Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment les analystes SOC peuvent utiliser les tâches d’incident pour gérer leurs processus de flux de travail de gestion des incidents dans Microsoft Sentinel dans le portail Azure.
Les tâches d’incident sont généralement créées automatiquement par des règles d’automatisation ou des playbooks mis en place par des analystes seniors ou des responsables SOC, mais les analystes de niveau inférieur peuvent créer leurs propres tâches sur place, manuellement, directement depuis l’incident.
Vous pouvez voir la liste des tâches que vous devez effectuer pour un incident particulier sur la page des détails de l’incident et les marquer comme terminées au fur et à mesure.
Cas d’usage pour les différents rôles
Cet article aborde les scénarios suivants, qui s’appliquent aux analystes SOC :
D’autres articles sur les liens suivants abordent des scénarios qui s’appliquent davantage aux responsables SOC, aux analystes seniors et aux ingénieurs en automatisation :
- Afficher les règles d’automatisation avec des actions de tâche d’incident
- Ajouter des tâches aux incidents avec des règles d’automatisation
- Ajouter des tâches aux incidents avec des playbooks
Conditions préalables
Le rôle Répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour voir et modifier les incidents, ce qui est à la fois nécessaire pour ajouter, afficher et modifier des tâches.
Afficher et suivre les tâches d’incident
Sur la page Incidents , sélectionnez un incident dans la liste, puis sélectionnez Afficher tous les détails sous Tâches dans le panneau de détails, ou sélectionnez Afficher tous les détails en bas du panneau de détails.
Si vous avez choisi d’entrer dans la page de détails complets, sélectionnez Tâches dans le bandeau supérieur.
Le panneau des tâches d’incident s’ouvrira sur le côté droit de l’écran dans lequel vous vous trouviez (la page principale des incidents ou la page des détails de l’incident). Vous verrez la liste des tâches définies pour cet incident, ainsi que la manière dont il a été créé ou par qui, que ce soit manuellement ou par une règle d’automatisation ou un playbook.
Les tâches qui ont une description seront marquées d’une flèche d’expansion. Développez une tâche pour afficher sa description complète.
Marquez une tâche comme terminée en marquant le cercle à côté du nom de la tâche. Une coche apparaîtra dans le cercle et le texte de la tâche sera grisé. Voir l’exemple « Réinitialiser le mot de passe utilisateur » dans les captures d’écran ci-dessus.
Ajouter manuellement une tâche ad-hoc à un incident
Vous pouvez également ajouter des tâches pour vous-même, sur place, à la liste des tâches d’un incident. Cette tâche ne s’appliquera qu’à l’incident ouvert. Cela aide si votre enquête vous mène dans de nouvelles directions et que vous pensez à de nouvelles choses que vous devez vérifier. En les ajoutant en tant que tâches, vous vous assurez que vous n’oublierez pas de les faire et qu’il y aura un enregistrement de ce que vous avez fait, dont d’autres analystes et gestionnaires pourront bénéficier.
Sélectionnez + Ajouter une tâche en haut du panneau Tâches d’incident .
Entrez un titre pour votre tâche et une description si vous le souhaitez.
Sélectionnez Enregistrer lorsque vous avez terminé.
Affichez votre nouvelle tâche en bas de la liste des tâches. Notez que les tâches créées manuellement ont une bande de couleur différente sur la bordure gauche et que votre nom apparaît comme Créé par : sous le titre et la description de la tâche.
Étapes suivantes
- Découvrez-en plus sur les tâches d’incident.
- Découvrez comment investiguer des incidents.
- Découvrez comment ajouter automatiquement des tâches à des groupes d’incidents à l’aide de règles d’automatisation ou de playbooks, ainsi que dans quelles circonstances les utiliser.
- Apprenez à faire le suivi de vos tâches.
- Découvrez-en plus sur les règles d’automatisation et la manière de les créer.
- Découvrez-en plus sur les playbooks et la manière de les créer.