Werken met incidenttaken in Microsoft Sentinel

  • Artikel

In dit artikel wordt uitgelegd hoe SOC-analisten incidenttaken kunnen gebruiken om hun werkstroomprocessen voor incidentafhandeling in Microsoft Sentinel te beheren.

Incidenttaken worden doorgaans automatisch gemaakt door automatiseringsregels of playbooks die zijn ingesteld door senior analisten of SOC-managers, maar analisten in lagere lagen kunnen hun eigen taken ter plaatse handmatig maken, rechtstreeks vanuit het incident.

U ziet de lijst met taken die u moet uitvoeren voor een bepaald incident op de pagina met details van het incident en markeer deze als voltooid.

Gebruiksvoorbeelden voor verschillende rollen

In dit artikel worden de volgende scenario's behandeld die van toepassing zijn op SOC-analisten:

In andere artikelen in de volgende koppelingen worden scenario's besproken die meer van toepassing zijn op SOC-managers, senior analisten en automatiseringstechnici:

Vereisten

De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en voor het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.

Incidenttaken weergeven en volgen

  1. Selecteer op de pagina Incidenten een incident in de lijst en selecteer Volledige details weergeven onder Taken in het detailvenster of selecteer Volledige details onder aan het detailvenster weergeven.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Als u ervoor hebt gekozen om de volledige detailpagina in te voeren, selecteert u Taken in de bovenste banner.

    Screenshot shows incident details screen with tasks panel open.

  3. Het deelvenster Incidenttaken wordt aan de rechterkant geopend van het scherm waarin u zich bevindt (de pagina met hoofdincidenten of de pagina met details van het incident). U ziet de lijst met taken die zijn gedefinieerd voor dit incident, samen met hoe of door wie het is gemaakt, ongeacht of het handmatig of door een automatiseringsregel of een playbook is.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. De taken met beschrijvingen worden gemarkeerd met een uitbreidingspijl. Vouw een taak uit om de volledige beschrijving ervan weer te geven.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Een taak markeren als voltooid door de cirkel naast de taaknaam te markeren. Er wordt een vinkje weergegeven in de cirkel en de tekst van de taak wordt grijs weergegeven. Zie het voorbeeld 'Gebruikerswachtwoord opnieuw instellen' in de bovenstaande schermopnamen.

Handmatig een ad-hoctaak toevoegen aan een incident

U kunt ook taken voor uzelf toevoegen, ter plaatse, aan de takenlijst van een incident. Deze taak is alleen van toepassing op het geopende incident. Dit helpt als uw onderzoek u leidt in nieuwe richtingen en u denkt aan nieuwe dingen die u moet controleren. Als u deze toevoegt als taken, zorgt u ervoor dat u ze niet vergeet te doen en dat er een record is van wat u hebt gedaan, waarvan andere analisten en managers kunnen profiteren.

  1. Selecteer + Taak toevoegen boven aan het deelvenster Incidenttaken .

    Screenshot shows how to manually add a task to your task list.

  2. Voer een titel in voor uw taak en een beschrijving als u dat kiest.

    Screenshot shows how to add a title and description to your task.

  3. Selecteer Opslaan wanneer u klaar bent.

    Screenshot shows how to finish defining and save your task.

  4. Bekijk de nieuwe taak onder aan de takenlijst. Houd er rekening mee dat handmatig gemaakte taken een andere kleurband aan de linkerkant hebben en dat uw naam wordt weergegeven als Gemaakt door: onder de taaktitel en beschrijving.

    Screenshot showing your new task at the end of the task list.

Volgende stappen