Praca z zadaniami incydentów w usłudze Microsoft Sentinel w Azure Portal

W tym artykule wyjaśniono, jak analitycy SOC mogą używać zadań incydentów do zarządzania procesami przepływu pracy obsługi zdarzeń w usłudze Microsoft Sentinel w Azure Portal.

Zadania zdarzeń są zwykle tworzone automatycznie przez reguły automatyzacji lub scenariusze skonfigurowane przez starszych analityków lub menedżerów SOC, ale analitycy niższego szczebla mogą tworzyć własne zadania na miejscu, ręcznie, bezpośrednio wewnątrz incydentu.

Możesz wyświetlić listę zadań, które należy wykonać dla określonego zdarzenia na stronie szczegółów zdarzenia, i oznaczyć je jako ukończone w miarę przechodzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do analityków SOC:

• Wyświetlanie i śledzenie zadań zdarzeń
• Ręczne dodawanie zadania ad hoc do zdarzenia

Inne artykuły z poniższych linków dotyczą scenariuszy, które mają zastosowanie bardziej do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

• Wyświetlanie reguł automatyzacji z działaniami w zadaniach incydentów
• Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji
• Dodawanie zadań do zdarzeń za pomocą podręczników

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie i śledzenie zadań incydentu

1. Na stronie Zdarzenia wybierz zdarzenie z listy, a następnie wybierz pozycję Wyświetl pełne szczegóły w obszarze Zadania na panelu szczegółów lub wybierz pozycję Wyświetl pełne szczegóły w dolnej części panelu szczegółów.

   

2. Jeśli zdecydujesz się przejść do pełnej strony szczegółów, wybierz Zadania z górnego banera.

   

3. Panel Zadania zdarzenia zostanie otwarty po prawej stronie niezależnie od tego, na którym ekranie znajdowałeś się (strona główne zdarzenia lub strona szczegółów zdarzenia). Zobaczysz listę zadań zdefiniowanych dla tego zdarzenia, wraz z informacją, w jaki sposób lub przez kogo zostały utworzone - ręcznie, na podstawie reguły automatyzacji lub scenariusza.

   

4. Zadania, które zawierają opisy, zostaną oznaczone strzałką rozszerzenia. Rozwiń zadanie, aby wyświetlić jego pełny opis.

   

5. Oznacz zadanie jako ukończone, oznaczając okrąg obok nazwy zadania. W okręgu pojawi się znacznik zaznaczenia, a tekst zadania zostanie wyszarzony. Zobacz przykład "Resetuj hasło użytkownika" na zrzutach ekranu powyżej.

Ręczne dodawanie zadania ad hoc do zdarzenia

Możesz również dodawać zadania dla siebie, na miejscu, do listy zadań zdarzenia. To zadanie będzie miało zastosowanie tylko do otwartego zdarzenia. Pomaga to, jeśli badanie prowadzi Cię w nowych kierunkach i myślisz o nowych rzeczach, które należy sprawdzić. Dodanie tych zadań zapewnia, że nie zapomnisz ich wykonać, oraz że będą istniały zapisy tego, co zrobiłeś, z których inni analitycy i menedżerowie mogą czerpać korzyści.

1. Wybierz + Dodaj zadanie z góry panelu Zadania zdarzenia.

   

2. Wprowadź tytuł zadania i opis , jeśli wybierzesz.

   

3. Po zakończeniu wybierz pozycję Zapisz .

   

4. Zobacz nowe zadanie w dolnej części listy zadań. Należy pamiętać, że zadania utworzone ręcznie mają inny pasek kolorów na lewym obramowanie, a nazwa jest wyświetlana jako Utworzona przez: pod tytułem i opisem zadania.

   

Dalsze kroki

• Dowiedz się więcej o zadaniach incydentów.
• Dowiedz się, jak badać zdarzenia.
• Dowiedz się, jak automatycznie dodawać zadania do grup zdarzeń przy użyciu reguł automatyzacji lub podręczników oraz kiedy ich używać.
• Dowiedz się więcej o śledzeniu zadań.
• Dowiedz się więcej o regułach automatyzacji i sposobie ich tworzenia.
• Dowiedz się więcej o podręcznikach i sposobie ich tworzenia.