この記事では、SOC アナリストがインシデント タスクを使用して、Azure portalのMicrosoft Sentinelでインシデント処理ワークフロー プロセスを管理する方法について説明します。
インシデント タスク は通常、上級アナリストまたは SOC マネージャーによって設定された自動化ルールまたはプレイブックによって自動的に作成されますが、下位レベルのアナリストは、インシデント内から直接、その場で手動で独自のタスクを作成できます。
インシデントの詳細ページで、特定のインシデントに対して実行する必要があるタスクの一覧を確認し、完了としてマークすることができます。
さまざまなロールのユース ケース
この記事では、SOC アナリストに適用される次のシナリオについて説明します。
次のリンクのその他の記事では、SOC マネージャー、シニア アナリスト、オートメーション エンジニアにさらに適用されるシナリオについて説明します。
前提条件
Microsoft Sentinelレスポンダー ロールは、自動化ルールを作成したり、インシデントを表示および編集したりするために必要です。どちらもタスクの追加、表示、編集に必要です。
インシデント タスクの表示とフォロー
[インシデント] ページで、一覧からインシデントを選択し、詳細パネルの [タスク] で [完全な詳細を表示] を選択するか、詳細パネルの下部にある [完全な詳細の表示] を選択します。
完全な詳細ページを入力することを選択した場合は、上部のバナーから [タスク ] を選択します。
[ インシデント タスク ] パネルは、表示されている画面 (メインインシデント ページまたはインシデントの詳細ページ) の右側に開きます。 このインシデントに対して定義されたタスクの一覧と、作成された方法と作成者 (手動または自動化ルール、プレイブック) が表示されます。
![[インシデントの詳細] ページから見たインシデント タスク パネルを示すスクリーンショット。](media/work-with-tasks/incident-tasks-panel.png)
説明があるタスクには、展開矢印が付きます。 タスクを展開して、その完全な説明を表示します。
タスク名の横にある円をマークして、タスクを完了としてマークします。 チェックマークが円に表示され、タスクのテキストが淡色表示されます。上記のスクリーンショットの「ユーザー パスワードのリセット」の例を参照してください。
アドホック タスクをインシデントに手動で追加する
インシデントのタスク リストには、その場で自分のタスクを追加することもできます。 このタスクは、開いているインシデントにのみ適用されます。 これは、調査が新しい方向に進み、チェックする必要がある新しいことを考える場合に役立ちます。 これらをタスクとして追加することで、忘れられません。また、他のアナリストやマネージャーが恩恵を受けることができる、実行した内容の記録が確実に得られます。
[インシデント タスク] パネルの上部にある [+ タスクの追加] を選択します。
タスクの [タイトル ] を入力し、選択した場合は [説明] を入力します。
完了したら、[ 保存] を選択します 。
タスク一覧の下部に新しいタスクを表示します。 手動で作成されたタスクの左側の境界線には異なる色の帯があり、タスクのタイトルと説明の下に [ 作成者: ] と表示されることに注意してください。
