Incidensfeladatok létrehozása a Microsoft Sentinelben automatizálási szabályok használatával
Ez a cikk azt ismerteti, hogyan hozhat létre automatizálási szabályokat incidensfeladatok listájának létrehozásához az elemzői munkafolyamatok szabványosítása érdekében a Microsoft Sentinelben.
Az incidensfeladatok nem csak automatizálási szabályokkal, hanem forgatókönyvekkel, valamint manuálisan, ad-hoc jelleggel is létrehozhatók egy incidensen belül.
Használati esetek különböző szerepkörökhöz
Ez a cikk az SOC-vezetőkre, vezető elemzőkre és automatizálási mérnökökre vonatkozó alábbi forgatókönyveket ismerteti:
- Automatizálási szabályok megtekintése incidensfeladat-műveletekkel
- Tevékenységek hozzáadása incidensekhez automatizálási szabályokkal
Egy másik ilyen forgatókönyvet a következő társcikk foglalkozik:
Egy másik cikk az alábbi hivatkozásokon olyan forgatókönyveket mutat be, amelyek az SOC-elemzőkre vonatkoznak:
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
A Microsoft Sentinel Válaszadó szerepkör szükséges az automatizálási szabályok létrehozásához, valamint az incidensek megtekintéséhez és szerkesztéséhez, amelyek mind a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükségesek.
Automatizálási szabályok megtekintése incidensfeladat-műveletekkel
Az Automation lapon szűrheti az automatizálási szabályok nézetét, hogy csak azokat láthassa, amelyekben a Tevékenység hozzáadása művelet definiálva van.
Válassza a Műveletek szűrőt.
Törölje a jelölést az Összes kijelölése jelölőnégyzetből.
Görgessen le, és jelölje be a Feladat hozzáadása jelölőnégyzetet.
Válassza az OK gombot, és tekintse meg az eredményeket.
Ezek azok az automatizálási szabályok, amelyek tevékenységeket adnak hozzá az incidensekhez. Az Elemzési szabályok neve oszlopból megtudhatja, hogy mely elemzési szabályokra vonatkoznak ezek az automatizálási szabályok, így általános képet kap arról, hogy mely incidensek érintettek.
Feljegyzés
Ahhoz, hogy pontosan tudja, hogy egy automatizálási szabály egy adott incidensre vonatkozik-e, meg kell nyitnia a szabályt, hogy az elemzési szabály feltételén kívül további feltételek is definiálva legyenek. Egyéb feltételek meghatározása esetén az érintett incidensek hatóköre ennek megfelelően leszűkítve.
Tevékenységek hozzáadása incidensekhez automatizálási szabályokkal
Az Automation lapon válassza a +Létrehozás és az Automation-szabály lehetőséget.
Az új automatizálási szabály létrehozása panel a jobb oldalon nyílik meg.
Adjon egy nevet az automatizálási szabálynak, amely leírja, hogy mit tesz.Válassza ki, hogy az incidens mikor jön létre eseményindítóként (az incidens frissítésekor is használható).
Feltételek hozzáadása annak meghatározásához, hogy mely incidensekhez lesznek új tevékenységek hozzáadva.
Szűrés például elemzési szabálynév alapján:
Érdemes lehet feladatokat hozzáadni az incidensekhez egy elemzési szabály vagy elemzési szabályok által észlelt fenyegetések típusai alapján, amelyeket egy adott munkafolyamatnak megfelelően kell kezelni. Keresse meg és válassza ki a megfelelő elemzési szabályokat a legördülő listából.
Vagy érdemes lehet olyan feladatokat hozzáadnia, amelyek az incidensek szempontjából relevánsak minden típusú fenyegetéshez (ebben az esetben hagyja meg az Összes alapértelmezett beállítását, ahogy van).
Mindkét esetben további feltételeket adhat hozzá azoknak az incidenseknek a hatókörének szűkítéséhez, amelyekre az automatizálási szabály érvényes lesz. További információ a speciális feltételek automatizálási szabályokhoz való hozzáadásáról.
Egy dolgot figyelembe kell vennie, hogy a tevékenységek incidensben való megjelenésének sorrendjét a tevékenységek létrehozási ideje határozza meg. Beállíthatja az automatizálási szabályok sorrendjét, hogy az összes incidenshez szükséges feladatokat tartalmazó szabályok fussanak először, és csak utána minden olyan szabály, amely az adott elemzési szabályok által létrehozott incidensekhez szükséges feladatokat adja hozzá.
A Műveletek csoportban válassza a Tevékenység hozzáadása lehetőséget.
Minden tevékenységhez adjon meg egy címet a Tevékenység cím mezőjében, majd (opcionálisan) válassza a + Leírás hozzáadása lehetőséget egy leírásmező megnyitásához.
Alapértelmezés szerint csak a tevékenységcímek jelennek meg az incidens feladatlistájának paneljén. A tevékenység leírása csak a tevékenységelem kibontásakor jelenik meg.
A leírási mezőben hozzáadhat egy szabad formátumú leírást a tevékenységhez, beleértve a képeket, a hivatkozásokat és a rich-text formázást (lásd a hivatkozásokat, számozott listákat és kódblokkolt szöveget az alábbi példákban).
Adjon hozzá további tevékenységeket ugyanahhoz az incidenscsoporthoz a + Művelet hozzáadása és az utolsó három lépés megismétlésével.
A feladatok létrehozása és hozzáadása az incidenshez az Automation-szabály Tevékenységműveletek hozzáadása sorrendjének megfelelően lesz létrehozva és hozzáadva.
Fejezze be az automatizálási szabály létrehozását a többi lépés végrehajtásával, a szabály lejáratával és a rendeléssel, majd válassza az Alkalmaz lehetőséget a végén. További információ: A Microsoft Sentinel automatizálási szabályainak létrehozása és használata a válasz kezeléséhez.
A Rendelés beállítással kapcsolatban: A tevékenységek incidensekben való megjelenésének sorrendje két dologtól függ:
- Az automatizálási szabályok végrehajtásának sorrendje a Rendelés beállításban megadott szám alapján, és...
- Az egyes automatizálási szabályokban definiált feladatműveletek hozzáadása sorrendje.
Következő lépések
- További információ az incidensfeladatokról.
- Ismerje meg, hogyan vizsgálhatja meg az incidenseket.
- Megtudhatja, hogyan adhat hozzá feladatokat incidenscsoportokhoz automatikusan forgatókönyvek használatával.
- Megtudhatja, hogyan használhatja a feladatokat az incidensek munkafolyamatának kezelésére a Microsoft Sentinelben.
- További információ az automatizálási szabályokról és azok létrehozásáról.