


Utiliser les tâches d’incident dans Microsoft Sentinel dans le portail Azure

Cet article explique comment les analystes SOC peuvent utiliser les tâches d’incident pour gérer leurs processus de flux de travail de gestion des incidents dans Microsoft Sentinel dans le portail Azure.

Les tâches d’incident sont généralement créées automatiquement par des règles d’automatisation ou des playbooks mis en place par des analystes seniors ou des responsables SOC, mais les analystes de niveau inférieur peuvent créer leurs propres tâches sur place, manuellement, directement depuis l’incident.

Vous pouvez voir la liste des tâches que vous devez effectuer pour un incident particulier sur la page des détails de l’incident et les marquer comme terminées au fur et à mesure.

Cas d’usage pour les différents rôles

Cet article aborde les scénarios suivants, qui s’appliquent aux analystes SOC :

D’autres articles sur les liens suivants abordent des scénarios qui s’appliquent davantage aux responsables SOC, aux analystes seniors et aux ingénieurs en automatisation :

Conditions préalables

Le rôle Répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour voir et modifier les incidents, ce qui est à la fois nécessaire pour ajouter, afficher et modifier des tâches.

Afficher et suivre les tâches d’incident

  1. Sur la page Incidents , sélectionnez un incident dans la liste, puis sélectionnez Afficher tous les détails sous Tâches dans le panneau de détails, ou sélectionnez Afficher tous les détails en bas du panneau de détails.

    Capture d’écran du lien pour accéder au panneau des tâches à partir du panneau d’informations sur les incidents sur l’écran principal des incidents.

  2. Si vous avez choisi d’entrer dans la page de détails complets, sélectionnez Tâches dans le bandeau supérieur.

    La capture d’écran montre l’écran des détails de l’incident avec le panneau des tâches ouvert.

  3. Le panneau des tâches d’incident s’ouvrira sur le côté droit de l’écran dans lequel vous vous trouviez (la page principale des incidents ou la page des détails de l’incident). Vous verrez la liste des tâches définies pour cet incident, ainsi que la manière dont il a été créé ou par qui, que ce soit manuellement ou par une règle d’automatisation ou un playbook.

    La capture d’écran montre le panneau des tâches d’incident tel qu’il apparaît sur la page de détails de l’incident.

  4. Les tâches qui ont une description seront marquées d’une flèche d’expansion. Développez une tâche pour afficher sa description complète.

    La capture d’écran montre le panneau des tâches d’incident avec des descriptions de tâches développées.

  5. Marquez une tâche comme terminée en marquant le cercle à côté du nom de la tâche. Une coche apparaîtra dans le cercle et le texte de la tâche sera grisé. Voir l’exemple « Réinitialiser le mot de passe utilisateur » dans les captures d’écran ci-dessus.

Ajouter manuellement une tâche ad-hoc à un incident

Vous pouvez également ajouter des tâches pour vous-même, sur place, à la liste des tâches d’un incident. Cette tâche ne s’appliquera qu’à l’incident ouvert. Cela aide si votre enquête vous mène dans de nouvelles directions et que vous pensez à de nouvelles choses que vous devez vérifier. En les ajoutant en tant que tâches, vous vous assurez que vous n’oublierez pas de les faire et qu’il y aura un enregistrement de ce que vous avez fait, dont d’autres analystes et gestionnaires pourront bénéficier.

  1. Sélectionnez + Ajouter une tâche en haut du panneau Tâches d’incident .

    La capture d’écran montre comment ajouter manuellement une tâche à votre liste de tâches.

  2. Entrez un titre pour votre tâche et une description si vous le souhaitez.

    La capture d’écran montre comment ajouter un titre et une description à votre tâche.

  3. Sélectionnez Enregistrer lorsque vous avez terminé.

    La capture d’écran montre comment terminer la définition et enregistrer votre tâche.

  4. Affichez votre nouvelle tâche en bas de la liste des tâches. Notez que les tâches créées manuellement ont une bande de couleur différente sur la bordure gauche et que votre nom apparaît comme Créé par : sous le titre et la description de la tâche.

    Capture d’écran montrant votre nouvelle tâche à la fin de la liste des tâches.

Étapes suivantes