Utiliser des tâches d’incident dans Microsoft Sentinel

  • Article

Cet article explique comment les analystes de SOC peuvent utiliser des tâches d’incident pour gérer leurs processus de workflow de gestion des incidents dans Microsoft Sentinel.

Les tâches d’incident sont généralement créées automatiquement par des règles d’automatisation ou des playbooks configurés par des analystes senior ou des responsables de SOC, mais les analystes de niveau inférieur peuvent créer leurs propres tâches à chaud, manuellement, directement à partir de l’incident.

La liste des tâches à effectuer pour un incident particulier est visible dans la page des détails de l’incident. Vous pouvez les marquer comme terminées au fur et à mesure.

Cas d’usage pour les différents rôles

Cet article traite des scénarios suivants, qui s’appliquent aux analystes de SOC :

D’autres articles, dont les liens figurent ci-dessous, traitent de scénarios qui s’appliquent davantage aux responsables de SOC, aux analystes senior et aux ingénieurs en automatisation :

Prérequis

Le rôle Répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour voir et modifier les incidents, ce qui est à la fois nécessaire pour ajouter, afficher et modifier des tâches.

Afficher et suivre des tâches d’incident

  1. Dans la page Incidents, sélectionnez un incident dans la liste, puis Afficher les détails complets sous Tâches dans le volet d’informations, ou bien sélectionnez Afficher les détails complets au bas du volet d’informations.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Si vous avez choisi d’accéder à la page des détails complets, sélectionnez Tâches dans la bannière supérieure.

    Screenshot shows incident details screen with tasks panel open.

  3. Le panneau Tâches d’incident s’ouvre sur le côté droit de l’écran dans lequel vous étiez (la page principale des incidents ou la page de détails de l’incident). Vous pouvoir voir la liste des tâches définies pour cet incident, ainsi que la façon dont il a été créé ou par qui il a été créé, que ce soit manuellement ou par une règle d’automatisation ou un playbook.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Les tâches qui ont des descriptions sont marquées avec une flèche pouvant être développée. Développez une tâche pour voir sa description complète.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Marquez une tâche comme terminée en cochant le cercle situé en regard de son nom. Une coche s’affiche dans le cercle et le texte de la tâche est grisé. Consultez l’exemple « Réinitialiser le mot de passe de l’utilisateur » dans les captures d’écran ci-dessus.

Ajouter manuellement une tâche ad hoc à un incident

Vous pouvez également ajouter des tâches pour vous-même, à chaud, à la liste des tâches d’un incident. Cette tâche s’applique uniquement à l’incident ouvert. Cela s’avère utile si votre investigation vous mène dans de nouvelles directions et que vous pensez à de nouvelles choses que vous devez vérifier. L’ajout de telles tâches vous permet de ne pas oublier de les effectuer, de garder une trace de ce que vous avez fait et d’en faire profiter d’autres analystes et responsables.

  1. Sélectionnez + Ajouter une tâche en haut du panneau Tâches d’incident.

    Screenshot shows how to manually add a task to your task list.

  2. Entrez un titre pour votre tâche et une description si vous le souhaitez.

    Screenshot shows how to add a title and description to your task.

  3. Quand vous avez terminé, sélectionnez Enregistrer.

    Screenshot shows how to finish defining and save your task.

  4. Observez votre nouvelle tâche au bas de la liste des tâches. Notez que les tâches créées manuellement arborent une bande de couleurs différente sur le côté gauche, et que votre nom apparaît derrière Créé par : sous le titre et la description de la tâche.

    Screenshot showing your new task at the end of the task list.

Étapes suivantes