Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel

Een van de belangrijkste factoren bij het effectief en efficiënt uitvoeren van uw beveiligingsbewerkingen (SecOps) is de standaardisatie van processen. SecOps-analisten zullen naar verwachting een lijst met stappen of taken uitvoeren tijdens het proces van het trillen, onderzoeken of herstellen van een incident. Door de lijst met taken te standaardiseren en te formaliseren, kan uw SOC soepel werken, zodat dezelfde vereisten van toepassing zijn op alle analisten. Op deze manier krijgt een incident altijd dezelfde behandeling en SLA's, ongeacht wie er op dienst is. Analisten hoeven geen tijd te besteden aan wat u moet doen of u zorgen hoeft te maken over het missen van een kritieke stap. Deze stappen worden gedefinieerd door de SOC-manager of senior analisten (laag 2/3) op basis van algemene beveiligingskennis (zoals NIST), hun ervaring met eerdere incidenten of aanbevelingen van de beveiligingsleverancier die het incident heeft gedetecteerd.

Gebruiksgevallen

• Uw SOC-analisten kunnen één centrale controlelijst gebruiken om de processen van incidentoriteit, onderzoek en reactie af te handelen, allemaal zonder dat u zich zorgen hoeft te maken over het ontbreken van een kritieke stap.

• Uw SOC-technici of senior analisten kunnen de standaarden voor incidentrespons documenteert, bijwerken en afstemmen in de teams en diensten van de analisten. Ze kunnen ook controlelijsten van taken maken om nieuwe analisten of analisten te trainen die nieuwe typen incidenten tegenkomen.

• Als SOC-manager of als MSSP kunt u ervoor zorgen dat incidenten worden verwerkt in overeenstemming met de relevante SLA's/SOP's.

Vereisten

De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en voor het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.

De rol Inzender voor Logic Apps is vereist voor het maken en bewerken van playbooks.

Scenario's

Analist

Taken volgen bij het verwerken van een incident

Wanneer u een incident selecteert en volledige details weergeeft, ziet u op de pagina met incidentdetails alle taken die aan dat incident zijn toegevoegd, handmatig of door automatiseringsregels.

Vouw een taak uit om de volledige beschrijving te zien, inclusief de gebruiker, de automatiseringsregel of het playbook waarmee deze is gemaakt.

Markeer een taak voltooid door de cirkel 'selectievakje' in te schakelen.

Taken toevoegen aan een incident ter plaatse

U kunt taken toevoegen aan een geopend incident waaraan u werkt, om uzelf herinneringen te geven aan acties die u hebt uitgevoerd, of om acties vast te leggen die u zelf hebt genomen en die niet in de takenlijst worden weergegeven. Taken die op deze manier zijn toegevoegd, zijn alleen van toepassing op het geopende incident.

Maker van werkstroom

Taken toevoegen aan incidenten met automatiseringsregels

Gebruik de actie Taak toevoegen in automatiseringsregels om automatisch alle incidenten aan te passen met een controlelijst met taken voor uw analisten. Stel de voorwaarde voor de naam van de analyseregel in uw automatiseringsregel in om het bereik te bepalen:

• Pas de automatiseringsregel toe op alle analyseregels om een standaardset taken te definiëren die op alle incidenten moeten worden toegepast.

• Door uw automatiseringsregel toe te passen op een beperkt aantal analyseregels, kunt u specifieke taken toewijzen aan bepaalde incidenten, afhankelijk van de bedreigingen die zijn gedetecteerd door de analyseregel of regels die deze incidenten hebben gegenereerd.

Houd er rekening mee dat de volgorde waarin taken in uw incident worden weergegeven, wordt bepaald door de aanmaaktijd van de taken. U kunt de volgorde van automatiseringsregels zo instellen dat regels die taken toevoegen die vereist zijn voor alle incidenten eerst worden uitgevoerd en pas daarna regels die taken toevoegen die vereist zijn voor incidenten die zijn gegenereerd door specifieke analyseregels. Binnen één regel bepaalt de volgorde waarin de acties worden gedefinieerd de volgorde waarin ze in een incident worden weergegeven.

Bekijk welke incidenten worden gedekt door bestaande automatiseringsregels en -taken voordat u een nieuwe automatiseringsregel maakt.
Gebruik het actiefilter in de lijst met Automatiseringsregels om alleen de regels te zien waaraan taken worden toegevoegd aan incidenten en om te zien op welke analyseregels die automatiseringsregels van toepassing zijn, om te begrijpen aan welke incidenten deze taken worden toegevoegd.

Taken toevoegen aan incidenten met playbooks

Gebruik de actie Taak toevoegen in een playbook (in de Microsoft Sentinel-connector) om automatisch een taak toe te voegen aan het incident dat het playbook heeft geactiveerd.

Gebruik vervolgens andere playbookacties (in hun respectieve Logic Apps-connectors) om de inhoud van de taak te voltooien.

Gebruik tot slot de taak Markeren als voltooide actie (opnieuw in de Microsoft Sentinel-connector) om de taak automatisch te markeren als voltooid.

Bekijk de volgende scenario's als voorbeelden:

• Playbooks taken laten toevoegen en voltooien: wanneer een incident wordt gemaakt, wordt er een playbook geactiveerd dat het volgende doet:

  1. Hiermee voegt u een taak toe aan het incident om het wachtwoord van een gebruiker opnieuw in te stellen.
  2. Voert de taak uit door een API-aanroep uit te voeren naar het inrichtingssysteem van de gebruiker om het wachtwoord van de gebruiker opnieuw in te stellen.
  3. Wacht op een reactie van het systeem over het slagen of mislukken van de reset.
     • Als het opnieuw instellen van het wachtwoord is geslaagd, markeert het playbook de taak die het zojuist in het incident heeft gemaakt als voltooid.
     • Als het opnieuw instellen van het wachtwoord is mislukt, markeert het playbook de taak niet als voltooid, zodat deze aan een analist wordt overgelaten.

• Laat playbook evalueren of voorwaardelijke taken moeten worden toegevoegd: Wanneer een incident wordt gemaakt, wordt er een playbook geactiveerd dat een IP-adresrapport aanvraagt van een externe bron voor bedreigingsinformatie.

  • Als het IP-adres schadelijk is, voegt het playbook een bepaalde taak toe (bijvoorbeeld 'Dit IP-adres blokkeren').
  • Anders voert het playbook geen verdere actie uit.

Automatiseringsregels of playbooks gebruiken om taken toe te voegen?

Welke overwegingen moeten bepalen welke van deze methoden moeten worden gebruikt om incidenttaken te maken?

• Automatiseringsregels: gebruik waar mogelijk. Gebruik deze functie voor gewone, statische taken waarvoor geen interactiviteit is vereist.
• Playbooks: gebruik voor geavanceerde gebruiksvoorbeelden: het maken van taken op basis van voorwaarden of van taken met geïntegreerde geautomatiseerde acties.

Volgende stappen

• Meer informatie over hoe analisten taken kunnen gebruiken om de werkstroom voor incidenten in Microsoft Sentinel af te handelen.
• Meer informatie over het onderzoeken van incidenten in Microsoft Sentinel.
• Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van automatiseringsregels of playbooks.
• Meer informatie over automatiseringsregels en hoe u deze kunt maken.
• Meer informatie over playbooks en het maken ervan.