Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как использовать правила автоматизации для создания списков задач инцидентов, чтобы стандартизировать процессы рабочего процесса аналитика в Microsoft Sentinel.
Задачи инцидентов могут создаваться автоматически не только правилами автоматизации, но и сборниками схем, а также вручную, нерегламентированными, из инцидента.
Варианты использования для разных ролей
В этой статье рассматриваются следующие сценарии, которые применяются к руководителям SOC, старшим аналитикам и инженерам автоматизации.
- Просмотр правил автоматизации с действиями задач инцидента
- Добавление задач в инциденты с помощью правил автоматизации
Другой такой сценарий рассматривается в следующей статье:
В другой статье по следующим ссылкам рассматриваются сценарии, которые больше применяются к аналитикам SOC:
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Роль ответчика Microsoft Sentinel необходима для создания правил автоматизации, а также для просмотра и изменения инцидентов, которые необходимы для добавления, просмотра и изменения задач.
Просмотр правил автоматизации с действиями задач инцидента
На странице Автоматизация можно отфильтровать представление правил автоматизации, чтобы просмотреть только те из них, в которых определены действия добавить задачи .
Выберите фильтр Действия .
Снимите флажок Выбрать все .
Прокрутите вниз и установите флажок Добавить задачу .
Нажмите кнопку ОК и просмотрите результаты.
Это правила автоматизации, которые добавляют задачи в инциденты. В столбце Имена правил аналитики вы узнаете, на каких правилах аналитики связаны эти правила автоматизации, поэтому вы получите общее представление о том, какие инциденты затрагиваются.
Примечание.
Чтобы иметь точные сведения о том, будет ли правило автоматизации применяться к конкретному инциденту, необходимо открыть правило, чтобы узнать, определены ли какие-либо дополнительные условия, помимо условия правила аналитики. Если определены другие условия, область затронутых инцидентов будет соответствующим образом сужаться.
Добавление задач в инциденты с помощью правил автоматизации
На странице Автоматизация выберите + Создать и выберите Правило службы автоматизации.
Справа откроется панель Создание нового правила автоматизации .
Присвойте правилу автоматизации имя, описывающее его действия.Выберите При создании инцидента в качестве триггера (можно также использовать при обновлении инцидента).
Добавьте условия , чтобы определить, в какие инциденты будут добавлены новые задачи.
Например, выполните фильтрацию по имени правила аналитики:
Вы можете добавить задачи в инциденты на основе типов угроз, обнаруженных правилом аналитики или группой правил аналитики, которые необходимо обрабатывать в соответствии с определенным рабочим процессом. Найдите и выберите соответствующие правила аналитики в раскрывающемся списке.
Вы также можете добавить задачи, относящиеся к инцидентам для всех типов угроз (в этом случае оставьте по умолчанию значение Все как есть).
В любом случае можно добавить дополнительные условия, чтобы сузить область инцидентов, к которым будет применяться правило автоматизации. Дополнительные сведения о добавлении расширенных условий в правила автоматизации.
Необходимо учитывать, что порядок, в котором задачи отображаются в вашем инциденте, определяется временем их создания. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики.
В разделе Действия выберите Добавить задачу.
Для каждой задачи введите заголовок в поле Название задачи , а затем (при необходимости) выберите + Добавить описание , чтобы открыть поле описания.
По умолчанию на панели списка задач инцидента отображаются только заголовки задач. Описание задачи отображается только при развертывании элемента задачи.
В поле описания можно добавить описание задачи в свободной форме, включая изображения, ссылки и форматирование форматированного текста (см. гиперссылки, нумерованные списки и текст в формате блока кода в приведенных ниже примерах).
Добавьте дополнительные задачи в ту же группу инцидентов, выбрав + Добавить действие и повторив последние три шага.
Задачи будут создаваться и добавляться в инцидент в соответствии с порядком действий добавления задач в правило автоматизации.
Завершите создание правила автоматизации, выполнив остальные шаги, срок действия правила и порядок, а затем выберите Применить в конце. Подробные сведения см. в статье Создание и использование правил автоматизации Microsoft Sentinel для управления ответами.
Что касается параметра Order : порядок, в котором задачи отображаются в инцидентах, зависит от двух вещей:
- Порядок выполнения правил автоматизации, определяемый номером в параметре Order , и...
- Порядок действий задачи "Добавление" , определенный в каждом правиле автоматизации.
Дальнейшие действия
- Дополнительные сведения о задачах инцидентов.
- Узнайте, как расследовать инциденты.
- Узнайте, как автоматически добавлять задачи в группы инцидентов с помощью сборников схем.
- Узнайте, как использовать задачи для обработки рабочего процесса инцидентов в Microsoft Sentinel.
- Узнайте больше о правилах автоматизации и их создании.