Arbeta med incidentaktiviteter i Microsoft Sentinel i Azure Portal

  • Gäller för: Microsoft Sentinel in the Azure portal

Den här artikeln beskriver hur SOC-analytiker kan använda incidentuppgifter för att hantera sina arbetsflödesprocesser för incidenthantering i Microsoft Sentinel i Azure Portal.

Incidentuppgifter skapas vanligtvis automatiskt av antingen automatiseringsregler eller spelböcker som konfigurerats av seniora analytiker eller SOC-chefer, men analytiker på lägre nivå kan skapa sina egna uppgifter på plats manuellt direkt inifrån incidenten.

Du kan se listan över uppgifter som du behöver utföra för en viss incident på sidan incidentinformation och markera dem som slutförda när du går.

Användningsfall för olika roller

Den här artikeln beskriver följande scenarier, som gäller för SOC-analytiker:

Andra artiklar på följande länkar behandlar scenarier som gäller mer för SOC-chefer, seniora analytiker och automationstekniker:

Förhandskrav

Rollen Microsoft Sentinel svarare krävs för att skapa automatiseringsregler och för att visa och redigera incidenter, som båda är nödvändiga för att lägga till, visa och redigera uppgifter.

Visa och följa incidentuppgifter

  1. På sidan Incidenter väljer du en incident i listan och väljer Visa fullständig information under Uppgifter i informationspanelen eller väljer Visa fullständig information längst ned på informationspanelen.

    Skärmbild av länken för att ange aktivitetspanelen från incidentinformationspanelen på skärmen med huvudincidenter.

  2. Om du valde att ange den fullständiga informationssidan väljer du Uppgifter i den översta banderollen.

    Skärmbild som visar skärmen incidentinformation med aktivitetspanelen öppen.

  3. Panelen Incidentaktiviteter öppnas till höger på den skärm som du befann dig på (huvudsidan för incidenter eller sidan med incidentinformation). Du ser en lista över uppgifter som definierats för den här incidenten, tillsammans med hur eller av vem den skapades – antingen manuellt eller av en automatiseringsregel eller en spelbok.

    Skärmbild som visar panelen incidentuppgifter som visas på sidan med incidentinformation.

  4. De uppgifter som har beskrivningar markeras med en expansionspil. Expandera en uppgift om du vill se dess fullständiga beskrivning.

    Skärmbild som visar panelen incidentaktiviteter med utökade uppgiftsbeskrivningar.

  5. Markera en aktivitet som slutförd genom att markera cirkeln bredvid aktivitetsnamnet. En bockmarkering visas i cirkeln och texten i uppgiften är nedtonad. Se exemplet "Återställ användarlösenord" i skärmbilderna ovan.

Lägga till en ad hoc-uppgift manuellt i en incident

Du kan också lägga till uppgifter för dig själv, på plats, i en incident uppgiftslista. Den här uppgiften gäller endast för den öppna incidenten. Detta hjälper dig om din undersökning leder dig i nya riktningar och du tänker på nya saker som du behöver kontrollera. Att lägga till dessa som uppgifter säkerställer att du inte glömmer att göra dem, och att det kommer att finnas en lista över vad du gjorde, som andra analytiker och chefer kan dra nytta av.

  1. Välj + Lägg till aktivitet överst på panelen Incidentaktiviteter .

    Skärmbild som visar hur du manuellt lägger till en uppgift i uppgiftslistan.

  2. Ange en rubrik för uppgiften och en Beskrivning om du vill.

    Skärmbild som visar hur du lägger till en rubrik och beskrivning i din uppgift.

  3. Välj Spara när du är klar.

    Skärmbild som visar hur du slutför definitionen och sparar uppgiften.

  4. Se din nya uppgift längst ned i uppgiftslistan. Observera att manuellt skapade aktiviteter har ett annat färgband på den vänstra kantlinjen och att ditt namn visas som Skapad av: under aktivitetsrubriken och beskrivningen.

    Skärmbild som visar din nya uppgift i slutet av uppgiftslistan.

Nästa steg

  • Last updated on