Udostępnij za pośrednictwem


Praca z zadaniami zdarzeń w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak analitycy SOC mogą używać zadań zdarzeń do zarządzania procesami przepływu pracy obsługi zdarzeń w usłudze Microsoft Sentinel.

Zadania zdarzeń są zwykle tworzone automatycznie przez reguły automatyzacji lub podręczniki skonfigurowane przez starszych analityków lub menedżerów SOC, ale analitycy niższej warstwy mogą tworzyć własne zadania na miejscu, ręcznie, bezpośrednio z poziomu incydentu.

Możesz wyświetlić listę zadań, które należy wykonać dla określonego zdarzenia na stronie szczegółów zdarzenia, i oznaczyć je jako ukończone w miarę przechodzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do analityków SOC:

Inne artykuły z poniższych linków dotyczą scenariuszy, które mają zastosowanie bardziej do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie i wykonywanie zadań zdarzeń

  1. Na stronie Zdarzenia wybierz zdarzenie z listy, a następnie wybierz pozycję Wyświetl pełne szczegóły w obszarze Zadania na panelu szczegółów lub wybierz pozycję Wyświetl pełne szczegóły w dolnej części panelu szczegółów.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Jeśli zdecydujesz się wprowadzić pełną stronę szczegółów, wybierz pozycję Zadania na górnym banerze.

    Screenshot shows incident details screen with tasks panel open.

  3. Panel Zadania zdarzenia zostanie otwarty po prawej stronie niezależnie od tego, na którym ekranie znajdowałeś się (strona główne zdarzenia lub strona szczegółów zdarzenia). Zobaczysz listę zadań zdefiniowanych dla tego zdarzenia wraz z tym, jak lub przez kogo został utworzony — niezależnie od tego, czy ręcznie, czy przez regułę automatyzacji, czy podręcznik.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Zadania, które zawierają opisy, zostaną oznaczone strzałką rozszerzenia. Rozwiń zadanie, aby wyświetlić jego pełny opis.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Oznacz zadanie jako ukończone, oznaczając okrąg obok nazwy zadania. W okręgu pojawi się znacznik wyboru, a tekst zadania będzie wyszaryzowany. Zobacz przykład "Resetuj hasło użytkownika" na powyższych zrzutach ekranu.

Ręczne dodawanie zadania ad hoc do zdarzenia

Możesz również dodawać zadania dla siebie, na miejscu, do listy zadań zdarzenia. To zadanie będzie miało zastosowanie tylko do otwartego zdarzenia. Pomaga to, jeśli badanie prowadzi Cię w nowych kierunkach i myślisz o nowych rzeczach, które należy sprawdzić. Dodanie tych zadań jako zapewnia, że nie zapomnisz ich wykonać i że będą istnieć zapisy tego, co zrobiłeś, że inni analitycy i menedżerowie mogą czerpać korzyści.

  1. Wybierz pozycję + Dodaj zadanie w górnej części panelu Zadania zdarzenia.

    Screenshot shows how to manually add a task to your task list.

  2. Wprowadź tytuł zadania i opis, jeśli wybierzesz.

    Screenshot shows how to add a title and description to your task.

  3. Po zakończeniu wybierz pozycję Zapisz .

    Screenshot shows how to finish defining and save your task.

  4. Zobacz nowe zadanie w dolnej części listy zadań. Należy pamiętać, że zadania utworzone ręcznie mają inny pasek kolorów na lewym obramowanie, a nazwa jest wyświetlana jako Utworzona przez: pod tytułem i opisem zadania.

    Screenshot showing your new task at the end of the task list.

Następne kroki