Usare le attività degli eventi imprevisti in Microsoft Sentinel nel portale di Azure

  • Si applica a: Microsoft Sentinel in the Azure portal

Questo articolo illustra come gli analisti soc possono usare le attività degli eventi imprevisti per gestire i processi del flusso di lavoro di gestione degli eventi imprevisti in Microsoft Sentinel nel portale di Azure.

Le attività degli eventi imprevisti vengono in genere create automaticamente da regole di automazione o playbook configurati da analisti senior o manager SOC, ma gli analisti di livello inferiore possono creare le proprie attività sul posto, manualmente, direttamente dall'interno dell'evento imprevisto.

È possibile visualizzare l'elenco delle attività che è necessario eseguire per un evento imprevisto specifico nella pagina dei dettagli dell'evento imprevisto e contrassegnarle come complete man mano che si procede.

Casi d'uso per ruoli diversi

Questo articolo illustra gli scenari seguenti, che si applicano agli analisti soc:

Altri articoli sui collegamenti seguenti riguardano scenari che si applicano maggiormente ai manager soc, agli analisti senior e ai tecnici di automazione:

Prerequisiti

Il ruolo risponditore Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare attività.

Visualizzare e seguire le attività degli eventi imprevisti

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto dall'elenco e selezionare Visualizza dettagli completi in Attività nel pannello dei dettagli oppure selezionare Visualizza dettagli completi nella parte inferiore del pannello dei dettagli.

    Screenshot del collegamento per immettere il pannello delle attività dal pannello delle informazioni sugli eventi imprevisti nella schermata principale degli eventi imprevisti.

  2. Se si è scelto di immettere la pagina dei dettagli completa, selezionare Attività nel banner superiore.

    Screenshot che mostra la schermata dei dettagli dell'evento imprevisto con il pannello attività aperto.

  3. Il pannello Attività impreviste verrà aperto sul lato destro della schermata in cui ci si trovava (la pagina principale degli eventi imprevisti o la pagina dei dettagli dell'evento imprevisto). Verrà visualizzato l'elenco delle attività definite per questo evento imprevisto, insieme a come o da chi è stato creato, sia manualmente che da una regola di automazione o da un playbook.

    Screenshot che mostra il pannello delle attività degli eventi imprevisti come illustrato dalla pagina dei dettagli dell'evento imprevisto.

  4. Le attività con descrizioni verranno contrassegnate con una freccia di espansione. Espandere un'attività per visualizzarne la descrizione completa.

    Screenshot che mostra il pannello attività impreviste con descrizioni delle attività espanse.

  5. Contrassegnare un'attività completata contrassegnando il cerchio accanto al nome dell'attività. Nel cerchio verrà visualizzato un segno di spunta e il testo dell'attività verrà disattivato. Vedere l'esempio "Reimposta password utente" negli screenshot precedenti.

Aggiungere manualmente un'attività ad hoc a un evento imprevisto

È anche possibile aggiungere attività per se stessi, sul posto, all'elenco di attività di un evento imprevisto. Questa attività verrà applicata solo all'evento imprevisto aperto. Questo aiuta se la tua indagine ti porta in nuove direzioni e pensi a cose nuove che devi controllare. L'aggiunta di queste attività come attività garantisce che non si dimentichi di eseguirle e che ci sia un record di ciò che hai fatto, di cui altri analisti e manager possono trarre vantaggio.

  1. Selezionare + Aggiungi attività nella parte superiore del pannello Attività impreviste .

    Screenshot che mostra come aggiungere manualmente un'attività all'elenco attività.

  2. Se si sceglie, immettere un titolo per l'attività e una descrizione .

    Screenshot che mostra come aggiungere un titolo e una descrizione all'attività.

  3. Al termine, selezionare Salva .

    Screenshot che mostra come completare la definizione e salvare l'attività.

  4. Vedere la nuova attività nella parte inferiore dell'elenco attività. Si noti che le attività create manualmente hanno una banda di colori diversa sul bordo sinistro e che il nome viene visualizzato come Creato da: sotto il titolo e la descrizione dell'attività.

    Screenshot che mostra la nuova attività alla fine dell'elenco attività.

Passaggi successivi

  • Last updated on