Praca z zadaniami zdarzenia w Microsoft Sentinel w Azure Portal

W tym artykule wyjaśniono, w jaki sposób analitycy SOC mogą używać zadań zdarzeń do zarządzania procesami przepływu pracy obsługi zdarzeń w Microsoft Sentinel w Azure Portal.

Zadania zdarzeń są zwykle tworzone automatycznie przez reguły automatyzacji lub podręczniki skonfigurowane przez starszych analityków lub menedżerów SOC, ale analitycy niższego poziomu mogą tworzyć własne zadania na miejscu, ręcznie bezpośrednio z poziomu zdarzenia.

Listę zadań, które należy wykonać dla określonego zdarzenia, można wyświetlić na stronie szczegółów zdarzenia i oznaczyć je jako ukończone zgodnie z rzeczywistym użyciem.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które dotyczą analityków SOC:

• Wyświetlanie i śledzenie zadań zdarzeń
• Ręczne dodawanie zadania ad hoc do zdarzenia

Inne artykuły w poniższych linkach dotyczą scenariuszy, które dotyczą bardziej menedżerów SOC, starszych analityków i inżynierów automatyzacji:

• Wyświetlanie reguł automatyzacji za pomocą akcji zadania zdarzenia
• Dodawanie zadań do zdarzeń za pomocą reguł automatyzacji
• Dodawanie zadań do zdarzeń za pomocą podręczników

Wymagania wstępne

Rola Microsoft Sentinel Responder jest wymagana do tworzenia reguł automatyzacji oraz do wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie i śledzenie zadań zdarzeń

1. Na stronie Zdarzenia wybierz zdarzenie z listy, a następnie wybierz pozycję Wyświetl pełne szczegóły w obszarze Zadania w panelu szczegółów lub wybierz pozycję Wyświetl pełne szczegóły w dolnej części panelu szczegółów.

   

2. Jeśli wybrano opcję wprowadzenia pełnej strony szczegółów, wybierz pozycję Zadania na górnym banerze.

   

3. Panel Zadania zdarzenia zostanie otwarty po prawej stronie ekranu, w którym byłeś (strona główne zdarzenia lub strona szczegółów zdarzenia). Zobaczysz listę zadań zdefiniowanych dla tego zdarzenia wraz z tym, jak lub przez kogo został utworzony — ręcznie, przez regułę automatyzacji lub podręcznik.

   

4. Zadania, które mają opisy, zostaną oznaczone strzałką rozszerzenia. Rozwiń zadanie, aby wyświetlić jego pełny opis.

   

5. Oznacz zadanie jako ukończone, oznaczając okrąg obok nazwy zadania. W okręgu zostanie wyświetlony znacznik wyboru, a tekst zadania zostanie wyszarzona. Zobacz przykład "Resetuj hasło użytkownika" na powyższych zrzutach ekranu.

Ręczne dodawanie zadania ad hoc do zdarzenia

Możesz również dodać zadania dla siebie na miejscu do listy zadań zdarzenia. To zadanie będzie miało zastosowanie tylko do otwartego zdarzenia. Pomaga to, jeśli badanie prowadzi Cię w nowych kierunkach i myślisz o nowych rzeczach, które musisz sprawdzić. Dodanie ich jako zadań gwarantuje, że nie zapomnisz ich wykonywać i że będziesz mieć zapis tego, co zrobiłeś, z którego mogą korzystać inni analitycy i menedżerowie.

1. Wybierz pozycję + Dodaj zadanie w górnej części panelu Zadania zdarzeń .

   

2. Wprowadź tytuł zadania i opis , jeśli wybierzesz.

   

3. Po zakończeniu wybierz pozycję Zapisz .

   

4. Zobacz nowe zadanie w dolnej części listy zadań. Należy pamiętać, że ręcznie utworzone zadania mają inny pasek kolorów na lewym obramowanie, a nazwa jest wyświetlana jako Utworzone przez: w obszarze tytuł zadania i opis.

   

Następne kroki

• Dowiedz się więcej o zadaniach związanych z incydentami.
• Dowiedz się, jak badać zdarzenia.
• Dowiedz się, jak automatycznie dodawać zadania do grup zdarzeń przy użyciu reguł automatyzacji lub podręczników oraz kiedy ich używać.
• Dowiedz się więcej o śledzeniu zadań.
• Dowiedz się więcej na temat reguł automatyzacji i sposobu ich tworzenia.
• Dowiedz się więcej o podręcznikach i sposobach ich tworzenia.