Arbeide med hendelsesoppgaver i Microsoft Sentinel i Azure Portal

Denne artikkelen forklarer hvordan SOC-analytikere kan bruke hendelsesoppgaver til å administrere arbeidsflytprosessene for hendelseshåndtering i Microsoft Sentinel i Azure Portal.

Hendelsesoppgaver opprettes vanligvis automatisk av automatiseringsregler eller strategibøker satt opp av senioranalytikere eller SOC-ledere, men analytikere på lavere nivå kan opprette sine egne oppgaver på stedet, manuelt, direkte fra hendelsen.

Du kan se listen over oppgaver du må utføre for en bestemt hendelse på siden med hendelsesdetaljer, og merke dem som fullført mens du går.

Brukstilfeller for ulike roller

Denne artikkelen tar for seg følgende scenarioer, som gjelder for SOC-analytikere:

• Vise og følge hendelsesoppgaver
• Legge til en ad hoc-oppgave manuelt i en hendelse

Andre artikler på følgende koblinger tar for seg scenarioer som gjelder mer for SOC-ledere, senioranalytikere og automatiseringsingeniører:

• Vis automatiseringsregler med hendelsesoppgavehandlinger
• Legge til oppgaver i hendelser med automatiseringsregler
• Legge til oppgaver i hendelser med strategibøker

Forutsetninger

Rollen Microsoft Sentinel Responder kreves for å opprette automatiseringsregler og vise og redigere hendelser, som begge er nødvendige for å legge til, vise og redigere oppgaver.

Vise og følge hendelsesoppgaver

1. Velg en hendelse fra listen på Hendelser-siden , og velg Vis alle detaljer under Oppgaver i detaljpanelet, eller velg Vis alle detaljer nederst i detaljpanelet.

   

2. Hvis du valgte å skrive inn hele detaljsiden, velger du Oppgaver fra det øverste banneret.

   

3. Hendelsesoppgavepanelet åpnes på høyre side av skjermen du var i (hovedsiden for hendelser eller siden med hendelsesdetaljer). Du vil se listen over oppgaver som er definert for denne hendelsen, sammen med hvordan eller av hvem den ble opprettet – enten manuelt eller av en automatiseringsregel eller en strategiplan.

   

4. Oppgavene som har beskrivelser, merkes med en utvidelsespil. Utvid en oppgave for å se den fullstendige beskrivelsen.

   

5. Merk en oppgave som fullført ved å merke sirkelen ved siden av aktivitetsnavnet. En hake vises i sirkelen, og teksten i oppgaven blir nedtonet. Se eksemplet «Tilbakestill brukerpassord» i skjermbildene ovenfor.

Legge til en ad hoc-oppgave manuelt i en hendelse

Du kan også legge til oppgaver for deg selv, på stedet, i oppgavelisten for en hendelse. Denne oppgaven gjelder bare for den åpne hendelsen. Dette hjelper deg hvis undersøkelsen leder deg i nye retninger, og du tenker på nye ting du må sjekke. Å legge til disse som oppgaver sikrer at du ikke glemmer å gjøre dem, og at det vil være en oversikt over hva du gjorde, som andre analytikere og ledere kan dra nytte av.

1. Velg + Legg til oppgave fra toppen av hendelsesoppgavepanelet .

   

2. Skriv inn en tittel for oppgaven, og en beskrivelse hvis du velger det.

   

3. Velg Lagre når du er ferdig.

   

4. Se den nye oppgaven nederst i oppgavelisten. Vær oppmerksom på at manuelt opprettede aktiviteter har et annet fargebånd på venstre kantlinje, og at navnet ditt vises som Opprettet av: under oppgavetittelen og beskrivelsen.

   

Neste trinn

• Mer informasjon om hendelsesoppgaver.
• Finn ut hvordan du undersøker hendelser.
• Lær hvordan du legger til oppgaver i grupper med hendelser automatisk ved hjelp av automatiseringsregler eller strategibøker, og når du skal bruke hvilke.
• Lær hvordan du holder oversikt over oppgavene dine.
• Mer informasjon om automatiseringsregler og hvordan du oppretter dem.
• Mer informasjon om strategiplan og hvordan du oppretter dem.