Granska och spåra ändringar i incidentuppgifter i Microsoft Sentinel
Incidentuppgifter säkerställer omfattande och enhetlig behandling av incidenter för all SOC-personal. Uppgiftslistor definieras vanligtvis enligt beslut som gjorts av seniora analytiker eller SOC-chefer och omsätts i praktiken med hjälp av automatiseringsregler eller spelböcker.
Dina analytiker kan se listan över uppgifter som de behöver utföra för en viss incident på sidan incidentinformation och markera dem som slutförda när de går. Analytiker kan också skapa egna uppgifter på plats, manuellt, direkt inifrån incidenten.
Den här artikeln förklarar hur du som SOC-chef kan granska historiken för Microsoft Sentinel-incidentuppgifter och spåra de ändringar som gjorts i dem under hela livscykeln, för att mäta effekten av dina uppgiftstilldelningar och deras bidrag till soc:ns effektivitet och korrekta funktion.
Matrisen Uppgifters struktur i tabellen SecurityIncident
Tabellen SecurityIncident är en granskningstabell – den lagrar inte själva incidenterna, utan i stället register över en incidents livslängd: dess skapande och eventuella ändringar som görs i den. Varje gång en incident skapas eller en ändring görs i en incident genereras en post i den här tabellen som visar incidentens nu aktuella tillstånd.
Genom att lägga till uppgifter i schemat i den här tabellen kan du granska uppgifter mer ingående.
Den detaljerade information som läggs till i fältet Uppgifter består av nyckel/värde-par med följande struktur:
| Key | Värdebeskrivning |
|---|---|
| createdBy | Identiteten som skapade uppgiften: – e-post: identitetens e-postadress - namn: namnet på identiteten - objectId: GUID för identiteten – userPrincipalName: UPN för identiteten |
| createdTimeUtc | När aktiviteten skapades i UTC. |
| lastCompletedTimeUtc | När aktiviteten har markerats som slutförd, i UTC. |
| lastModifiedBy | Identiteten som senast ändrade uppgiften: – e-post: identitetens e-postadress - namn: namnet på identiteten - objectId: GUID för identiteten – userPrincipalName: UPN för identiteten |
| lastModifiedTimeUtc | När aktiviteten senast ändrades, i UTC. |
| status | Aktuell status för uppgiften: Ny, Slutförd, Borttagen. |
| taskId | Resurs-ID för uppgiften. |
| rubrik | Eget namn som har tilldelats uppgiften av dess skapare. |
Visa incidentuppgifter i tabellen SecurityIncident
Förutom arbetsboken Incidentuppgifter kan du granska aktivitetsaktiviteten genom att köra frågor mot tabellen SecurityIncident i Loggar. Resten av den här artikeln visar hur du gör detta, samt hur du läser och förstår frågeresultaten för att hämta aktivitetsaktivitetsinformation.
På sidan Loggar anger du följande fråga i frågefönstret och kör den. Den här frågan returnerar alla incidenter som har tilldelats några uppgifter.
SecurityIncident | where array_length( Tasks) > 0Du kan lägga till valfritt antal instruktioner i frågan för att filtrera och begränsa resultatet. För att visa hur du visar och förstår resultaten lägger vi till instruktioner för att filtrera resultaten så att vi bara ser uppgifterna för en enskild incident, och vi lägger också till en
projectinstruktion så att vi bara ser de fält som är användbara för våra syften, utan mycket oreda.Läs mer om hur du använder Kusto-frågespråk.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksNu ska vi titta på den senaste posten för den här incidenten och hitta listan över aktiviteter som är associerade med den.
Välj expanderaren bredvid den översta raden i frågeresultatet (som har sorterats i fallande ordning efter rekency).
Fältet Uppgifter är en matris med det aktuella tillståndet för alla aktiviteter i den här incidenten. Välj expanderaren för att visa varje objekt i matrisen på sin egen rad.
Nu ser du att det finns två uppgifter i den här incidenten. Var och en representeras i sin tur av en expanderbar matris. Välj en enskild aktivitets expanderare för att visa dess information.
Här visas information om den första aktiviteten i matrisen ("0" är indexpositionen för aktiviteten i matrisen). I rubrikfältet visas namnet på uppgiften som visas i incidenten.
Visa uppgifter som lagts till i listan
Nu ska vi lägga till en uppgift i incidenten och sedan kommer vi tillbaka hit, kör frågan igen och ser ändringarna i resultatet.
På sidan Incidenter anger du incident-ID-numret i sökfältet.
Öppna sidan incidentinformation och välj Uppgifter i verktygsfältet.
Lägg till en ny aktivitet, ge den namnet "Den här uppgiften är en testaktivitet!", välj sedan Spara. Den sista uppgiften som visas nedan är vad du bör sluta med:
Nu ska vi gå tillbaka till sidan Loggar och köra frågan igen.
I resultatet ser du att det finns en ny post i tabellen för samma incident (notera tidsstämplarna). Expandera posten så ser du att den post som vi såg tidigare hade två uppgifter i matrisen Uppgifter , men att den nya har tre. Den senaste uppgiften är den som vi precis har lagt till, som du kan se med dess rubrik.
Visa statusändringar i aktiviteter
Om vi går tillbaka till den nya aktiviteten på sidan incidentinformation och markerar den som slutförd och sedan kommer tillbaka till Loggar och kör frågan igen, ser vi ännu en ny post för samma incident, den här gången som visar uppgiftens nya status som Slutförd.
Visa borttagning av uppgifter
Nu går vi tillbaka till uppgiftslistan på sidan med incidentinformation och tar bort uppgiften som vi lade till tidigare.
När vi kommer tillbaka till Loggar och kör frågan igen ser vi en annan ny post, men den här gången statusen för vår uppgift – den som heter "Den här uppgiften är en testaktivitet!" – kommer att tas bort.
Men när uppgiften har dykt upp en sådan gång i matrisen (med statusen Borttagen ) visas den inte längre i matrisen Uppgifter i nya poster för incidenten i tabellen SecurityIncident . De befintliga posterna, som de vi såg ovan, fortsätter att bevara bevisen för att den här uppgiften en gång fanns.
Visa aktiva uppgifter som hör till en stängd incident
Med följande fråga kan du se om en incident har stängts, men inte alla dess tilldelade uppgifter har slutförts. Den här kunskapen kan hjälpa dig att kontrollera att eventuella återstående lösa ändar i din undersökning har avslutats – alla relevanta parter har underrättats, alla kommentarer har angetts, alla svar har verifierats och så vidare.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| order by lastModifiedTimeUtc desc
Nästa steg
- Läs mer om incidentuppgifter.
- Lär dig hur du undersöker incidenter.
- Lär dig hur du lägger till uppgifter i grupper av incidenter automatiskt med hjälp av automatiseringsregler eller spelböcker och när du ska använda vilka.
- Läs mer om automatiseringsregler och hur du skapar dem.
- Läs mer om spelböcker och hur du skapar dem.