다음을 통해 공유


Microsoft Sentinel에서 인시던트 작업 사용

이 문서에서는 SOC 분석가가 인시던트 작업을 사용하여 Microsoft Sentinel에서 인시던트 처리 워크플로 프로세스를 관리하는 방법을 설명합니다.

인시던트 작업은 일반적으로 선임 분석가 또는 SOC 관리자가 설정한 자동화 규칙이나 플레이북에 의해 자동으로 만들어지지만, 하위 계층 분석가는 인시던트 내에서 직접 수동으로 자체 작업을 만들 수 있습니다.

인시던트 세부 정보 페이지에서 특정 인시던트에 대해 수행해야 하는 작업 목록을 확인하고 진행하면서 완료로 표시할 수 있습니다.

다양한 역할의 사용 사례

이 문서에서는 SOC 분석가에게 적용되는 다음 시나리오를 다룹니다.

다음 링크의 다른 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 더 많이 적용되는 시나리오를 다룹니다.

필수 조건

자동화 규칙을 만들고 인시던트를 보고 편집하려면 Microsoft Sentinel 응답자 역할이 필요하며, 이 두 가지 모두 작업을 추가하고 보고 편집하는 데 필요합니다.

인시던트 작업 보기 및 따르기

  1. 인시던트 페이지의 목록에서 인시던트를 선택하고 세부 정보 패널의 작업에서 전체 세부 정보 보기를 선택하거나 세부 정보 패널 아래쪽에서 전체 세부 정보 보기를 선택합니다.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. 전체 세부 정보 페이지를 입력하기로 선택한 경우 상단 배너에서 할 일 목록을 선택합니다.

    Screenshot shows incident details screen with tasks panel open.

  3. 인시던트 작업 패널은 현재 있던 화면(기본 인시던트 페이지 또는 인시던트 세부 정보 페이지)의 오른쪽에 열립니다. 이 인시던트에 대해 정의된 작업 목록과 함께 이 인시던트를 만든 방법이나 만든 사람(수동으로든 자동화 규칙이나 플레이북으로든)을 볼 수 있습니다.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. 설명이 있는 작업에는 확장 화살표가 표시됩니다. 전체 설명을 보려면 작업을 확장합니다.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. 작업 이름 옆에 있는 원을 표시하여 작업을 완료로 표시합니다. 원 안에 확인 표시가 나타나고 작업 텍스트가 회색으로 표시됩니다. 위 스크린샷의 "사용자 암호 초기화" 예를 참조하세요.

인시던트에 임시 작업을 수동으로 추가

현장에서 인시던트의 작업 목록에 직접 작업을 추가할 수도 있습니다. 이 작업은 진행 중인 인시던트에만 적용됩니다. 이는 조사를 통해 새로운 방향으로 나아가고 확인해야 할 새로운 사항이 생각나는 경우 도움이 됩니다. 이를 작업으로 추가하면 수행하는 것을 잊지 않고 수행한 작업에 대한 기록이 남게 되어 다른 분석가와 관리자가 혜택을 누릴 수 있습니다.

  1. 인시던트 작업 패널 상단에서 + 작업 추가를 선택합니다.

    Screenshot shows how to manually add a task to your task list.

  2. 작업의 제목을 입력하고 원하는 경우 설명을 입력합니다.

    Screenshot shows how to add a title and description to your task.

  3. 완료되면 저장을 선택합니다.

    Screenshot shows how to finish defining and save your task.

  4. 작업 목록 하단에서 새 작업을 확인합니다. 수동으로 만들어진 작업은 왼쪽 테두리에 다른 색 띠가 있으며, 작업 제목과 설명 아래에 사용자의 이름이 작성자:로 표시됩니다.

    Screenshot showing your new task at the end of the task list.

다음 단계