Azure portal'daki Microsoft Sentinel olay görevleriyle çalışma

  • Şunlara uygulanır: Microsoft Sentinel in the Azure portal

Bu makalede, SOC analistlerinin olay işleme iş akışı süreçlerini Azure portal Microsoft Sentinel yönetmek için olay görevlerini nasıl kullanabileceği açıklanmaktadır.

Olay görevleri genellikle otomasyon kuralları veya üst düzey analistler veya SOC yöneticileri tarafından ayarlanan playbook'lar tarafından otomatik olarak oluşturulur, ancak alt katman analistleri doğrudan olayın içinden el ile kendi görevlerini oluşturabilir.

Olay ayrıntıları sayfasında belirli bir olay için gerçekleştirmeniz gereken görevlerin listesini görebilir ve tamamlandı olarak işaretleyebilirsiniz.

Farklı roller için kullanım örnekleri

Bu makalede SOC analistleri için geçerli olan aşağıdaki senaryolar ele alınıyor:

Aşağıdaki bağlantılarda yer alan diğer makalelerde SOC yöneticileri, üst düzey analistler ve otomasyon mühendisleri için daha fazla geçerli olan senaryolar ele alınıyor:

Önkoşullar

Microsoft Sentinel Yanıtlayıcı rolü, otomasyon kuralları oluşturmak ve her ikisi de görevleri eklemek, görüntülemek ve düzenlemek için gereken olayları görüntülemek ve düzenlemek için gereklidir.

Olay görevlerini görüntüleme ve izleme

  1. Olaylar sayfasında listeden bir olay seçin ve ayrıntılar panelindeki Görevler'in altında Tüm ayrıntıları görüntüle'yi veya ayrıntılar panelinin altındaki Tüm ayrıntıları görüntüle'yi seçin.

    Ana olaylar ekranındaki olay bilgileri panelinden görevler paneline girme bağlantısının ekran görüntüsü.

  2. Tüm ayrıntılar sayfasını girmeyi seçtiyseniz üst başlıktan Görevler'i seçin.

    Görev panelinin açık olduğu olay ayrıntıları ekranını gösteren ekran görüntüsü.

  3. Olay görevleri paneli, hangi ekrandaysanız ekranın sağ tarafında açılır (ana olaylar sayfası veya olay ayrıntıları sayfası). Bu olay için tanımlanan görevlerin listesini, el ile veya otomasyon kuralı ya da playbook ile nasıl veya kim tarafından oluşturulduğunu görürsünüz.

    Olay ayrıntıları sayfasında görüldüğü gibi olay görevleri panelini gösteren ekran görüntüsü.

  4. Açıklamaları olan görevler bir genişletme okuyla işaretlenir. Görevin açıklamasının tamamını görmek için görevi genişletin.

    Genişletilmiş görev açıklamaları içeren olay görevleri panelini gösteren ekran görüntüsü.

  5. Görev adının yanındaki daireyi işaretleyerek görevi tamamlandı olarak işaretleyin. Daire içinde bir onay işareti görünür ve görevin metni gri görünür. Yukarıdaki ekran görüntülerinde "Kullanıcı parolasını sıfırla" örneğine bakın.

Olaya el ile geçici görev ekleme

Ayrıca, kendiniz için yerinde, bir olayın görev listesine görevler ekleyebilirsiniz. Bu görev yalnızca açık olan olaya uygulanır. Bu, araştırmanızın sizi yeni yönlere yönlendirmesine ve kontrol etmeniz gereken yeni şeyler düşünmenize yardımcı olur. Bunları görev olarak eklemek, bunları yapmayı unutmamanızı ve yaptıklarınızı, diğer analistlerin ve yöneticilerin yararlanabileceği bir kayıt olmasını sağlar.

  1. Olay görevleri panelinin üst kısmında + Görev ekle'yi seçin.

    Görev listenize el ile görev eklemeyi gösteren ekran görüntüsü.

  2. Göreviniz için bir Başlık ve isterseniz bir Açıklama girin.

    Görevinize nasıl başlık ve açıklama ekleneceğini gösteren ekran görüntüsü.

  3. bitirdiğinizde Kaydet'i seçin.

    Görevinizi tanımlamayı ve kaydetmeyi nasıl tamamlay yapılacağını gösteren ekran görüntüsü.

  4. Görev listesinin en altında yeni görevinize bakın. El ile oluşturulan görevlerin sol kenarlığında farklı bir renk bandı olduğunu ve adınızın Görev başlığı ve açıklaması altında Oluşturan: olarak göründüğünü unutmayın.

    Görev listesinin sonundaki yeni görevinizi gösteren ekran görüntüsü.

Sonraki adımlar

  • Last updated on