Bagikan melalui

Bekerja dengan tugas insiden di Microsoft Azure Sentinel

  • Artikel

Artikel ini menjelaskan bagaimana analis SOC dapat menggunakan tugas insiden untuk mengelola proses alur kerja penanganan insiden mereka di Microsoft Azure Sentinel.

Tugas insiden biasanya dibuat secara otomatis dengan aturan otomatisasi atau playbook yang disiapkan oleh analis senior atau manajer SOC, tetapi analis tingkat bawah dapat membuat tugas mereka sendiri di tempat, secara manual, langsung dari dalam insiden.

Anda dapat melihat daftar tugas yang perlu Anda lakukan untuk insiden tertentu di halaman detail insiden, dan menandainya selesai saat Anda pergi.

Kasus penggunaan untuk peran yang berbeda

Artikel ini membahas skenario berikut, yang berlaku untuk analis SOC:

Artikel lain pada skenario alamat tautan berikut yang berlaku lebih banyak untuk manajer SOC, analis senior, dan insinyur otomatisasi:

Prasyarat

Peran Microsoft Sentinel Responder diperlukan untuk membuat aturan otomatisasi dan untuk melihat dan mengedit insiden, yang keduanya diperlukan untuk menambahkan, melihat, dan mengedit tugas.

Menampilkan dan mengikuti tugas insiden

  1. Di halaman Insiden , pilih insiden dari daftar, dan pilih Tampilkan detail lengkap di bawah Tugas di panel detail, atau pilih Tampilkan detail lengkap di bagian bawah panel detail.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Jika Anda memilih untuk memasukkan halaman detail lengkap, pilih Tugas dari banner atas.

    Screenshot shows incident details screen with tasks panel open.

  3. Panel Tugas insiden akan terbuka di sisi kanan layar mana pun Anda berada (halaman insiden utama atau halaman detail insiden). Anda akan melihat daftar tugas yang ditentukan untuk insiden ini, bersama dengan cara atau oleh siapa tugas tersebut dibuat - baik secara manual atau oleh aturan otomatisasi atau playbook.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Tugas yang memiliki deskripsi akan ditandai dengan panah ekspansi. Perluas tugas untuk melihat deskripsi lengkapnya.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Tandai tugas selesai dengan menandai lingkaran di samping nama tugas. Tanda centang akan muncul di lingkaran, dan teks tugas akan berwarna abu-abu. Lihat contoh "Atur ulang kata sandi pengguna" pada cuplikan layar di atas.

Menambahkan tugas ad-hoc secara manual ke insiden

Anda juga dapat menambahkan tugas untuk diri Anda sendiri, di tempat, ke daftar tugas insiden. Tugas ini hanya akan berlaku untuk insiden terbuka. Ini membantu jika investigasi Anda mengarahkan Anda ke arah baru dan Anda memikirkan hal-hal baru yang perlu Anda periksa. Menambahkan ini sebagai tugas memastikan bahwa Anda tidak akan lupa melakukannya, dan bahwa akan ada catatan tentang apa yang Anda lakukan, yang dapat diuntungkan oleh analis dan manajer lain.

  1. Pilih + Tambahkan tugas dari bagian atas panel Tugas insiden.

    Screenshot shows how to manually add a task to your task list.

  2. Masukkan Judul untuk tugas Anda, dan Deskripsi jika Anda memilih.

    Screenshot shows how to add a title and description to your task.

  3. Pilih Simpan setelah Anda selesai.

    Screenshot shows how to finish defining and save your task.

  4. Lihat tugas baru Anda di bagian bawah daftar tugas. Perhatikan bahwa tugas yang dibuat secara manual memiliki pita warna yang berbeda di batas kiri, dan nama Anda muncul sebagai Dibuat oleh: di bawah judul dan deskripsi tugas.

    Screenshot showing your new task at the end of the task list.

Langkah berikutnya