Använda uppgifter för att hantera incidenter i Microsoft Sentinel

  • Artikel

En av de viktigaste faktorerna för att köra dina säkerhetsåtgärder (SecOps) effektivt och effektivt är standardiseringen av processer. SecOps-analytiker förväntas utföra en lista över steg, eller uppgifter, i processen för att analysera, undersöka eller åtgärda en incident. Att standardisera och formalisera listan över uppgifter kan hjälpa dig att hålla soc igång smidigt, vilket säkerställer att samma krav gäller för alla analytiker. På så sätt, oavsett vem som är på skift, får en incident alltid samma behandling och serviceavtal. Analytiker behöver inte ägna tid åt att tänka på vad de ska göra, eller oroa sig för att missa ett kritiskt steg. Dessa steg definieras av SOC-chefen eller seniora analytiker (nivå 2/3) baserat på allmän säkerhetskunskap (till exempel NIST), deras erfarenhet av tidigare incidenter eller rekommendationer från säkerhetsleverantören som upptäckte incidenten.

Användningsfall

  • Dina SOC-analytiker kan använda en enda central checklista för att hantera processerna för incidenttriage, undersökning och svar, utan att behöva oroa sig för att missa ett kritiskt steg.

  • Dina SOC-tekniker eller seniora analytiker kan dokumentera, uppdatera och anpassa standarderna för incidenthantering mellan analytikernas team och skift. De kan också skapa checklistor med uppgifter för att utbilda nya analytiker eller analytiker som stöter på nya typer av incidenter.

  • Som SOC-chef eller som MSSP kan du se till att incidenter hanteras i enlighet med relevanta serviceavtal/SERVICEavtal.

Förutsättningar

Microsoft Sentinel-svararrollen krävs för att skapa automatiseringsregler och för att visa och redigera incidenter, som båda är nödvändiga för att lägga till, visa och redigera uppgifter.

Rollen Logic Apps-deltagare krävs för att skapa och redigera spelböcker.

Scenarier

Analytiker

Följ uppgifter när du hanterar en incident

När du väljer en incident och visa fullständig information visas alla uppgifter som har lagts till i incidenten manuellt eller av automatiseringsregler på den högra panelen på sidan incidentinformation.

Expandera en uppgift om du vill se den fullständiga beskrivningen, inklusive användaren, automationsregeln eller spelboken som skapade den.

Markera en uppgift som slutförd genom att markera dess "kryssruta"-cirkel.

Screenshot of incident tasks panel for analysts on incident details screen.

Lägga till uppgifter i en incident på plats

Du kan lägga till aktiviteter i en öppen incident som du arbetar med, antingen för att ge dig själv påminnelser om åtgärder som du har upptäckt ett behov av att vidta, eller för att registrera åtgärder som du har vidtagit på eget initiativ som inte visas i uppgiftslistan. Uppgifter som läggs till på det här sättet gäller endast för den öppna incidenten.

Arbetsflödesskapare

Lägga till uppgifter i incidenter med automatiseringsregler

Använd åtgärden Lägg till uppgift i automatiseringsregler för att automatiskt tillhandahålla alla incidenter med en checklista med uppgifter för dina analytiker. Ange villkoret Analytics-regelnamn i automatiseringsregeln för att fastställa omfånget:

  • Tillämpa automatiseringsregeln på alla analysregler för att definiera en standarduppsättning uppgifter som ska tillämpas på alla incidenter.

  • Genom att tillämpa automatiseringsregeln på en begränsad uppsättning analysregler kan du tilldela specifika uppgifter till vissa incidenter, enligt hoten som identifierats av analysregeln eller reglerna som genererade dessa incidenter.

Tänk på att den ordning i vilken aktiviteter visas i din incident bestäms av skapandetiden för aktiviteterna. Du kan ange ordningen på automatiseringsregler så att regler som lägger till uppgifter som krävs för alla incidenter körs först, och först därefter alla regler som lägger till uppgifter som krävs för incidenter som genereras av specifika analysregler. I en enda regel styr ordningen i vilken åtgärderna definieras den ordning i vilken de visas i en incident.

Se vilka incidenter som omfattas av befintliga automatiseringsregler och uppgifter innan du skapar en ny automatiseringsregel.
Använd åtgärdsfiltret i listan Automation-regler om du bara vill se de regler som lägger till aktiviteter i incidenter och se vilka analysregler som automatiseringsreglerna gäller för för att förstå vilka incidenter dessa uppgifter läggs till i.

Lägga till uppgifter i incidenter med spelböcker

Använd åtgärden Lägg till uppgift i en spelbok (i Microsoft Sentinel-anslutningsappen) för att automatiskt lägga till en uppgift i incidenten som utlöste spelboken.

Använd sedan andra spelboksåtgärder – i respektive Logic Apps-anslutningsprogram – för att slutföra innehållet i uppgiften.

Slutligen använder du åtgärden Markera aktiviteten som slutförd (återigen i Microsoft Sentinel-anslutningsappen) för att automatiskt markera uppgiften som slutförd .

Tänk på följande scenarier som exempel:

  • Låt spelböcker lägga till och slutföra uppgifter: När en incident skapas utlöser den en spelbok som gör följande:

    1. Lägger till en uppgift i incidenten för att återställa en användares lösenord.
    2. Utför uppgiften genom att utfärda ett API-anrop till användarens etableringssystem för att återställa användarens lösenord.
    3. Väntar på ett svar från systemet om återställningen lyckades eller misslyckades.
      • Om lösenordsåterställningen lyckades markerar spelboken den uppgift som den precis skapade i incidenten som slutförd.
      • Om lösenordsåterställningen misslyckades markerar inte spelboken uppgiften som slutförd och lämnar den till en analytiker att utföra.

  • Låt spelboken utvärdera om villkorliga uppgifter ska läggas till: När en incident skapas utlöser den en spelbok som begär en IP-adressrapport från en extern källa för hotinformation.

    • Om IP-adressen är skadlig lägger spelboken till en viss uppgift (till exempel "Blockera den här IP-adressen").
    • Annars vidtar spelboken ingen ytterligare åtgärd.

Vill du lägga till uppgifter med automatiseringsregler eller spelböcker?

Vilka överväganden bör bestämma vilken av dessa metoder som ska användas för att skapa incidentuppgifter?

  • Automatiseringsregler: Använd när det är möjligt. Används för vanliga, statiska uppgifter som inte kräver interaktivitet.
  • Spelböcker: Används för avancerade användningsfall – skapande av uppgifter baserat på villkor eller uppgifter med integrerade automatiserade åtgärder.

Nästa steg