Trabalhar com tarefas de incidentes no Microsoft Sentinel no portal do Azure

Este artigo explica como os analistas do SOC podem utilizar tarefas de incidentes para gerir os respetivos processos de fluxo de trabalho de processamento de incidentes em Microsoft Sentinel no portal do Azure.

Normalmente, as tarefas de incidentes são criadas automaticamente através de regras de automatização ou manuais de procedimentos configurados por analistas seniores ou gestores de SOC, mas os analistas de escalões inferiores podem criar as suas próprias tarefas no local, manualmente, diretamente a partir do incidente.

Pode ver a lista de tarefas que precisa de executar para um determinado incidente na página de detalhes do incidente e marcá-las como concluídas à medida que avança.

Casos de utilização para diferentes funções

Este artigo aborda os seguintes cenários, que se aplicam aos analistas do SOC:

• Ver e seguir tarefas de incidentes
• Adicionar manualmente uma tarefa ad hoc a um incidente

Outros artigos nas seguintes ligações abordam cenários que se aplicam mais aos gestores do SOC, analistas seniores e engenheiros de automatização:

• Ver regras de automatização com ações de tarefas de incidentes
• Adicionar tarefas a incidentes com regras de automatização
• Adicionar tarefas a incidentes com manuais de procedimentos

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para criar regras de automatização e para ver e editar incidentes, ambos necessários para adicionar, ver e editar tarefas.

Ver e seguir tarefas de incidentes

1. Na página Incidentes , selecione um incidente na lista e selecione Ver detalhes completos em Tarefas no painel de detalhes ou selecione Ver detalhes completos na parte inferior do painel de detalhes.

   

2. Se optou por introduzir a página de detalhes completa, selecione Tarefas na faixa superior.

   

3. O painel Tarefas de incidentes será aberto no lado direito do ecrã onde se encontrava (a página de incidentes principal ou a página de detalhes do incidente). Verá a lista de tarefas definidas para este incidente, juntamente com como ou por quem foi criado, quer seja manualmente ou por uma regra de automatização ou um manual de procedimentos.

   

4. As tarefas com descrições serão marcadas com uma seta de expansão. Expanda uma tarefa para ver a descrição completa.

   

5. Marque uma tarefa como concluída ao marcar o círculo junto ao nome da tarefa. Será apresentada uma marca de marcar no círculo e o texto da tarefa estará desativado. Veja o exemplo "Repor palavra-passe de utilizador" nas capturas de ecrã acima.

Adicionar manualmente uma tarefa ad hoc a um incidente

Também pode adicionar tarefas para si próprio, no local, à lista de tarefas de um incidente. Esta tarefa será aplicada apenas ao incidente aberto. Isto ajuda se a sua investigação o conduzir a novas direções e pensar em coisas novas que precisa de marcar. Adicioná-las como tarefas garante que não se esquecerá de as fazer e que haverá um registo do que fez, do qual outros analistas e gestores podem beneficiar.

1. Selecione + Adicionar tarefa na parte superior do painel Tarefas de incidentes .

   

2. Introduza um Título para a sua tarefa e uma Descrição , se preferir.

   

3. Selecione Guardar quando terminar.

   

4. Veja a nova tarefa na parte inferior da lista de tarefas. Tenha em atenção que as tarefas criadas manualmente têm uma faixa de cores diferente no limite esquerdo e que o seu nome aparece como Criado por: sob o título e descrição da tarefa.

   

Próximas etapas

• Saiba mais sobre tarefas de incidentes.
• Saiba como investigar incidentes.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente através de regras de automatização ou manuais de procedimentos e quando utilizar quais.
• Saiba mais sobre como controlar as suas tarefas.
• Saiba mais sobre as regras de automatização e como criá-las.
• Saiba mais sobre manuais de procedimentos e como criá-los.