Praca z zadaniami zdarzeń w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak analitycy SOC mogą używać zadań zdarzeń do zarządzania procesami przepływu pracy obsługi zdarzeń w usłudze Microsoft Sentinel.

Zadania zdarzeń są zwykle tworzone automatycznie przez reguły automatyzacji lub podręczniki skonfigurowane przez starszych analityków lub menedżerów SOC, ale analitycy niższej warstwy mogą tworzyć własne zadania na miejscu, ręcznie, bezpośrednio z poziomu incydentu.

Możesz wyświetlić listę zadań, które należy wykonać dla określonego zdarzenia na stronie szczegółów zdarzenia, i oznaczyć je jako ukończone w miarę przechodzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do analityków SOC:

• Wyświetlanie i wykonywanie zadań zdarzeń
• Ręczne dodawanie zadania ad hoc do zdarzenia

Inne artykuły z poniższych linków dotyczą scenariuszy, które mają zastosowanie bardziej do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

• Wyświetlanie reguł automatyzacji z akcjami zadań zdarzeń
• Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji
• Dodawanie zadań do zdarzeń za pomocą podręczników

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie i wykonywanie zadań zdarzeń

1. Na stronie Zdarzenia wybierz zdarzenie z listy, a następnie wybierz pozycję Wyświetl pełne szczegóły w obszarze Zadania na panelu szczegółów lub wybierz pozycję Wyświetl pełne szczegóły w dolnej części panelu szczegółów.

   

2. Jeśli zdecydujesz się wprowadzić pełną stronę szczegółów, wybierz pozycję Zadania na górnym banerze.

   

3. Panel Zadania zdarzenia zostanie otwarty po prawej stronie niezależnie od tego, na którym ekranie znajdowałeś się (strona główne zdarzenia lub strona szczegółów zdarzenia). Zobaczysz listę zadań zdefiniowanych dla tego zdarzenia wraz z tym, jak lub przez kogo został utworzony — niezależnie od tego, czy ręcznie, czy przez regułę automatyzacji, czy podręcznik.

   

4. Zadania, które zawierają opisy, zostaną oznaczone strzałką rozszerzenia. Rozwiń zadanie, aby wyświetlić jego pełny opis.

   

5. Oznacz zadanie jako ukończone, oznaczając okrąg obok nazwy zadania. W okręgu pojawi się znacznik wyboru, a tekst zadania będzie wyszaryzowany. Zobacz przykład "Resetuj hasło użytkownika" na powyższych zrzutach ekranu.

Ręczne dodawanie zadania ad hoc do zdarzenia

Możesz również dodawać zadania dla siebie, na miejscu, do listy zadań zdarzenia. To zadanie będzie miało zastosowanie tylko do otwartego zdarzenia. Pomaga to, jeśli badanie prowadzi Cię w nowych kierunkach i myślisz o nowych rzeczach, które należy sprawdzić. Dodanie tych zadań jako zapewnia, że nie zapomnisz ich wykonać i że będą istnieć zapisy tego, co zrobiłeś, że inni analitycy i menedżerowie mogą czerpać korzyści.

1. Wybierz pozycję + Dodaj zadanie w górnej części panelu Zadania zdarzenia.

   

2. Wprowadź tytuł zadania i opis, jeśli wybierzesz.

   

3. Po zakończeniu wybierz pozycję Zapisz .

   

4. Zobacz nowe zadanie w dolnej części listy zadań. Należy pamiętać, że zadania utworzone ręcznie mają inny pasek kolorów na lewym obramowanie, a nazwa jest wyświetlana jako Utworzona przez: pod tytułem i opisem zadania.

   

Następne kroki

• Dowiedz się więcej o zadaniach zdarzeń.
• Dowiedz się, jak badać zdarzenia.
• Dowiedz się, jak automatycznie dodawać zadania do grup zdarzeń przy użyciu reguł automatyzacji lub podręczników oraz kiedy ich używać.
• Dowiedz się więcej o śledzeniu zadań.
• Dowiedz się więcej o regułach automatyzacji i sposobie ich tworzenia.
• Dowiedz się więcej o podręcznikach i sposobie ich tworzenia.