Membuat tugas insiden di Microsoft Azure Sentinel menggunakan aturan otomatisasi
Artikel ini menjelaskan cara menggunakan aturan otomatisasi untuk membuat daftar tugas insiden, untuk menstandarkan proses alur kerja analis di Microsoft Azure Sentinel.
Tugas insiden dapat dibuat secara otomatis tidak hanya oleh aturan otomatisasi, tetapi juga oleh playbook, dan juga secara manual, ad-hoc, dari dalam insiden.
Kasus penggunaan untuk peran yang berbeda
Artikel ini membahas skenario berikut yang berlaku untuk manajer SOC, analis senior, dan insinyur otomatisasi:
- Menampilkan aturan otomatisasi dengan tindakan tugas insiden
- Menambahkan tugas ke insiden dengan aturan otomatisasi
Skenario lain tersebut dibahas dalam artikel pendamping berikut:
Artikel lain, pada tautan berikut, membahas skenario yang berlaku lebih banyak untuk analis SOC:
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Peran Microsoft Sentinel Responder diperlukan untuk membuat aturan otomatisasi dan untuk melihat dan mengedit insiden, yang keduanya diperlukan untuk menambahkan, melihat, dan mengedit tugas.
Menampilkan aturan otomatisasi dengan tindakan tugas insiden
Di halaman Automation , Anda dapat memfilter tampilan aturan otomatisasi untuk melihat hanya yang memiliki tindakan Tambahkan tugas yang ditentukan.
Pilih filter Tindakan .
Batalkan tanda pada kotak centang Pilih semua .
Gulir ke bawah dan tandai kotak centang Tambahkan tugas .
Pilih OK dan lihat hasilnya.
Ini adalah aturan otomatisasi yang menambahkan tugas ke insiden. Kolom Nama aturan Analitik memberi tahu Anda aturan analitik mana aturan otomatisasi ini dikondisikan, sehingga Anda akan memiliki gambaran umum tentang insiden mana yang terpengaruh.
Catatan
Untuk memiliki pengetahuan yang tepat tentang apakah aturan otomatisasi akan berlaku untuk insiden tertentu, Anda harus membuka aturan untuk melihat apakah ada kondisi tambahan yang ditentukan, selain kondisi aturan analitik. Jika kondisi lain didefinisikan, cakupan insiden yang terpengaruh akan sesuai dengan penyempitan.
Menambahkan tugas ke insiden dengan aturan otomatisasi
Di halaman Automation , pilih + Buat dan pilih Aturan otomatisasi.
Panel Buat aturan otomatisasi baru akan terbuka di sisi kanan.
Beri nama aturan otomatisasi Anda yang menjelaskan apa yang dilakukannya.Pilih Saat insiden dibuat sebagai pemicu (Anda juga dapat menggunakan Saat insiden diperbarui).
Tambahkan Kondisi untuk menentukan insiden mana tugas baru yang akan ditambahkan.
Misalnya, filter menurut nama aturan Analitik:
Anda mungkin ingin menambahkan tugas ke insiden berdasarkan jenis ancaman yang terdeteksi oleh aturan analitik atau sekelompok aturan analitik yang perlu ditangani sesuai dengan alur kerja tertentu. Cari dan pilih aturan analitik yang relevan dari daftar drop-down.
Atau, Anda mungkin ingin menambahkan tugas yang relevan untuk insiden di semua jenis ancaman (dalam hal ini, biarkan pilihan default Semua apa adanya).
Dalam kedua kasus, Anda dapat menambahkan lebih banyak kondisi untuk mempersempit cakupan insiden yang akan diterapkan aturan otomatisasi Anda. Pelajari selengkapnya tentang menambahkan kondisi tingkat lanjut ke aturan otomatisasi.
Satu hal yang perlu Anda pertimbangkan adalah bahwa urutan tugas yang muncul dalam insiden Anda ditentukan oleh waktu pembuatan tugas. Anda dapat mengatur urutan aturan otomatisasi sehingga aturan yang menambahkan tugas yang diperlukan untuk semua insiden akan berjalan terlebih dahulu, dan hanya setelah itu aturan apa pun yang menambahkan tugas yang diperlukan untuk insiden yang dihasilkan oleh aturan analitik tertentu.
Di bawah Tindakan, pilih Tambahkan tugas.
Untuk setiap tugas, masukkan judul di bidang Judul tugas, lalu (opsional) pilih + Tambahkan deskripsi untuk membuka bidang deskripsi.
Hanya judul tugas yang muncul secara default di panel daftar tugas insiden. Deskripsi tugas hanya muncul saat item tugas diperluas.Di bidang deskripsi Anda bisa menambahkan deskripsi bentuk bebas untuk tugas, termasuk gambar, tautan, dan pemformatan teks kaya (lihat hyperlink, daftar bernomor, dan teks berformat blok kode dalam contoh di bawah).
Tambahkan lebih banyak tugas ke grup insiden yang sama dengan memilih + Tambahkan tindakan dan ulangi tiga langkah terakhir.
Tugas akan dibuat dan ditambahkan ke insiden sesuai dengan urutan Tambahkan tindakan tugas dalam aturan otomatisasi Anda.
Selesaikan pembuatan aturan otomatisasi dengan menyelesaikan langkah-langkah yang tersisa, Kedaluwarsa aturan dan Urutan, dan memilih Terapkan di akhir. Lihat Membuat dan menggunakan aturan otomatisasi Microsoft Azure Sentinel untuk mengelola respons untuk detail selengkapnya.
Mengenai pengaturan Pesanan: Urutan munculnya tugas dalam insiden Anda bergantung pada dua hal:
- Urutan eksekusi aturan otomatisasi, seperti yang ditentukan oleh angka dalam pengaturan Pesanan , dan ...
- Urutan Tambahkan tindakan tugas yang ditentukan dalam setiap aturan otomatisasi.
Langkah berikutnya
- Pelajari selengkapnya tentang tugas insiden.
- Pelajari cara menyelidiki insiden.
- Pelajari cara menambahkan tugas ke grup insiden secara otomatis menggunakan playbook.
- Pelajari cara menggunakan tugas untuk menangani alur kerja insiden di Microsoft Azure Sentinel.
- Pelajari selengkapnya tentang aturan otomatisasi dan cara membuatnya.