Práce s úkoly incidentů v Microsoft Sentinelu

  • Článek

Tento článek vysvětluje, jak můžou analytici SOC používat úlohy incidentů ke správě procesů pracovního postupu zpracování incidentů v Microsoft Sentinelu.

Úlohy incidentů se obvykle vytvářejí automaticky pomocí pravidel automatizace nebo playbooků vytvořených vedoucími analytiky nebo manažery SOC, ale analytici nižší úrovně můžou vytvářet vlastní úkoly na místě ručně přímo z incidentu.

Seznam úkolů, které potřebujete provést pro konkrétní incident, můžete zobrazit na stránce s podrobnostmi incidentu a označit je jako dokončené.

Případy použití pro různé role

Tento článek se zabývá následujícími scénáři, které platí pro analytiky SOC:

Další články na následujících odkazech řeší scénáře, které se týkají manažerů SOC, vedoucích analytiků a techniků automatizace:

Požadavky

Role Responder služby Microsoft Sentinel je nutná k vytváření pravidel automatizace a k zobrazení a úpravám incidentů, z nichž obě jsou nezbytné k přidání, zobrazení a úpravám úkolů.

Zobrazení a sledování úkolů incidentu

  1. Na stránce Incidenty vyberte ze seznamu incident a v části Úkoly na panelu podrobností vyberte Zobrazit úplné podrobnostinebo v dolní části panelu podrobností vyberte Zobrazit úplné podrobnosti.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Pokud jste se rozhodli zadat celou stránku podrobností, vyberte Úkoly v horním banneru.

    Screenshot shows incident details screen with tasks panel open.

  3. Panel Úkoly incidentu se otevře na pravé straně obrazovky, ve které jste byli (hlavní stránka incidentů nebo stránka s podrobnostmi incidentu). Zobrazí se seznam úkolů definovaných pro tento incident spolu s tím, jak nebo kým byl vytvořen – ať už ručně, nebo pravidlem automatizace nebo playbookem.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Úkoly s popisy budou označené šipkou rozšíření. Rozbalením úkolu zobrazíte jeho úplný popis.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Označte úkol jako dokončený tak, že označíte kruh vedle názvu úkolu. V kruhu se zobrazí značka zaškrtnutí a text úkolu se zobrazí šedě. Podívejte se na příklad Resetování hesla uživatele na výše uvedených snímcích obrazovky.

Ruční přidání ad hoc úkolu k incidentu

Úkoly můžete také přidat sami na místě do seznamu úkolů incidentu. Tento úkol bude platit pouze pro otevřený incident. To vám pomůže v případě, že vás vyšetřování povede k novým pokynům a vy si myslíte, že je potřeba zkontrolovat nové věci. Přidáním těchto úkolů zajistíte, že je nezapomenete udělat a že bude existovat záznam o tom, co jste udělali, že z nich můžou těžit další analytici a manažeři.

  1. V horní části panelu Úkoly incidentu vyberte + Přidat úkol.

    Screenshot shows how to manually add a task to your task list.

  2. Pokud zvolíte, zadejte název úkolu a popis.

    Screenshot shows how to add a title and description to your task.

  3. Po dokončení vyberte Uložit .

    Screenshot shows how to finish defining and save your task.

  4. Podívejte se na nový úkol v dolní části seznamu úkolů. Všimněte si, že ručně vytvořené úkoly mají na levém okraji jiný barevný pruh a že vaše jméno se zobrazí jako Vytvořené: pod názvem a popisem úkolu.

    Screenshot showing your new task at the end of the task list.

Další kroky