你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用任务管理 Microsoft Sentinel 中的事件

重要

“事件任务”功能目前为“预览版”。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

高效运行安全运营 (SecOps) 的最重要因素之一是流程的标准化。 SecOps 分析师需要在对事件进行会审、调查或修正的过程中执行一系列步骤或任务。 标准化和规范化任务列表有助于保持 SOC 平稳运行,确保所有分析师都能满足相同的要求。 这样一来,无论谁值班,事件都会始终得到相同的处理和 SLA。 分析师不需要花时间思考该做什么,也不需要担心错过哪个关键步骤。 这些步骤由 SOC 管理员或高级分析师(第 2/3 层)根据常见的安全知识(如 NIST)、他们对过去事件的经验或检测到事件的安全供应商提供的建议来定义。

用例

  • SOC 分析师可以使用一个单一的中心检查表来处理事件会审、调查和响应过程,而无需担心错过关键步骤。

  • SOC 工程师或高级分析师可以记录、更新和调整分析师团队和轮班之间的事件响应标准。 他们还可以创建任务清单,以培训新分析师或针对分析师遇到的新事件类型进行培训。

  • 作为 SOC 管理员或 MSSP,你可以确保事件按照相关的 SLA/SOP 进行处理。

先决条件

Microsoft Sentinel 响应者角色是创建自动化规则以及查看和编辑事件所必需的,这两者都是添加、查看和编辑任务的必要条件。

创建和编辑 playbook 需要逻辑应用参与者角色。

方案

分析师

处理事件时遵循任务

当你选择某个事件并选择“查看完整详细信息”时,在事件详细信息页面上,你将在右侧面板上看到已添加到该事件的所有任务,无论是手动还是通过自动规则添加的。

展开任务以查看其完整说明,包括创建该任务的用户、自动化规则或 playbook。

通过选中任务“复选框”圆圈来标记任务的完成。

事件详细信息屏幕上面向分析师的事件任务面板屏幕截图。

将任务添加到现成的事件

你可以将任务添加到你正在处理的未结事件,以提醒自己需要执行的操作,或者记录未显示在任务列表中但你自己主动采取的操作。 以这种方式添加的任务仅适用于未结事件。

工作流创建者

使用自动化规则向事件添加任务

使用自动化规则中的“添加任务”操作自动为分析师提供所有事件的任务清单。 在自动化规则中设置“分析规则名称”条件以确定范围:

  • 将自动化规则应用于所有分析规则,以便定义要应用于所有事件的标准任务集。

  • 通过将自动化规则应用于一组有限的分析规则,可以根据分析规则或生成这些事件的规则检测到的威胁,将特定任务分配给特定事件。

要考虑到任务在事件中出现的顺序是由任务的创建时间决定的。 可以设置自动化规则的顺序,以便首先运行添加所有事件所需任务的规则,然后才运行添加特定分析规则生成的事件所需任务的任何规则。 在单个规则中,定义操作的顺序决定了它们在事件中出现的顺序。

在创建新的自动化规则之前,请查看现有自动化规则和任务涵盖的事件。
使用“自动化规则”列表中的“操作”筛选器仅查看向事件添加任务的规则,并查看这些自动化规则适用于哪些分析规则,以了解这些任务将添加到哪些事件中。

使用 playbook 向事件添加任务

使用 playbook 中的“添加任务”操作(在 Microsoft Sentinel 连接器中)将任务自动添加到触发 playbook 的事件。

然后,在其各自的逻辑应用连接器中使用其他 playbook 操作来完成任务的内容。

最后,使用“将任务标记为已完成”操作(同样在 Microsoft Sentinel 连接器中)自动标记任务已完成。

以以下场景为例:

  • 让 playbook 添加和完成任务:创建事件时,它将触发 playbook,该 playbook 会执行以下操作:

    1. 向事件添加任务以重置用户密码。
    2. 通过向用户预配系统发出 API 调用以重置用户密码来执行该任务。
    3. 等待系统对重置成功或失败的响应。
      • 如果密码重置成功,playbook 会将其刚刚在事件中创建的任务标记为已完成。
      • 如果密码重置失败,playbook 不会将任务标记为已完成,而是将其留给分析师执行。
  • 让 playbook 评估是否应添加条件任务:创建事件时,它将触发一个 playbook,请求一份来自外部威胁情报来源的 IP 地址报表。

    • 如果 IP 地址是恶意的,则 playbook 会添加一个特定的任务(例如,“阻止此 IP 地址”)。
    • 否则,playbook 不采取进一步操作。

使用自动化规则或 playbook 添加任务?

应考虑哪些注意事项来决定应使用这些方法中的哪一种来创建事件任务?

  • 自动化规则 - 尽可能使用。 用于不需要交互的普通静态任务。
  • Playbook - 用于高级用例:基于条件创建任务、具有集成自动化操作的任务。

后续步骤