Aracılığıyla paylaş


Microsoft Sentinel'de olay görevleriyle çalışma

Bu makalede, SOC analistlerinin Microsoft Sentinel'de olay işleme iş akışı işlemlerini yönetmek için olay görevlerini nasıl kullanabileceği açıklanmaktadır.

Olay görevleri genellikle otomasyon kuralları veya üst düzey analistler veya SOC yöneticileri tarafından ayarlanan playbook'lar tarafından otomatik olarak oluşturulur, ancak alt katman analistler doğrudan olayın içinden yerinde el ile kendi görevlerini oluşturabilir.

Olay ayrıntıları sayfasında belirli bir olay için gerçekleştirmeniz gereken görevlerin listesini görebilir ve tamamlandı olarak işaretleyebilirsiniz.

Farklı roller için kullanım örnekleri

Bu makalede SOC analistleri için geçerli olan aşağıdaki senaryolar ele alınıyor:

Aşağıdaki bağlantılarda yer alan diğer makalelerde SOC yöneticileri, üst düzey analistler ve otomasyon mühendisleri için daha fazla geçerli olan senaryolar ele alınıyor:

Önkoşullar

Microsoft Sentinel Yanıtlayıcı rolü, otomasyon kuralları oluşturmak ve her ikisi de görevleri eklemek, görüntülemek ve düzenlemek için gereken olayları görüntülemek ve düzenlemek için gereklidir.

Olay görevlerini görüntüleme ve izleme

  1. Olaylar sayfasında, listeden bir olay seçin ve ayrıntılar panelindeki Görevler'in altında Tüm ayrıntıları görüntüle'yi seçin veya ayrıntılar panelinin alt kısmındaki Tüm ayrıntıları görüntüle'yi seçin.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Tüm ayrıntılar sayfasını girmeyi seçtiyseniz üst başlıktan Görevler'i seçin.

    Screenshot shows incident details screen with tasks panel open.

  3. Olay görevleri paneli, hangi ekrandaysanız ekranın sağ tarafında açılır (ana olaylar sayfası veya olay ayrıntıları sayfası). Bu olay için tanımlanan görevlerin listesini, el ile veya otomasyon kuralı ya da playbook ile nasıl veya kim tarafından oluşturulduğunu göreceksiniz.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Açıklamaları olan görevler bir genişletme okuyla işaretlenir. Tam açıklamasını görmek için görevi genişletin.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Görev adının yanındaki daireyi işaretleyerek görevi tamamlandı olarak işaretleyin. Daire içinde bir onay işareti görünür ve görevin metni gri görünür. Yukarıdaki ekran görüntülerinde "Kullanıcı parolasını sıfırla" örneğine bakın.

Bir olaya geçici görevi el ile ekleme

Ayrıca, bir olayın görev listesine yerinde kendiniz için görevler de ekleyebilirsiniz. Bu görev yalnızca açık olaya uygulanır. Bu, araştırmanızın sizi yeni yönlere yönlendirmesine ve kontrol etmeniz gereken yeni şeyler düşünmenize yardımcı olur. Bunları görev olarak eklemek, bunları yapmayı unutmamanızı ve yaptıklarınızı, diğer analistlerin ve yöneticilerin yararlanabileceği bir kayıt olmasını sağlar.

  1. Olay görevleri panelinin üst kısmında + Görev ekle'yi seçin.

    Screenshot shows how to manually add a task to your task list.

  2. Göreviniz için bir Başlık ve isterseniz bir Açıklama girin.

    Screenshot shows how to add a title and description to your task.

  3. bitirdiğinizde Kaydet'i seçin.

    Screenshot shows how to finish defining and save your task.

  4. Görev listesinin en altında yeni görevinize bakın. El ile oluşturulan görevlerin sol kenarlığında farklı bir renk bandı olduğunu ve adınızın Görev başlığı ve açıklaması altında Oluşturan: olarak göründüğüne dikkat edin.

    Screenshot showing your new task at the end of the task list.

Sonraki adımlar