이 문서에서는 SOC 분석가가 인시던트 작업을 사용하여 Azure Portal Microsoft Sentinel 인시던트 처리 워크플로 프로세스를 관리하는 방법을 설명합니다.
인시던트 작업은 일반적으로 선임 분석가 또는 SOC 관리자가 설정한 자동화 규칙 또는 플레이북에 의해 자동으로 생성되지만, 하위 계층 분석가는 인시던트 내에서 직접 작업을 만들 수 있습니다.
인시던트 세부 정보 페이지에서 특정 인시던트에 대해 수행해야 하는 작업 목록을 보고 진행하면서 완료된 것으로 표시할 수 있습니다.
다른 역할에 대한 사용 사례
이 문서에서는 SOC 분석가에게 적용되는 다음 시나리오를 다룹니다.
다음 링크의 다른 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 더 많이 적용되는 시나리오를 다룹니다.
필수 구성 요소
자동화 규칙을 만들고 작업을 추가, 보기 및 편집하는 데 필요한 인시던트 보기 및 편집에는 Microsoft Sentinel 응답자 역할이 필요합니다.
인시던트 작업 보기 및 팔로우
인시던트 페이지의 목록에서 인시던트를 선택하고 세부 정보 패널의 작업에서 전체 세부 정보 보기를 선택하거나 세부 정보 패널 아래쪽에서 전체 세부 정보 보기를 선택합니다.
전체 세부 정보 페이지를 입력하도록 선택한 경우 위쪽 배너에서 작업을 선택합니다.
인시던트 작업 패널이 열려 있는 화면(기본 인시던트 페이지 또는 인시던트 세부 정보 페이지)의 오른쪽에 열립니다. 수동으로 또는 자동화 규칙 또는 플레이북에 의해 생성된 방법 또는 대상과 함께 이 인시던트에 대해 정의된 작업 목록이 표시됩니다.
설명이 있는 작업은 확장 화살표로 표시됩니다. 작업을 확장하여 전체 설명을 확인합니다.
작업 이름 옆에 있는 원을 표시하여 작업을 완료하도록 표시합니다. 검사 표시가 원에 표시되고 작업의 텍스트가 회색으로 표시됩니다. 위의 스크린샷에서 "사용자 암호 재설정" 예제를 참조하세요.
인시던트에 임시 작업을 수동으로 추가
인시던트의 작업 목록에 직접 작업을 추가할 수도 있습니다. 이 작업은 열린 인시던트에만 적용됩니다. 이는 조사가 새로운 방향으로 나아가고 검사 데 필요한 새로운 것을 생각하는 경우에 도움이 됩니다. 이러한 작업을 작업으로 추가하면 이러한 작업을 수행하는 것을 잊지 않을 것이며, 여러분이 한 일에 대한 기록이 있을 것이며, 다른 분석가와 관리자가 혜택을 누릴 수 있습니다.
인시던트 작업 패널의 맨 위에서 + 작업 추가를 선택합니다.
작업에 대한 제목 과 선택한 경우 설명을 입력합니다.
완료되면 저장 을 선택합니다.
작업 목록의 맨 아래에서 새 작업을 확인합니다. 수동으로 만든 작업에는 왼쪽 테두리에 다른 색 밴드가 있으며, 사용자의 이름은 작업 제목 및 설명 아래에 만든 사용자: 로 표시됩니다.
