Bekerja dengan tugas insiden di Microsoft Azure Sentinel
Artikel ini menjelaskan bagaimana analis SOC dapat menggunakan tugas insiden untuk mengelola proses alur kerja penanganan insiden mereka di Microsoft Azure Sentinel.
Tugas insiden biasanya dibuat secara otomatis dengan aturan otomatisasi atau playbook yang disiapkan oleh analis senior atau manajer SOC, tetapi analis tingkat bawah dapat membuat tugas mereka sendiri di tempat, secara manual, langsung dari dalam insiden.
Anda dapat melihat daftar tugas yang perlu Anda lakukan untuk insiden tertentu di halaman detail insiden, dan menandainya selesai saat Anda pergi.
Kasus penggunaan untuk peran yang berbeda
Artikel ini membahas skenario berikut, yang berlaku untuk analis SOC:
Artikel lain pada skenario alamat tautan berikut yang berlaku lebih banyak untuk manajer SOC, analis senior, dan insinyur otomatisasi:
- Menampilkan aturan otomatisasi dengan tindakan tugas insiden
- Menambahkan tugas ke insiden dengan aturan otomatisasi
- Menambahkan tugas ke insiden dengan playbook
Prasyarat
Peran Microsoft Sentinel Responder diperlukan untuk membuat aturan otomatisasi dan untuk melihat dan mengedit insiden, yang keduanya diperlukan untuk menambahkan, melihat, dan mengedit tugas.
Menampilkan dan mengikuti tugas insiden
Di halaman Insiden , pilih insiden dari daftar, dan pilih Tampilkan detail lengkap di bawah Tugas di panel detail, atau pilih Tampilkan detail lengkap di bagian bawah panel detail.
Jika Anda memilih untuk memasukkan halaman detail lengkap, pilih Tugas dari banner atas.
Panel Tugas insiden akan terbuka di sisi kanan layar mana pun Anda berada (halaman insiden utama atau halaman detail insiden). Anda akan melihat daftar tugas yang ditentukan untuk insiden ini, bersama dengan cara atau oleh siapa tugas tersebut dibuat - baik secara manual atau oleh aturan otomatisasi atau playbook.
Tugas yang memiliki deskripsi akan ditandai dengan panah ekspansi. Perluas tugas untuk melihat deskripsi lengkapnya.
Tandai tugas selesai dengan menandai lingkaran di samping nama tugas. Tanda centang akan muncul di lingkaran, dan teks tugas akan berwarna abu-abu. Lihat contoh "Atur ulang kata sandi pengguna" pada cuplikan layar di atas.
Menambahkan tugas ad-hoc secara manual ke insiden
Anda juga dapat menambahkan tugas untuk diri Anda sendiri, di tempat, ke daftar tugas insiden. Tugas ini hanya akan berlaku untuk insiden terbuka. Ini membantu jika investigasi Anda mengarahkan Anda ke arah baru dan Anda memikirkan hal-hal baru yang perlu Anda periksa. Menambahkan ini sebagai tugas memastikan bahwa Anda tidak akan lupa melakukannya, dan bahwa akan ada catatan tentang apa yang Anda lakukan, yang dapat diuntungkan oleh analis dan manajer lain.
Pilih + Tambahkan tugas dari bagian atas panel Tugas insiden.
Masukkan Judul untuk tugas Anda, dan Deskripsi jika Anda memilih.
Pilih Simpan setelah Anda selesai.
Lihat tugas baru Anda di bagian bawah daftar tugas. Perhatikan bahwa tugas yang dibuat secara manual memiliki pita warna yang berbeda di batas kiri, dan nama Anda muncul sebagai Dibuat oleh: di bawah judul dan deskripsi tugas.
Langkah berikutnya
- Pelajari selengkapnya tentang tugas insiden.
- Pelajari cara menyelidiki insiden.
- Pelajari cara menambahkan tugas ke grup insiden secara otomatis menggunakan aturan otomatisasi atau playbook, dan kapan menggunakannya.
- Pelajari tentang melacak tugas Anda.
- Pelajari selengkapnya tentang aturan otomatisasi dan cara membuatnya.
- Pelajari selengkapnya tentang playbook dan cara membuatnya.