Condividi tramite

Usare le attività degli eventi imprevisti in Microsoft Sentinel

  • Articolo

Questo articolo illustra in che modo gli analisti SOC possono usare le attività degli eventi imprevisti per gestire i processi del flusso di lavoro di gestione degli eventi imprevisti in Microsoft Sentinel.

Le attività degli eventi imprevisti vengono in genere create automaticamente dalle regole di automazione o dai playbook configurati dagli analisti senior o dai manager SOC, ma gli analisti di livello inferiore possono creare le proprie attività sul posto, manualmente, direttamente dall'interno dell'evento imprevisto.

È possibile visualizzare l'elenco delle attività che è necessario eseguire per un evento imprevisto specifico nella pagina dei dettagli dell'evento imprevisto e contrassegnarli completati man mano che si procede.

Casi d'uso per ruoli diversi

Questo articolo illustra gli scenari seguenti, che si applicano agli analisti SOC:

Altri articoli nei collegamenti seguenti illustrano gli scenari che si applicano di più ai responsabili SOC, agli analisti senior e agli ingegneri di automazione:

Prerequisiti

Il ruolo Risponditore di Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare le attività.

Visualizzare e seguire le attività degli eventi imprevisti

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto dall'elenco e selezionare Visualizza dettagli completi in Attività nel pannello dei dettagli oppure selezionare Visualizza dettagli completi nella parte inferiore del pannello dei dettagli.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Se si è scelto di immettere la pagina dei dettagli completi, selezionare Attività nel banner in alto.

    Screenshot shows incident details screen with tasks panel open.

  3. Il pannello Attività evento imprevisto verrà aperto sul lato destro della schermata in cui ci si trovava (la pagina principale degli eventi imprevisti o la pagina dei dettagli dell'evento imprevisto). Verrà visualizzato l'elenco delle attività definite per questo evento imprevisto, insieme a come o da chi è stato creato, sia manualmente che da una regola di automazione o da un playbook.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Le attività con descrizioni verranno contrassegnate con una freccia di espansione. Espandere un'attività per visualizzarne la descrizione completa.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Contrassegnare un'attività completata contrassegnando il cerchio accanto al nome dell'attività. Un segno di spunta verrà visualizzato nel cerchio e il testo dell'attività verrà disattivato. Vedere l'esempio "Reimposta password utente" negli screenshot precedenti.

Aggiungere manualmente un'attività ad hoc a un evento imprevisto

È anche possibile aggiungere attività manualmente, sul posto, all'elenco di attività di un evento imprevisto. Questa attività verrà applicata solo all'evento imprevisto aperto. Questo aiuta se l'indagine ti conduce in nuove direzioni e pensi a nuove cose che devi controllare. L'aggiunta di questi come attività garantisce che non dimentichi di eseguirle e che ci sarà un record di ciò che hai fatto, che altri analisti e manager possono trarre vantaggio da.

  1. Selezionare + Aggiungi attività nella parte superiore del pannello Attività evento imprevisto .

    Screenshot shows how to manually add a task to your task list.

  2. Immettere un titolo per l'attività e una descrizione se si sceglie.

    Screenshot shows how to add a title and description to your task.

  3. Al termine, selezionare Salva .

    Screenshot shows how to finish defining and save your task.

  4. Vedere la nuova attività nella parte inferiore dell'elenco di attività. Si noti che le attività create manualmente hanno una banda di colori diversa sul bordo sinistro e che il nome viene visualizzato come Creato da: sotto il titolo e la descrizione dell'attività.

    Screenshot showing your new task at the end of the task list.

Passaggi successivi