Работа с задачами инцидентов в Microsoft Sentinel на портале Azure

В этой статье объясняется, как аналитики SOC могут использовать задачи инцидентов для управления процессами обработки инцидентов в Microsoft Sentinel на портале Azure.

Обычно задачи инцидентов создаются автоматически правилами автоматизации или сборниками схем, настроенными старшими аналитиками или менеджерами SOC, но аналитики более низкого уровня могут создавать свои собственные задачи на месте, вручную, прямо из этого инцидента.

Вы можете просмотреть список задач, которые необходимо выполнить для конкретного инцидента на странице сведений об инциденте, и отмечать их как выполненные по мере продвижения.

Варианты использования для разных ролей

В этой статье рассматриваются следующие сценарии, которые применяются к аналитикам SOC:

• Просмотр и выполнение задач инцидентов
• Добавление нерегламентированной задачи вручную в инцидент

Другие статьи по следующим ссылкам относятся к сценариям, которые применяются больше к менеджерам SOC, старшим аналитикам и инженерам автоматизации:

• Просмотр правил автоматизации с действиями задачи инцидента
• Добавляйте задачи к инцидентам с помощью правил автоматизации
• Добавление задач к инцидентам с плейбуками

Предпосылки

Роль респондер Microsoft Sentinel необходима для создания правил автоматизации, а также для просмотра и редактирования инцидентов, что необходимо для добавления, просмотра и редактирования задач.

Просмотр и отслеживание задач инцидентов

1. На странице "Инциденты" выберите инцидент из списка и выберите "Просмотреть полные сведения " в области "Задачи " или " Просмотреть полные сведения " в нижней части панели сведений.

   

2. Если вы решили ввести полную страницу сведений, выберите "Задачи " в верхнем баннере.

   

3. Панель задач "Инциденты" откроется справа от любого экрана, в котором вы находились (страница "Основные инциденты" или страница сведений об инциденте). Вы увидите список задач, определенных для этого инцидента, а также, как и кем они были созданы — будь то вручную, с помощью правила автоматизации или плейбука.

   

4. Задачи с описаниями будут помечены стрелкой расширения. Разверните задачу, чтобы просмотреть её полное описание.

   

5. Отметьте задачу как выполненную, поставив отметку в круге рядом с названием задачи. Галочка появится в кружке, и текст задачи будет выделен серым цветом. См. пример сброса пароля пользователя на снимках экрана выше.

Добавить нерегламентированную задачу вручную в инцидент

Вы также можете добавлять задачи для себя, на месте, в список задач инцидента. Эта задача будет применяться только к открытому инциденту. Это помогает, если расследование ведет вас в новых направлениях, и вы думаете о новых вещах, которые вам нужно проверить. Добавление этих задач гарантирует, что вы их не забудете, и что будет запись о том, что вы сделали, и что другие аналитики и менеджеры смогут воспользоваться этим.

1. Нажмите кнопку "+ Добавить задачу " в верхней части панели задач "Инциденты ".

   

2. Введите заголовок для задачи и описание , если вы выбрали.

   

3. Нажмите кнопку "Сохранить ", когда закончите работу.

   

4. Просмотрите новую задачу в нижней части списка задач. Обратите внимание, что созданные вручную задачи имеют другую цветовую полосу на левой границе и что имя отображается как созданное: в заголовке и описании задачи.

   

Дальнейшие шаги

• Узнайте больше о задачах инцидентов.
• Узнайте, как исследовать инциденты.
• Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации или сборников схем, а также когда следует использовать их.
• Узнайте о отслеживании задач.
• Узнайте больше о правилах автоматизации и их создании.
• Узнайте больше о плейбуках и как их создавать.