Udostępnij za pośrednictwem


Praca z zadaniami incydentów w usłudze Microsoft Sentinel w Azure Portal

W tym artykule wyjaśniono, jak analitycy SOC mogą używać zadań incydentów do zarządzania procesami przepływu pracy obsługi zdarzeń w usłudze Microsoft Sentinel w Azure Portal.

Zadania zdarzeń są zwykle tworzone automatycznie przez reguły automatyzacji lub scenariusze skonfigurowane przez starszych analityków lub menedżerów SOC, ale analitycy niższego szczebla mogą tworzyć własne zadania na miejscu, ręcznie, bezpośrednio wewnątrz incydentu.

Możesz wyświetlić listę zadań, które należy wykonać dla określonego zdarzenia na stronie szczegółów zdarzenia, i oznaczyć je jako ukończone w miarę przechodzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do analityków SOC:

Inne artykuły z poniższych linków dotyczą scenariuszy, które mają zastosowanie bardziej do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie i śledzenie zadań incydentu

  1. Na stronie Zdarzenia wybierz zdarzenie z listy, a następnie wybierz pozycję Wyświetl pełne szczegóły w obszarze Zadania na panelu szczegółów lub wybierz pozycję Wyświetl pełne szczegóły w dolnej części panelu szczegółów.

    Zrzut ekranu przedstawiający link do przejścia do panelu zadań z panelu informacji o incydencie na głównym ekranie incydentów.

  2. Jeśli zdecydujesz się przejść do pełnej strony szczegółów, wybierz Zadania z górnego banera.

    Zrzut ekranu przedstawiający ekran szczegółów zdarzenia z otwartym panelem zadań.

  3. Panel Zadania zdarzenia zostanie otwarty po prawej stronie niezależnie od tego, na którym ekranie znajdowałeś się (strona główne zdarzenia lub strona szczegółów zdarzenia). Zobaczysz listę zadań zdefiniowanych dla tego zdarzenia, wraz z informacją, w jaki sposób lub przez kogo zostały utworzone - ręcznie, na podstawie reguły automatyzacji lub scenariusza.

    Zrzut ekranu przedstawia panel zadań związanych ze zdarzeniami, widoczny na stronie szczegółów zdarzenia.

  4. Zadania, które zawierają opisy, zostaną oznaczone strzałką rozszerzenia. Rozwiń zadanie, aby wyświetlić jego pełny opis.

    Zrzut ekranu przedstawia panel zadań incydentów z rozwiniętymi opisami zadań.

  5. Oznacz zadanie jako ukończone, oznaczając okrąg obok nazwy zadania. W okręgu pojawi się znacznik zaznaczenia, a tekst zadania zostanie wyszarzony. Zobacz przykład "Resetuj hasło użytkownika" na zrzutach ekranu powyżej.

Ręczne dodawanie zadania ad hoc do zdarzenia

Możesz również dodawać zadania dla siebie, na miejscu, do listy zadań zdarzenia. To zadanie będzie miało zastosowanie tylko do otwartego zdarzenia. Pomaga to, jeśli badanie prowadzi Cię w nowych kierunkach i myślisz o nowych rzeczach, które należy sprawdzić. Dodanie tych zadań zapewnia, że nie zapomnisz ich wykonać, oraz że będą istniały zapisy tego, co zrobiłeś, z których inni analitycy i menedżerowie mogą czerpać korzyści.

  1. Wybierz + Dodaj zadanie z góry panelu Zadania zdarzenia.

    Zrzut ekranu przedstawia sposób ręcznego dodawania zadania do listy zadań.

  2. Wprowadź tytuł zadania i opis , jeśli wybierzesz.

    Zrzut ekranu przedstawia sposób dodawania tytułu i opisu do zadania.

  3. Po zakończeniu wybierz pozycję Zapisz .

    Zrzut ekranu pokazuje, jak zakończyć definiowanie i zapisać zadanie.

  4. Zobacz nowe zadanie w dolnej części listy zadań. Należy pamiętać, że zadania utworzone ręcznie mają inny pasek kolorów na lewym obramowanie, a nazwa jest wyświetlana jako Utworzona przez: pod tytułem i opisem zadania.

    Zrzut ekranu przedstawiający nowe zadanie na końcu listy zadań.

Dalsze kroki