Создание задач инцидентов в Microsoft Sentinel с помощью правил автоматизации

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как использовать правила автоматизации для создания списков задач инцидентов, чтобы стандартизировать рабочие процессы аналитиков в Microsoft Sentinel.

Задачи инцидентов можно создавать автоматически не только правилами автоматизации, но и сборниками схем, а также вручную, нерегламентированными в рамках инцидента.

Варианты использования для разных ролей

В этой статье рассматриваются следующие сценарии, которые применяются к руководителям SOC, старшим аналитикам и инженерам автоматизации:

• Просмотр правил автоматизации с действиями задачи инцидента
• Добавление задач в инциденты с правилами автоматизации

Другой такой сценарий рассматривается в следующей статье:

• Добавление задач в инциденты с сборниками схем

Другая статья, по следующим ссылкам, устраняет сценарии, которые применяются к аналитикам SOC:

• Просмотр и выполнение задач инцидентов
• Добавление нерегламентированной задачи вручную в инцидент

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Роль "Ответитель Microsoft Sentinel" необходима для создания правил автоматизации и просмотра и редактирования инцидентов, которые необходимы для добавления, просмотра и редактирования задач.

Просмотр правил автоматизации с действиями задачи инцидента

На странице автоматизации можно отфильтровать представление правил автоматизации, чтобы просмотреть только те, которые имеют определенные действия задачи.

1. Выберите фильтр "Действия".

2. Распаковка поля Select all проверка box.

3. Прокрутите вниз и пометьте поле "Добавить задачу" проверка box.

4. Нажмите кнопку "ОК " и просмотрите результаты.

   

   Это правила автоматизации, добавляющие задачи в инциденты. В столбце имен правил Аналитики вы узнаете, какие правила аналитики определяются этими правилами автоматизации, поэтому вы получите общее представление о том, какие инциденты затронуты.

   Примечание.

   Чтобы точно знать, будет ли правило автоматизации применяться к конкретному инциденту, необходимо открыть правило, чтобы узнать, определены ли дополнительные условия, помимо условия правила аналитики. Если определены другие условия, область пострадавших инцидентов будут соответствующим образом сужены.

Добавление задач в инциденты с правилами автоматизации

1. На странице автоматизации выберите +Создать и выберите правило автоматизации.

2. Панель правил создания службы автоматизации откроется справа.
   Присвойте правилу автоматизации имя, описывающее его действия.

3. Выберите "Когда инцидент создается в качестве триггера" (также можно использовать при обновлении инцидента).

4. Добавьте условия , чтобы определить, какие инциденты будут добавлены новые задачи.

   Например, фильтруйте по имени правила Аналитики:

   • Может потребоваться добавить задачи в инциденты на основе типов угроз, обнаруженных правилом аналитики или группой правил аналитики, которые необходимо обрабатывать в соответствии с определенным рабочим процессом. Найдите и выберите соответствующие правила аналитики из раскрывающегося списка.

   • Кроме того, вам может потребоваться добавить задачи, относящиеся к инцидентам во всех типах угроз (в этом случае оставьте значение по умолчанию значение All как есть).

   В любом случае можно добавить дополнительные условия, чтобы сузить область инцидентов, к которым будет применяться правило автоматизации. Узнайте больше о добавлении расширенных условий в правила автоматизации.

   Необходимо учитывать, что порядок отображения задач в инциденте определяется временем создания задач. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики.

   

5. В разделе "Действия" выберите " Добавить задачу".

   

6. Для каждой задачи введите заголовок в поле заголовка задачи, а затем (необязательно) нажмите +Добавить описание, чтобы открыть поле описания.
   В области списка задач инцидента отображаются только заголовки задач по умолчанию. Описание задачи отображается только при развертывании элемента задачи.

   

7. В поле описания можно добавить описание бесплатной формы для задачи, включая изображения, ссылки и форматирование форматированного текста (см. гиперссылки, нумерованные списки и текст в виде блока кода в примерах ниже).

   

8. Добавьте дополнительные задачи в ту же группу инцидентов, нажав кнопку +Добавить действие и повторив последние три шага.

   Задачи будут созданы и добавлены в инцидент в соответствии с порядком действий над задачами в правиле автоматизации.

   

9. Завершите создание правила автоматизации, выполнив остальные действия, срок действия правила и порядок и нажмите кнопку "Применить " в конце. Дополнительные сведения см. в статье "Создание и использование правил автоматизации Microsoft Sentinel" для управления ответами .

   Относительно параметра заказа: порядок, в котором задачи отображаются в инцидентах, зависят от двух вещей:

   1. Порядок выполнения правил автоматизации, определенный числом в параметре заказа , и...
   2. Порядок действий добавления задач, определенных в каждом правиле автоматизации.

Следующие шаги

• Дополнительные сведения о задачах инцидентов.
• Узнайте, как исследовать инциденты.
• Узнайте, как автоматически добавлять задачи в группы инцидентов с помощью сборников схем.
• Узнайте, как использовать задачи для обработки рабочего процесса инцидента в Microsoft Sentinel.
• Узнайте больше о правилах автоматизации и их создании.