Wijzigingen in incidenttaken in Microsoft Sentinel controleren en bijhouden
Incidenttaken zorgen voor een uitgebreide en uniforme behandeling van incidenten voor alle SOC-medewerkers. Taaklijsten worden doorgaans gedefinieerd volgens de vaststellingen van senior analisten of SOC-managers en worden in de praktijk gebracht met behulp van automatiseringsregels of playbooks.
Uw analisten kunnen de lijst met taken zien die ze moeten uitvoeren voor een bepaald incident op de pagina met incidentgegevens en ze markeren als voltooid. Analisten kunnen ook hun eigen taken ter plaatse handmatig maken, rechtstreeks vanuit het incident.
In dit artikel wordt uitgelegd hoe u, als SOC-manager, de geschiedenis van incidenttaken van Microsoft Sentinel kunt controleren en de wijzigingen in deze taken gedurende hun levenscyclus kunt bijhouden om de effectiviteit van uw taaktoewijzingen en hun bijdrage aan de efficiëntie en de goede werking van uw SOC te meten.
Structuur van takenmatrix in de tabel SecurityIncident
De tabel SecurityIncident is een audittabel, maar slaat niet de incidenten zelf op, maar registreert de levensduur van een incident: het maken ervan en eventuele wijzigingen die erin zijn aangebracht. Telkens wanneer een incident wordt gemaakt of als er een wijziging wordt aangebracht in een incident, wordt er een record gegenereerd in deze tabel met de huidige status van het incident.
Door de toevoeging van takendetails aan het schema van deze tabel kunt u taken uitgebreider controleren.
De gedetailleerde informatie die aan het veld Taken wordt toegevoegd, bestaat uit sleutel-waardeparen die de volgende structuur hebben:
| Key | Beschrijving van waarde |
|---|---|
| Createdby | De identiteit waarmee de taak is gemaakt: - e-mail: e-mailadres van identiteit - naam: naam van de identiteit - objectId: GUID van de identiteit - userPrincipalName: UPN van de identiteit |
| createdTimeUtc | Tijdstip waarop de taak is gemaakt, in UTC. |
| lastCompletedTimeUtc | Tijd waarop de taak is gemarkeerd als voltooid, in UTC. |
| lastModifiedBy | De identiteit die de taak voor het laatst heeft gewijzigd: - e-mail: e-mailadres van identiteit - naam: naam van de identiteit - objectId: GUID van de identiteit - userPrincipalName: UPN van de identiteit |
| lastModifiedTimeUtc | Tijdstip waarop de taak voor het laatst is gewijzigd, in UTC. |
| status | Huidige status van de taak: Nieuw, Voltooid, Verwijderd. |
| Taskid | Resource-id van de taak. |
| title | Beschrijvende naam gegeven aan de taak door de maker. |
Incidenttaken weergeven in de tabel SecurityIncident
Naast de werkmap Incidenttaken kunt u de taakactiviteit controleren door een query uit te voeren op de tabel SecurityIncident in Logboeken. In de rest van dit artikel leest u hoe u dit doet, evenals hoe u de queryresultaten leest en begrijpt om informatie over taakactiviteiten op te halen.
Voer op de pagina Logboeken de volgende query in het queryvenster in en voer deze uit. Met deze query worden alle incidenten geretourneerd waaraan taken zijn toegewezen.
SecurityIncident | where array_length( Tasks) > 0U kunt een willekeurig aantal instructies toevoegen aan de query om de resultaten te filteren en te verfijnen. Om te laten zien hoe we de resultaten kunnen bekijken en begrijpen, voegen we instructies toe om de resultaten te filteren, zodat we alleen de taken voor één incident zien en we voegen ook een
projectinstructie toe, zodat we alleen die velden zien die nuttig zijn voor onze doeleinden, zonder veel rommel.Meer informatie over het gebruik van Kusto-querytaal.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksLaten we eens kijken naar de meest recente record voor dit incident en de lijst met taken die eraan zijn gekoppeld.
Selecteer de uitvouwfunctie naast de bovenste rij in de queryresultaten (die in aflopende volgorde van recency zijn gesorteerd).
Het veld Taken is een matrix van de huidige status van alle taken in dit incident. Selecteer de uitvouwfunctie om elk item in de matrix in een eigen rij weer te geven.
U ziet nu dat er twee taken in dit incident zijn. Elke wordt op zijn beurt weergegeven door een uitbreidbare matrix. Selecteer de uitvouwfunctie van één taak om de gegevens ervan weer te geven.
Hier ziet u de details voor de eerste taak in de matrix ('0' is de indexpositie van de taak in de matrix). In het titelveld wordt de naam van de taak weergegeven zoals weergegeven in het incident.
Taken weergeven die zijn toegevoegd aan de lijst
Laten we een taak toevoegen aan het incident, waarna we hier terugkomen, de query opnieuw uitvoeren en de wijzigingen in de resultaten bekijken.
Voer op de pagina Incidenten het id-nummer van het incident in de zoekbalk in.
Open de pagina met details van het incident en selecteer Taken op de werkbalk.
Voeg een nieuwe taak toe, geef deze de naam 'Deze taak is een testtaak!' en selecteer Opslaan. De laatste taak die hieronder wordt weergegeven, is wat u moet eindigen:
Nu gaan we terug naar de pagina Logboeken en voeren we de query opnieuw uit.
In de resultaten ziet u dat er een nieuwe record in de tabel voor hetzelfde incident staat (let op de tijdstempels). Vouw de record uit en u ziet dat terwijl de record die we eerder hebben gezien twee taken had in de takenmatrix , de nieuwe record drie heeft. De nieuwste taak is de taak die we zojuist hebben toegevoegd, zoals u kunt zien met de titel.
Statuswijzigingen voor taken weergeven
Als we teruggaan naar die nieuwe taak op de pagina met incidentdetails en deze markeren als voltooid, en vervolgens terugkeren naar logboeken en de query opnieuw uitvoeren, zien we nog een nieuwe record voor hetzelfde incident, deze keer met de nieuwe status van onze taak als Voltooid.
Verwijdering van taken weergeven
We gaan terug naar de takenlijst op de pagina met incidentdetails en verwijderen de taak die we eerder hebben toegevoegd.
Wanneer we teruggaan naar Logboeken en de query nogmaals uitvoeren, zien we nog een nieuwe record, alleen deze keer de status voor onze taak, de record met de titel 'Deze taak is een testtaak!' — wordt verwijderd.
Zodra de taak eenmaal is weergegeven in de matrix (met de status Verwijderd), wordt deze echter niet meer weergegeven in de matrix Taken in nieuwe records voor dat incident in de tabel SecurityIncident. De bestaande records, zoals die we hierboven hebben gezien, blijven het bewijs behouden dat deze taak ooit bestond.
Actieve taken weergeven die behoren tot een gesloten incident
Met de volgende query kunt u zien of een incident is gesloten, maar niet alle toegewezen taken zijn voltooid. Met deze kennis kunt u controleren of alle resterende losse einden in uw onderzoek tot een conclusie zijn gebracht: alle relevante partijen zijn op de hoogte gesteld, alle opmerkingen zijn ingevoerd, alle reacties zijn geverifieerd, enzovoort.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| order by lastModifiedTimeUtc desc
Volgende stappen
- Meer informatie over incidenttaken.
- Meer informatie over het onderzoeken van incidenten.
- Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van automatiseringsregels of playbooks en wanneer u deze gebruikt.
- Meer informatie over automatiseringsregels en hoe u deze kunt maken.
- Meer informatie over playbooks en het maken ervan.