Incidenttaken maken in Microsoft Sentinel met behulp van automatiseringsregels
In dit artikel wordt uitgelegd hoe u automatiseringsregels gebruikt om lijsten met incidenttaken te maken om werkstroomprocessen van analisten in Microsoft Sentinel te standaardiseren.
Incidenttaken kunnen niet alleen automatisch worden gemaakt door automatiseringsregels, maar ook door playbooks, en ook handmatig, ad-hoc, vanuit een incident.
Gebruiksvoorbeelden voor verschillende rollen
In dit artikel worden de volgende scenario's behandeld die van toepassing zijn op SOC-managers, senior analisten en automatiseringstechnici:
- Automatiseringsregels weergeven met acties voor incidenttaken
- Taken toevoegen aan incidenten met automatiseringsregels
In het volgende aanvullende artikel wordt een ander scenario behandeld:
Een ander artikel, op de volgende koppelingen, behandelt scenario's die meer van toepassing zijn op SOC-analisten:
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en voor het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.
Automatiseringsregels weergeven met acties voor incidenttaken
Op de pagina Automation kunt u de weergave van automatiseringsregels filteren om alleen de regels te zien waarvoor taakacties toevoegen zijn gedefinieerd.
Selecteer het filter Acties .
Schakel het selectievakje Alles selecteren uit.
Schuif omlaag en markeer het selectievakje Taak toevoegen.
Selecteer OK en bekijk de resultaten.
Dit zijn de automatiseringsregels waarmee taken aan incidenten worden toegevoegd. In de kolom Namen van analyseregels wordt aangegeven op welke analyseregels deze automatiseringsregels zijn gebaseerd, dus u hebt een algemeen idee van welke incidenten worden beïnvloed.
Notitie
Als u precies wilt weten of een automatiseringsregel van toepassing is op een bepaald incident, moet u de regel openen om te zien of er aanvullende voorwaarden zijn gedefinieerd, naast de voorwaarde van de analyseregel. Als er andere voorwaarden zijn gedefinieerd, wordt het bereik van de betrokken incidenten dienovereenkomstig beperkt.
Taken toevoegen aan incidenten met automatiseringsregels
Selecteer + Maken en selecteer Automation-regel op de pagina Automation.
Het deelvenster Nieuwe automatiseringsregel maken wordt aan de rechterkant geopend.
Geef uw automatiseringsregel een naam die beschrijft wat deze doet.Selecteer Wanneer een incident wordt gemaakt als de trigger (u kunt ook Het incident gebruiken wanneer het incident wordt bijgewerkt).
Voorwaarden toevoegen om te bepalen aan welke incidenten nieuwe taken worden toegevoegd.
Filter bijvoorbeeld op de naam van de analyseregel:
U kunt taken toevoegen aan incidenten op basis van de typen bedreigingen die worden gedetecteerd door een analyseregel of een groep analyseregels die moeten worden verwerkt volgens een bepaalde werkstroom. Zoek en selecteer de relevante analyseregels in de vervolgkeuzelijst.
U kunt ook taken toevoegen die relevant zijn voor incidenten voor alle typen bedreigingen (laat in dit geval de standaardselectie Alles staan zoals dat is).
In beide gevallen kunt u meer voorwaarden toevoegen om het bereik van incidenten te beperken waarop uw automatiseringsregel van toepassing is. Meer informatie over het toevoegen van geavanceerde voorwaarden aan automatiseringsregels.
U moet er rekening mee houden dat de volgorde waarin taken in uw incident worden weergegeven, wordt bepaald door de aanmaaktijd van de taken. U kunt de volgorde van automatiseringsregels zo instellen dat regels die taken toevoegen die vereist zijn voor alle incidenten eerst worden uitgevoerd en pas daarna regels die taken toevoegen die vereist zijn voor incidenten die zijn gegenereerd door specifieke analyseregels.
Selecteer Onder Acties de optie Taak toevoegen.
Voer voor elke taak een titel in het veld Taaktitel in en selecteer (optioneel) + Beschrijving toevoegen om een beschrijvingsveld te openen.
Alleen taaktitels worden standaard weergegeven in het takenlijstvenster van het incident. De beschrijving van een taak wordt alleen weergegeven wanneer het taakitem wordt uitgevouwen.
In het beschrijvingsveld kunt u een vrije beschrijving voor de taak toevoegen, inclusief afbeeldingen, koppelingen en opmaak met tekst met opmaak (zie de hyperlinks, genummerde lijsten en opgemaakte tekst in codeblokken in de onderstaande voorbeelden).
Voeg meer taken toe aan dezelfde groep incidenten door +Actie toevoegen te selecteren en de laatste drie stappen te herhalen.
Taken worden gemaakt en toegevoegd aan het incident volgens de volgorde van de taakacties toevoegen in uw automatiseringsregel.
Voltooi het maken van de automatiseringsregel door de resterende stappen, het verloop en de volgorde van de regel te voltooien en Toepassen aan het einde te selecteren. Zie Automatiseringsregels voor Microsoft Sentinel maken en gebruiken voor het beheren van antwoorden voor volledige informatie.
Met betrekking tot de orderinstelling : De volgorde waarin taken in uw incidenten worden weergegeven, is afhankelijk van twee dingen:
- De volgorde van de uitvoering van de automatiseringsregels, zoals bepaald door het getal in de instelling Volgorde , en...
- De volgorde van de taakacties toevoegen die binnen elke automatiseringsregel zijn gedefinieerd.
Volgende stappen
- Meer informatie over incidenttaken.
- Meer informatie over het onderzoeken van incidenten.
- Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van playbooks.
- Meer informatie over het gebruik van taken voor het afhandelen van een werkstroom voor incidenten in Microsoft Sentinel.
- Meer informatie over automatiseringsregels en hoe u deze kunt maken.