Skapa incidentuppgifter i Microsoft Sentinel med hjälp av automatiseringsregler

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du använder automatiseringsregler för att skapa listor över incidentuppgifter för att standardisera analytikers arbetsflödesprocesser i Microsoft Sentinel.

Incidentaktiviteter kan skapas automatiskt inte bara av automatiseringsregler, utan även av spelböcker, och även manuellt, ad hoc, inifrån en incident.

Användningsfall för olika roller

Den här artikeln beskriver följande scenarier som gäller för SOC-chefer, seniora analytiker och automationstekniker:

Ett annat sådant scenario behandlas i följande kompletterande artikel:

En annan artikel, på följande länkar, behandlar scenarier som gäller mer för SOC-analytiker:

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Microsoft Sentinel-svararrollen krävs för att skapa automatiseringsregler och för att visa och redigera incidenter, som båda är nödvändiga för att lägga till, visa och redigera uppgifter.

Visa automatiseringsregler med incidentaktivitetsåtgärder

På sidan Automation kan du filtrera vyn med automatiseringsregler så att endast de som har Definierat Lägg till aktivitetsåtgärder visas.

Skärmbild som visar hur du filtrerar rutnätet för automatiseringsregler.

  1. Välj filtret Åtgärder.

  2. Avmarkera kryssrutan Markera alla .

  3. Rulla nedåt och markera kryssrutan Lägg till uppgift .

  4. Välj OK och se resultatet.

    Skärmbild som visar resultatet av filtret i rutnätet för automatiseringsregler.

    Det här är automatiseringsreglerna som lägger till uppgifter i incidenter. Kolumnen Analytics-regelnamn anger vilka analysregler som dessa automatiseringsregler är beroende av, så du får en allmän uppfattning om vilka incidenter som påverkas.

    Kommentar

    För att få exakta kunskaper om huruvida en automatiseringsregel ska gälla för en viss incident måste du öppna regeln för att se om några ytterligare villkor har definierats, förutom villkoret för analysregeln. Om andra villkor definieras begränsas omfattningen för de berörda incidenterna.

Lägga till uppgifter i incidenter med automatiseringsregler

  1. På sidan Automation väljer du + Skapa och väljer Automation-regel.

  2. Panelen Skapa ny automatiseringsregel öppnas till höger.
    Ge automationsregeln ett namn som beskriver vad den gör.

  3. Välj När incidenten skapas som utlösare (du kan också använda När incidenten uppdateras).

  4. Lägg till villkor för att avgöra vilka incidenter nya uppgifter ska läggas till.

    Filtrera till exempel efter Analytics-regelnamn:

    • Du kanske vill lägga till uppgifter i incidenter baserat på de typer av hot som identifieras av en analysregel eller en grupp av analysregler som måste hanteras enligt ett visst arbetsflöde. Sök efter och välj relevanta analysregler i listrutan.

    • Eller så kanske du vill lägga till uppgifter som är relevanta för incidenter över alla typer av hot (i det här fallet lämnar du standardvalet Alla som är).

    I båda fallen kan du lägga till fler villkor för att begränsa omfattningen av incidenter som automatiseringsregeln gäller för. Läs mer om att lägga till avancerade villkor i automatiseringsregler.

    En sak du måste tänka på är att ordningen i vilken uppgifter visas i din incident bestäms av skapandetiden för aktiviteterna. Du kan ange ordningen på automatiseringsregler så att regler som lägger till uppgifter som krävs för alla incidenter körs först, och först därefter alla regler som lägger till uppgifter som krävs för incidenter som genereras av specifika analysregler.

    Skärmbild av den första delen av guiden automationsregel.

  5. Under Åtgärder väljer du Lägg till aktivitet.

    Skärmbild av hur du väljer åtgärden Lägg till uppgift i en automatiseringsregel.

  6. För varje aktivitet anger du en rubrik i fältet Aktivitetsrubrik och väljer sedan (valfritt) + Lägg till beskrivning för att öppna ett beskrivningsfält.
    Endast aktivitetsrubriker visas som standard i incidentens aktivitetslistepanel. En aktivitets beskrivning visas bara när aktivitetsobjektet expanderas.

    Skärmbild som visar hur du lägger till en rubrik och en beskrivning i en uppgift.

  7. I beskrivningsfältet kan du lägga till en friformulärsbeskrivning för uppgiften, inklusive bilder, länkar och rtF-formatering (se hyperlänkar, numrerade listor och kodblockformaterad text i exemplen nedan).

    Skärmbild som visar hur du lägger till en beskrivning i en uppgift.

  8. Lägg till fler uppgifter i samma grupp med incidenter genom att välja + Lägg till åtgärd och upprepa de tre sista stegen.

    Aktiviteter skapas och läggs till i incidenten i enlighet med ordningen på regeln Lägg till aktivitetsåtgärder i automatiseringsregeln.

    Skärmbild som visar hur du lägger till fler uppgifter i en automatiseringsregel.

  9. Slutför skapandet av automatiseringsregeln genom att slutföra de återstående stegen, Regelns förfallodatum och Order och välj Använd i slutet. Mer information finns i Skapa och använda Microsoft Sentinel-automatiseringsregler för att hantera svar .

    När det gäller orderinställningen: I vilken ordning aktiviteterna visas i dina incidenter beror på två saker:

    1. Körningsordningen för automatiseringsreglerna, som bestäms av talet i orderinställningen, och...
    2. Ordningen på lägg till aktivitetsåtgärder som definierats i varje automatiseringsregel.

Nästa steg