Mengaudit dan melacak perubahan pada tugas insiden di Microsoft Azure Sentinel
Tugas insiden memastikan perlakuan insiden yang komprehensif dan seragam di semua personel SOC. Daftar tugas biasanya didefinisikan sesuai dengan penentuan yang dibuat oleh analis senior atau manajer SOC, dan dimasukkan ke dalam praktik menggunakan aturan otomatisasi atau playbook.
Analis Anda dapat melihat daftar tugas yang perlu mereka lakukan untuk insiden tertentu di halaman detail insiden, dan menandainya selesai saat dijalankan. Analis juga dapat membuat tugas mereka sendiri di tempat, secara manual, langsung dari dalam insiden.
Artikel ini menjelaskan bagaimana Anda, sebagai manajer SOC, dapat mengaudit riwayat tugas insiden Microsoft Sentinel, dan melacak perubahan yang dilakukan kepada mereka sepanjang siklus hidup mereka, untuk mengukur kemanjuran tugas Anda dan kontribusinya terhadap efisiensi SOC Anda dan berfungsi dengan baik.
Struktur array Tugas dalam tabel SecurityIncident
Tabel SecurityIncident adalah tabel audit—tabel ini tidak menyimpan insiden itu sendiri, melainkan rekaman kehidupan insiden: pembuatannya dan setiap perubahan yang dilakukan padanya. Setiap kali insiden dibuat atau perubahan dilakukan pada insiden, rekaman dihasilkan dalam tabel ini yang menunjukkan status insiden saat ini.
Penambahan detail tugas ke skema tabel ini memungkinkan Anda untuk mengaudit tugas secara lebih mendalam.
Informasi terperinci yang ditambahkan ke bidang Tugas terdiri dari pasangan kunci-nilai yang mengambil struktur berikut:
| Tombol | Deskripsi nilai |
|---|---|
| createdBy | Identitas yang membuat tugas: - email: alamat email identitas - nama: nama identitas - objectId: GUID identitas - userPrincipalName: UPN identitas |
| createdTimeUtc | Waktu tugas dibuat, dalam UTC. |
| lastCompletedTimeUtc | Waktu tugas ditandai selesai, dalam UTC. |
| lastModifiedBy | Identitas yang terakhir mengubah tugas: - email: alamat email identitas - nama: nama identitas - objectId: GUID identitas - userPrincipalName: UPN identitas |
| lastModifiedTimeUtc | Waktu tugas terakhir diubah, dalam UTC. |
| status | Status tugas saat ini: Baru, Selesai, Dihapus. |
| taskId | ID sumber daya tugas. |
| title | Nama yang mudah diingat yang diberikan kepada tugas oleh pembuatnya. |
Menampilkan tugas insiden dalam tabel SecurityIncident
Selain buku kerja tugas Insiden, Anda bisa mengaudit aktivitas tugas dengan mengkueri tabel SecurityIncident di Log. Sisa artikel ini memperlihatkan kepada Anda cara melakukan ini, serta cara membaca dan memahami hasil kueri untuk mendapatkan informasi aktivitas tugas.
Di halaman Log , masukkan kueri berikut ini di jendela kueri dan jalankan. Kueri ini akan mengembalikan semua insiden yang memiliki tugas apa pun yang ditetapkan.
SecurityIncident | where array_length( Tasks) > 0Anda bisa menambahkan sejumlah pernyataan ke kueri untuk memfilter dan mempersempit hasilnya. Untuk menunjukkan cara melihat dan memahami hasilnya, kita akan menambahkan pernyataan untuk memfilter hasilnya sehingga kita hanya melihat tugas untuk satu insiden, dan kita juga akan menambahkan
projectpernyataan sehingga kita hanya melihat bidang-bidang yang akan berguna untuk tujuan kita, tanpa banyak kekacauan.Pelajari selengkapnya tentang menggunakan Bahasa Kueri Kusto.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksMari kita lihat catatan terbaru untuk insiden ini, dan temukan daftar tugas yang terkait dengannya.
Pilih perluas di samping baris atas dalam hasil kueri (yang telah diurutkan dalam urutan resensi menurun).
Bidang Tugas adalah array dari status saat ini dari semua tugas dalam insiden ini. Pilih expander untuk melihat setiap item dalam array di barisnya sendiri.
Sekarang Anda melihat bahwa ada dua tugas dalam insiden ini. Masing-masing diwakili pada gilirannya oleh array yang dapat diperluas. Pilih satu perluas tugas untuk melihat informasinya.
Di sini Anda melihat detail untuk tugas pertama dalam array ("0" menjadi posisi indeks tugas dalam array). Bidang judul memperlihatkan nama tugas seperti yang ditampilkan dalam insiden.
Menampilkan tugas yang ditambahkan ke daftar
Mari kita tambahkan tugas ke insiden, lalu kita akan kembali ke sini, menjalankan kueri lagi, dan melihat perubahan dalam hasilnya.
Pada halaman Insiden , masukkan nomor ID insiden di bilah Pencarian.
Buka halaman detail insiden dan pilih Tugas dari toolbar.
Tambahkan tugas baru, beri nama "Tugas ini adalah tugas pengujian!", lalu pilih Simpan. Tugas terakhir yang ditunjukkan di bawah ini adalah apa yang harus Anda akhiri:
Sekarang mari kita kembali ke halaman Log dan jalankan kueri kita lagi.
Dalam hasilnya, Anda akan melihat bahwa ada rekaman baru dalam tabel untuk insiden yang sama ini (perhatikan tanda waktu). Perluas catatan dan Anda akan melihat bahwa sementara catatan yang kita lihat sebelumnya memiliki dua tugas dalam array Tugasnya, yang baru memiliki tiga. Tugas terbaru adalah tugas yang baru saja kami tambahkan, seperti yang Anda lihat dengan judulnya.
Menampilkan perubahan status pada tugas
Sekarang, jika kita kembali ke tugas baru itu di halaman detail insiden dan menandainya sebagai selesai, lalu kembali ke Log dan menjalankan ulang kueri lagi, kita akan melihat catatan baru lain untuk insiden yang sama, kali ini memperlihatkan status baru tugas kita sebagai Selesai.
Menampilkan penghapusan tugas
Mari kita kembali ke daftar tugas di halaman detail insiden dan menghapus tugas yang kita tambahkan sebelumnya.
Ketika kita kembali ke Log dan menjalankan kueri lagi, kita akan melihat rekaman baru lainnya, hanya kali ini status untuk tugas kita—yang berjudul "Tugas ini adalah tugas pengujian!" —akan Dihapus.
Namun— setelah tugas muncul satu kali dalam array (dengan status Dihapus ), tugas tidak akan lagi muncul di array Tugas dalam rekaman baru untuk insiden tersebut dalam tabel SecurityIncident . Catatan yang ada, seperti yang kita lihat di atas, akan terus mempertahankan bukti bahwa tugas ini pernah ada.
Menampilkan tugas aktif milik insiden tertutup
Kueri berikut memungkinkan Anda melihat apakah insiden ditutup tetapi tidak semua tugas yang ditetapkan selesai. Pengetahuan ini dapat membantu Anda memverifikasi bahwa setiap ujung longgar yang tersisa dalam penyelidikan Anda telah disimpulkan—semua pihak terkait diberi tahu, semua komentar dimasukkan, semua respons diverifikasi, dan sebagainya.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| order by lastModifiedTimeUtc desc
Langkah berikutnya
- Pelajari selengkapnya tentang tugas insiden.
- Pelajari cara menyelidiki insiden.
- Pelajari cara menambahkan tugas ke grup insiden secara otomatis menggunakan aturan otomatisasi atau playbook, dan kapan menggunakannya.
- Pelajari selengkapnya tentang aturan otomatisasi dan cara membuatnya.
- Pelajari selengkapnya tentang playbook dan cara membuatnya.