Membuat tugas insiden di Microsoft Azure Sentinel menggunakan aturan otomatisasi

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara menggunakan aturan otomatisasi untuk membuat daftar tugas insiden, untuk menstandarkan proses alur kerja analis di Microsoft Azure Sentinel.

Tugas insiden dapat dibuat secara otomatis tidak hanya oleh aturan otomatisasi, tetapi juga oleh playbook, dan juga secara manual, ad-hoc, dari dalam insiden.

Kasus penggunaan untuk peran yang berbeda

Artikel ini membahas skenario berikut yang berlaku untuk manajer SOC, analis senior, dan insinyur otomatisasi:

Skenario lain tersebut dibahas dalam artikel pendamping berikut:

Artikel lain, pada tautan berikut, membahas skenario yang berlaku lebih banyak untuk analis SOC:

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Peran Microsoft Sentinel Responder diperlukan untuk membuat aturan otomatisasi dan untuk melihat dan mengedit insiden, yang keduanya diperlukan untuk menambahkan, melihat, dan mengedit tugas.

Menampilkan aturan otomatisasi dengan tindakan tugas insiden

Di halaman Automation , Anda dapat memfilter tampilan aturan otomatisasi untuk melihat hanya yang memiliki tindakan Tambahkan tugas yang ditentukan.

Cuplikan layar memperlihatkan cara memfilter kisi aturan otomatisasi.

  1. Pilih filter Tindakan .

  2. Batalkan tanda pada kotak centang Pilih semua .

  3. Gulir ke bawah dan tandai kotak centang Tambahkan tugas .

  4. Pilih OK dan lihat hasilnya.

    Cuplikan layar memperlihatkan hasil filter pada kisi aturan otomatisasi.

    Ini adalah aturan otomatisasi yang menambahkan tugas ke insiden. Kolom Nama aturan Analitik memberi tahu Anda aturan analitik mana aturan otomatisasi ini dikondisikan, sehingga Anda akan memiliki gambaran umum tentang insiden mana yang terpengaruh.

    Catatan

    Untuk memiliki pengetahuan yang tepat tentang apakah aturan otomatisasi akan berlaku untuk insiden tertentu, Anda harus membuka aturan untuk melihat apakah ada kondisi tambahan yang ditentukan, selain kondisi aturan analitik. Jika kondisi lain didefinisikan, cakupan insiden yang terpengaruh akan sesuai dengan penyempitan.

Menambahkan tugas ke insiden dengan aturan otomatisasi

  1. Di halaman Automation , pilih + Buat dan pilih Aturan otomatisasi.

  2. Panel Buat aturan otomatisasi baru akan terbuka di sisi kanan.
    Beri nama aturan otomatisasi Anda yang menjelaskan apa yang dilakukannya.

  3. Pilih Saat insiden dibuat sebagai pemicu (Anda juga dapat menggunakan Saat insiden diperbarui).

  4. Tambahkan Kondisi untuk menentukan insiden mana tugas baru yang akan ditambahkan.

    Misalnya, filter menurut nama aturan Analitik:

    • Anda mungkin ingin menambahkan tugas ke insiden berdasarkan jenis ancaman yang terdeteksi oleh aturan analitik atau sekelompok aturan analitik yang perlu ditangani sesuai dengan alur kerja tertentu. Cari dan pilih aturan analitik yang relevan dari daftar drop-down.

    • Atau, Anda mungkin ingin menambahkan tugas yang relevan untuk insiden di semua jenis ancaman (dalam hal ini, biarkan pilihan default Semua apa adanya).

    Dalam kedua kasus, Anda dapat menambahkan lebih banyak kondisi untuk mempersempit cakupan insiden yang akan diterapkan aturan otomatisasi Anda. Pelajari selengkapnya tentang menambahkan kondisi tingkat lanjut ke aturan otomatisasi.

    Satu hal yang perlu Anda pertimbangkan adalah bahwa urutan tugas yang muncul dalam insiden Anda ditentukan oleh waktu pembuatan tugas. Anda dapat mengatur urutan aturan otomatisasi sehingga aturan yang menambahkan tugas yang diperlukan untuk semua insiden akan berjalan terlebih dahulu, dan hanya setelah itu aturan apa pun yang menambahkan tugas yang diperlukan untuk insiden yang dihasilkan oleh aturan analitik tertentu.

    Cuplikan layar bagian pertama wizard aturan otomatisasi.

  5. Di bawah Tindakan, pilih Tambahkan tugas.

    Cuplikan layar memilih tindakan Tambahkan Tugas dalam aturan otomatisasi.

  6. Untuk setiap tugas, masukkan judul di bidang Judul tugas, lalu (opsional) pilih + Tambahkan deskripsi untuk membuka bidang deskripsi.
    Hanya judul tugas yang muncul secara default di panel daftar tugas insiden. Deskripsi tugas hanya muncul saat item tugas diperluas.

    Cuplikan layar memperlihatkan cara menambahkan judul dan deskripsi ke tugas.

  7. Di bidang deskripsi Anda bisa menambahkan deskripsi bentuk bebas untuk tugas, termasuk gambar, tautan, dan pemformatan teks kaya (lihat hyperlink, daftar bernomor, dan teks berformat blok kode dalam contoh di bawah).

    Cuplikan layar memperlihatkan cara menambahkan deskripsi ke tugas.

  8. Tambahkan lebih banyak tugas ke grup insiden yang sama dengan memilih + Tambahkan tindakan dan ulangi tiga langkah terakhir.

    Tugas akan dibuat dan ditambahkan ke insiden sesuai dengan urutan Tambahkan tindakan tugas dalam aturan otomatisasi Anda.

    Cuplikan layar memperlihatkan cara menambahkan lebih banyak tugas ke aturan otomatisasi.

  9. Selesaikan pembuatan aturan otomatisasi dengan menyelesaikan langkah-langkah yang tersisa, Kedaluwarsa aturan dan Urutan, dan memilih Terapkan di akhir. Lihat Membuat dan menggunakan aturan otomatisasi Microsoft Azure Sentinel untuk mengelola respons untuk detail selengkapnya.

    Mengenai pengaturan Pesanan: Urutan munculnya tugas dalam insiden Anda bergantung pada dua hal:

    1. Urutan eksekusi aturan otomatisasi, seperti yang ditentukan oleh angka dalam pengaturan Pesanan , dan ...
    2. Urutan Tambahkan tindakan tugas yang ditentukan dalam setiap aturan otomatisasi.

Langkah berikutnya