Utiliser les tâches d’incident dans Microsoft Sentinel dans le portail Azure

2025-06-23
S’applique à: Microsoft Sentinel in the Azure portal

Cet article explique comment les analystes SOC peuvent utiliser les tâches d’incident pour gérer leurs processus de flux de travail de gestion des incidents dans Microsoft Sentinel dans le portail Azure.

Les tâches d’incident sont généralement créées automatiquement par des règles d’automatisation ou des playbooks mis en place par des analystes seniors ou des responsables SOC, mais les analystes de niveau inférieur peuvent créer leurs propres tâches sur place, manuellement, directement depuis l’incident.

Vous pouvez voir la liste des tâches que vous devez effectuer pour un incident particulier sur la page des détails de l’incident et les marquer comme terminées au fur et à mesure.

Cas d’usage pour les différents rôles

Cet article aborde les scénarios suivants, qui s’appliquent aux analystes SOC :

Afficher et suivre des tâches d’incident
Ajouter manuellement une tâche ad hoc à un incident

D’autres articles sur les liens suivants abordent des scénarios qui s’appliquent davantage aux responsables SOC, aux analystes seniors et aux ingénieurs en automatisation :

Conditions préalables

Le rôle Répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour voir et modifier les incidents, ce qui est à la fois nécessaire pour ajouter, afficher et modifier des tâches.

Afficher et suivre les tâches d’incident

Sur la page Incidents , sélectionnez un incident dans la liste, puis sélectionnez Afficher tous les détails sous Tâches dans le panneau de détails, ou sélectionnez Afficher tous les détails en bas du panneau de détails.
Si vous avez choisi d’entrer dans la page de détails complets, sélectionnez Tâches dans le bandeau supérieur.
Le panneau des tâches d’incident s’ouvrira sur le côté droit de l’écran dans lequel vous vous trouviez (la page principale des incidents ou la page des détails de l’incident). Vous verrez la liste des tâches définies pour cet incident, ainsi que la manière dont il a été créé ou par qui, que ce soit manuellement ou par une règle d’automatisation ou un playbook.
Les tâches qui ont une description seront marquées d’une flèche d’expansion. Développez une tâche pour afficher sa description complète.
Marquez une tâche comme terminée en marquant le cercle à côté du nom de la tâche. Une coche apparaîtra dans le cercle et le texte de la tâche sera grisé. Voir l’exemple « Réinitialiser le mot de passe utilisateur » dans les captures d’écran ci-dessus.

Ajouter manuellement une tâche ad-hoc à un incident

Vous pouvez également ajouter des tâches pour vous-même, sur place, à la liste des tâches d’un incident. Cette tâche ne s’appliquera qu’à l’incident ouvert. Cela aide si votre enquête vous mène dans de nouvelles directions et que vous pensez à de nouvelles choses que vous devez vérifier. En les ajoutant en tant que tâches, vous vous assurez que vous n’oublierez pas de les faire et qu’il y aura un enregistrement de ce que vous avez fait, dont d’autres analystes et gestionnaires pourront bénéficier.

Sélectionnez + Ajouter une tâche en haut du panneau Tâches d’incident .
Entrez un titre pour votre tâche et une description si vous le souhaitez.
Sélectionnez Enregistrer lorsque vous avez terminé.
Affichez votre nouvelle tâche en bas de la liste des tâches. Notez que les tâches créées manuellement ont une bande de couleur différente sur la bordure gauche et que votre nom apparaît comme Créé par : sous le titre et la description de la tâche.

Étapes suivantes

Découvrez-en plus sur les tâches d’incident.
Découvrez comment investiguer des incidents.
Découvrez comment ajouter automatiquement des tâches à des groupes d’incidents à l’aide de règles d’automatisation ou de playbooks, ainsi que dans quelles circonstances les utiliser.
Apprenez à faire le suivi de vos tâches.
Découvrez-en plus sur les règles d’automatisation et la manière de les créer.
Découvrez-en plus sur les playbooks et la manière de les créer.