本文說明 SOC 分析師如何利用事件任務管理 Microsoft Sentinel 中 Azure 入口網站中的事件處理工作流程。
事件任務 通常由資深分析師或SOC經理設定的自動化規則或操作手冊自動建立,但基層分析師也能在事件內部手動即時建立自己的任務。
你可以在事件詳情頁面看到特定事件需要執行的任務清單,並在進行中標記完成。
不同角色的使用案例
本文將探討適用於 SOC 分析師的以下情境:
以下連結的其他文章則探討了更適用於 SOC 經理、資深分析師及自動化工程師的情境:
必要條件
Microsoft Sentinel 回應者角色是建立自動化規則以及檢視與編輯事件的必要條件,這兩者都是新增、檢視及編輯任務所必需的。
檢視並追蹤事件任務
在事件頁面中,從清單中選擇一個事件,並在細節面板的任務中選擇「查看完整細節」,或在細節面板底部選擇「查看完整細節」。
如果你選擇進入完整細節頁面,請從頂端橫幅選擇 任務 。
事件 任務 面板會在你所在的主事件頁面或事件詳情頁右側開啟 () 。 你會看到為此事件定義的任務清單,以及它是如何或由誰創建的——無論是手動還是自動化規則或操作手冊。
有描述的任務會用擴展箭頭標示。 展開任務以查看完整描述。
在任務名稱旁標記圓圈,標記任務完成。 圓圈中會出現勾選標記,任務文字則會變成灰色。請參考上方截圖中的「重設使用者密碼」範例。
手動將臨時任務加入事件
你也可以當場為自己新增任務到事件的任務清單中。 此任務僅適用於未解決事件。 如果你的調查帶你走向新的方向,想到需要檢查的新事物,這很有幫助。 將這些納入任務,確保你不會忘記完成,並且有一份記錄,讓其他分析師和經理受益。
從事件任務面板頂端選擇 + 新增任務。
請輸入任務 標題 ,若願意也可以輸入 描述 。
完成後選擇 儲存 。
請查看任務清單底部的新任務。 請注意,手動建立的任務左側邊框有不同的色帶,且你的名稱會在任務標題和描述下顯示為「Created by: 」。
