Incidensfeladatok használata a Microsoft Sentinelben
Ez a cikk azt ismerteti, hogy az SOC-elemzők hogyan használhatják az incidenskezelési munkafolyamatokat a Microsoft Sentinelben.
Az incidensfeladatokat általában automatikusan, a vezető elemzők vagy SOC-vezetők által beállított automatizálási szabályok vagy forgatókönyvek hozzák létre, de az alacsonyabb szintű elemzők a helyszínen, manuálisan, közvetlenül az incidensből hozhatják létre saját feladataikat.
Az incidens részleteinek oldalán megtekintheti az adott incidenshez végrehajtandó feladatok listáját, és útközben megjelölheti azokat.
Használati esetek különböző szerepkörökhöz
Ez a cikk a következő forgatókönyveket ismerteti, amelyek soc elemzőkre vonatkoznak:
Az alábbi hivatkozásokon található további cikkek olyan forgatókönyveket mutatnak be, amelyek az SOC-vezetőkre, vezető elemzőkre és automatizálási mérnökökre vonatkoznak:
- Automatizálási szabályok megtekintése incidensfeladat-műveletekkel
- Tevékenységek hozzáadása incidensekhez automatizálási szabályokkal
- Feladatok hozzáadása incidensekhez forgatókönyvekkel
Előfeltételek
A Microsoft Sentinel Válaszadó szerepkör szükséges az automatizálási szabályok létrehozásához, valamint az incidensek megtekintéséhez és szerkesztéséhez, amelyek mind a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükségesek.
Incidensfeladatok megtekintése és követése
Az Incidensek lapon válasszon ki egy incidenst a listából, és válassza a Részletek panel Feladatok területén a Teljes adatok megtekintése lehetőséget, vagy válassza a Részletek panel alján a Teljes adatok megtekintése lehetőséget.
Ha úgy döntött, hogy beírja a teljes részleteket tartalmazó lapot, válassza a Feladatok lehetőséget a felső szalagcímen.
Az Incidensfeladatok panel a képernyő jobb oldalán nyílik meg (a fő incidensek lap vagy az incidens részletei oldal). Megjelenik az incidenshez definiált feladatok listája, valamint az, hogy hogyan vagy ki hozta létre – akár manuálisan, akár automatizálási szabály vagy forgatókönyv alapján.
A leírást tartalmazó tevékenységek egy bővítő nyíllal lesznek megjelölve. Bontsa ki a tevékenységet a teljes leírás megtekintéséhez.
A tevékenység befejezésének megjelölése a tevékenység neve melletti kör megjelölésével. Megjelenik egy pipa a körben, és a tevékenység szövege szürkén jelenik meg. A fenti képernyőképeken lásd a "Felhasználói jelszó alaphelyzetbe állítása" című példát.
Eseti feladat manuális hozzáadása incidenshez
Az incidens feladatlistájához a helyszínen is hozzáadhat feladatokat. Ez a feladat csak a nyitott incidensre vonatkozik. Ez segít, ha a vizsgálat új irányba viszi Önt, és új dolgokra gondol, amelyeket ellenőriznie kell. Ha feladatként adja hozzá ezeket a feladatokat, az nem felejti el őket, és hogy lesz egy feljegyzés arról, hogy mit tett, és hogy más elemzők és vezetők is profitálhatnak belőle.
Válassza a + Tevékenység hozzáadása lehetőséget az Incidensfeladatok panel tetején.
Adja meg a feladat címét és ha úgy dönt, leírást.
Ha végzett, válassza a Mentés lehetőséget.
Tekintse meg az új feladatot a feladatlista alján. Vegye figyelembe, hogy a manuálisan létrehozott tevékenységeknek eltérő színsávja van a bal oldali szegélyen, és a neve a Következő által létrehozottként jelenik meg a tevékenység címe és leírása alatt.
Következő lépések
- További információ az incidensfeladatokról.
- Ismerje meg, hogyan vizsgálhatja meg az incidenseket.
- Megtudhatja, hogyan adhat hozzá feladatokat incidenscsoportokhoz automatikusan automatizálási szabályok vagy forgatókönyvek használatával, és hogy mikor melyiket használja.
- További információ a feladatok nyomon követéséről.
- További információ az automatizálási szabályokról és azok létrehozásáról.
- További információ a forgatókönyvekről és azok létrehozásáról.