Incidensfeladatok használata a Microsoft Sentinelben

  • Cikk

Ez a cikk azt ismerteti, hogy az SOC-elemzők hogyan használhatják az incidenskezelési munkafolyamatokat a Microsoft Sentinelben.

Az incidensfeladatokat általában automatikusan, a vezető elemzők vagy SOC-vezetők által beállított automatizálási szabályok vagy forgatókönyvek hozzák létre, de az alacsonyabb szintű elemzők a helyszínen, manuálisan, közvetlenül az incidensből hozhatják létre saját feladataikat.

Az incidens részleteinek oldalán megtekintheti az adott incidenshez végrehajtandó feladatok listáját, és útközben megjelölheti azokat.

Használati esetek különböző szerepkörökhöz

Ez a cikk a következő forgatókönyveket ismerteti, amelyek soc elemzőkre vonatkoznak:

Az alábbi hivatkozásokon található további cikkek olyan forgatókönyveket mutatnak be, amelyek az SOC-vezetőkre, vezető elemzőkre és automatizálási mérnökökre vonatkoznak:

Előfeltételek

A Microsoft Sentinel Válaszadó szerepkör szükséges az automatizálási szabályok létrehozásához, valamint az incidensek megtekintéséhez és szerkesztéséhez, amelyek mind a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükségesek.

Incidensfeladatok megtekintése és követése

  1. Az Incidensek lapon válasszon ki egy incidenst a listából, és válassza a Részletek panel Feladatok területén a Teljes adatok megtekintése lehetőséget, vagy válassza a Részletek panel alján a Teljes adatok megtekintése lehetőséget.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Ha úgy döntött, hogy beírja a teljes részleteket tartalmazó lapot, válassza a Feladatok lehetőséget a felső szalagcímen.

    Screenshot shows incident details screen with tasks panel open.

  3. Az Incidensfeladatok panel a képernyő jobb oldalán nyílik meg (a fő incidensek lap vagy az incidens részletei oldal). Megjelenik az incidenshez definiált feladatok listája, valamint az, hogy hogyan vagy ki hozta létre – akár manuálisan, akár automatizálási szabály vagy forgatókönyv alapján.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. A leírást tartalmazó tevékenységek egy bővítő nyíllal lesznek megjelölve. Bontsa ki a tevékenységet a teljes leírás megtekintéséhez.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. A tevékenység befejezésének megjelölése a tevékenység neve melletti kör megjelölésével. Megjelenik egy pipa a körben, és a tevékenység szövege szürkén jelenik meg. A fenti képernyőképeken lásd a "Felhasználói jelszó alaphelyzetbe állítása" című példát.

Eseti feladat manuális hozzáadása incidenshez

Az incidens feladatlistájához a helyszínen is hozzáadhat feladatokat. Ez a feladat csak a nyitott incidensre vonatkozik. Ez segít, ha a vizsgálat új irányba viszi Önt, és új dolgokra gondol, amelyeket ellenőriznie kell. Ha feladatként adja hozzá ezeket a feladatokat, az nem felejti el őket, és hogy lesz egy feljegyzés arról, hogy mit tett, és hogy más elemzők és vezetők is profitálhatnak belőle.

  1. Válassza a + Tevékenység hozzáadása lehetőséget az Incidensfeladatok panel tetején.

    Screenshot shows how to manually add a task to your task list.

  2. Adja meg a feladat címét és ha úgy dönt, leírást.

    Screenshot shows how to add a title and description to your task.

  3. Ha végzett, válassza a Mentés lehetőséget.

    Screenshot shows how to finish defining and save your task.

  4. Tekintse meg az új feladatot a feladatlista alján. Vegye figyelembe, hogy a manuálisan létrehozott tevékenységeknek eltérő színsávja van a bal oldali szegélyen, és a neve a Következő által létrehozottként jelenik meg a tevékenység címe és leírása alatt.

    Screenshot showing your new task at the end of the task list.

Következő lépések

  • További információ az incidensfeladatokról.
  • Ismerje meg, hogyan vizsgálhatja meg az incidenseket.
  • Megtudhatja, hogyan adhat hozzá feladatokat incidenscsoportokhoz automatikusan automatizálási szabályok vagy forgatókönyvek használatával, és hogy mikor melyiket használja.
  • További információ a feladatok nyomon követéséről.
  • További információ az automatizálási szabályokról és azok létrehozásáról.
  • További információ a forgatókönyvekről és azok létrehozásáról.