Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben

Einer der wichtigsten Faktoren für die effektive und effiziente Ausführung Ihrer Sicherheitsvorgänge (Security Operations, SecOps) ist die Standardisierung von Prozessen. Von SecOps-Analysten wird erwartet, dass sie beim Selektieren, Untersuchen oder Beheben eines Vorfalls eine Liste von Schritten oder Aufgaben ausführen. Die Standardisierung und Formalisierung der Aufgabenliste kann dazu beitragen, den reibungslosen Betrieb Ihres SOC zu gewährleisten und sicherzustellen, dass die gleichen Anforderungen für alle Analysten gelten. Auf diese Weise erhält ein Vorfall unabhängig davon, wer gerade Dienst hat, immer die gleiche Behandlung und dieselben SLAs. Analysten müssen keine Zeit damit verbringen, darüber nachzudenken, was zu tun ist, oder sich Sorgen machen, dass ein wichtiger Schritt vergessen wird. Diese Schritte werden vom SOC-Manager oder leitenden Analysten (Ebene 2/3) basierend auf allgemeinen Sicherheitskenntnissen (z. B. NIST), ihrer Erfahrung mit früheren Vorfällen oder Empfehlungen des Sicherheitsanbieters definiert, der den Vorfall erkannt hat.

Anwendungsfälle

• Ihre SOC-Analysten können eine einzige zentrale Checkliste verwenden, um die Prozesse der Selektierung und Untersuchung von sowie der Reaktion auf Vorfälle zu verarbeiten, ohne sich Sorgen machen zu müssen, dass ein kritischer Schritt vergessen wird.

• Ihre SOC-Techniker oder leitenden Analysten können die Standards für die Reaktion auf Vorfälle in den Teams und Schichten der Analysten dokumentieren, aktualisieren und abstimmen. Sie können auch Checklisten mit Aufgaben erstellen, um neue Analysten oder Analysten, die auf neue Arten von Vorfällen stoßen, zu schulen.

• Als SOC-Manager oder MSSP können Sie sicherstellen, dass Vorfälle in Übereinstimmung mit den relevanten SLAs/SOPs behandelt werden.

Voraussetzungen

Die Rolle Microsoft Sentinel-Antwortberechtigter ist erforderlich, um Automatisierungsregeln zu erstellen und Vorfälle anzuzeigen und zu bearbeiten, was beides zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich ist.

Die Rolle Logic Apps-Mitwirkender ist erforderlich, um Playbooks zu erstellen und zu bearbeiten.

Szenarien

Analytiker

Befolgen von Aufgaben bei der Behandlung eines Vorfalls

Wenn Sie einen Vorfall und Vollständige Details anzeigen auswählen, werden auf der Seite mit den Vorfallsdetails im rechten Bereich alle Aufgaben angezeigt, die diesem Vorfall hinzugefügt wurden, sei es manuell oder durch Automatisierungsregeln.

Erweitern Sie eine Aufgabe, um ihre vollständige Beschreibung anzuzeigen, einschließlich des Benutzers, der Automatisierungsregel oder des Playbooks, von dem/der sie erstellt wurde.

Markieren Sie eine Aufgabe als abgeschlossen, indem Sie den zugehörigen „Kontrollkästchen“-Kreis aktivieren.

Hinzufügen von Aufgaben zu einem Vorfall an Ort und Stelle

Sie können Aufgaben zu einem offenen Vorfall hinzufügen, an dem Sie gerade arbeiten, um sich entweder selbst an Aktionen zu erinnern, die Sie als notwendig erkannt haben, oder um Aktionen aufzuzeichnen, die Sie von sich aus unternommen haben, die nicht in der Aufgabenliste angezeigt werden. Auf diese Weise hinzugefügte Aufgaben gelten nur für den offenen Vorfall.

Workflowerstellende

Hinzufügen von Aufgaben zu Vorfällen mit Automatisierungsregeln

Verwenden Sie die Aktion Aufgabe hinzufügen in Automatisierungsregeln, um automatisch alle Vorfälle mit einer Prüfliste mit Aufgaben zu versehen für Ihre Analysten. Legen Sie die Bedingung Name der Analyseregel in Ihrer Automatisierungsregel fest, um den Bereich zu bestimmen:

• Wenden Sie die Automatisierungsregel auf alle Analyseregeln an, um einen Standardsatz von Aufgaben zu definieren, die auf alle Vorfälle angewendet werden sollen.

• Indem Sie Ihre Automatisierungsregel auf einen begrenzten Satz von Analyseregeln anwenden, können Sie bestimmten Vorfällen bestimmte Aufgaben zuweisen, entsprechend den Bedrohungen, die von der Analyseregel oder den Regeln erkannt wurden, die diese Vorfälle generiert haben.

Beachten Sie, dass die Reihenfolge, in der Aufgaben in Ihrem Vorfall angezeigt werden, durch die Erstellungszeit der Aufgaben bestimmt wird. Sie können die Reihenfolge der Automatisierungsregeln so festlegen, dass Regeln, die für alle Vorfälle erforderliche Aufgaben hinzufügen, zuerst ausgeführt werden, und erst danach alle Regeln, die Aufgaben hinzufügen, die für Vorfälle erforderlich sind, die von bestimmten Analyseregeln generiert wurden. Innerhalb einer einzelnen Regel bestimmt die Reihenfolge, in der die Aktionen definiert werden, die Reihenfolge, in der sie in einem Vorfall angezeigt werden.

Sehen Sie sich an, welche Vorfälle von vorhandenen Automatisierungsregeln und Aufgaben abgedeckt werden, bevor Sie eine neue Automatisierungsregel erstellen.
Verwenden Sie den Filter Aktion in der Liste Automatisierungsregeln, um nur die Regeln anzuzeigen, die Vorfällen Aufgaben hinzufügen, und um zu ermitteln, auf welche Analyseregeln diese Automatisierungsregeln Anwendung finden, um zu verstehen, welchen Vorfällen diese Aufgaben hinzugefügt werden.

Hinzufügen von Aufgaben zu Vorfällen mit Playbooks

Verwenden Sie die Aktion Aufgabe hinzufügen in einem Playbook (im Microsoft Sentinel-Connector), um dem Vorfall automatisch eine Aufgabe hinzuzufügen, der das Playbook ausgelöst hat.

Verwenden Sie dann andere Playbook-Aktionen in ihren jeweiligen Logic Apps-Connectors, um den Inhalt der Aufgabe abzuschließen.

Verwenden Sie abschließend die Aktion Aufgabe als abgeschlossen markieren (wieder im Microsoft Sentinel-Connector), um die Aufgabe automatisch als abgeschlossen zu markieren.

Betrachten Sie die folgenden Szenarien als Beispiele:

• Playbooks fügen Aufgaben hinzu und schließen sie ab: Wenn ein Vorfall erstellt wird, löst er ein Playbook aus, das Folgendes ausführt:

  1. Es fügt dem Vorfall eine Aufgabe hinzu, um das Kennwort eines Benutzers zurückzusetzen.
  2. Es führt die Aufgabe durch Senden eines API-Aufrufs an das Benutzerbereitstellungssystem aus, um das Kennwort des Benutzers zurückzusetzen.
  3. Es erwartet eine Antwort vom System, die den Erfolg oder Fehler der Zurücksetzung mitteilt.
     • Wenn die Kennwortzurücksetzung erfolgreich war, markiert das Playbook die von ihm soeben im Vorfall erstellte Aufgabe als abgeschlossen.
     • Wenn die Kennwortzurücksetzung fehlgeschlagen ist, markiert das Playbook die Aufgabe nicht als abgeschlossen, sodass sie von einem Analysten ausgeführt werden muss.

• Das Playbook wertet aus, ob bedingte Aufgaben hinzugefügt werden sollen: Wenn ein Vorfall erstellt wird, löst er ein Playbook aus, das einen IP-Adressenbericht von einer externen Threat Intelligence-Quelle anfordert.

  • Wenn die IP-Adresse bösartig ist, fügt das Playbook eine bestimmte Aufgabe hinzu (z. B. „Diese IP-Adresse blockieren“).
  • Andernfalls ergreift das Playbook keine weiteren Maßnahmen.

Automatisierungsregeln oder Playbooks verwenden, um Aufgaben hinzuzufügen?

Welche Überlegungen sollten vorschreiben, welche dieser Methoden zum Erstellen von Vorfallsaufgaben verwendet werden sollten?

• Automatisierungsregeln: Wann immer möglich verwenden. Für einfache, statische Aufgaben verwenden, die keine Interaktivität erfordern.
• Playbooks: Für fortgeschrittene Anwendungsfälle – die Erstellung von Aufgaben, die auf Bedingungen basieren, oder von Aufgaben mit integrierten automatisierten Aktionen.

Nächste Schritte

• Erfahren Sie, wie Analysten Aufgaben zum Verarbeiten von Vorfallsworkflows in Microsoft Sentinel verwenden können.
• Erfahren Sie mehr über das Untersuchen von Vorfällen in Microsoft Sentinel.
• Erfahren Sie, wie Sie Gruppen von Vorfällen automatisch Aufgaben mithilfe von Automatisierungsregeln oder Playbooks hinzufügen.
• Erfahren Sie mehr über Automatisierungsregeln und wie Sie diese erstellen.
• Erfahren Sie mehr über Playbooks und wie Sie diese erstellen.