Работа с задачами инцидентов в Microsoft Sentinel

В этой статье объясняется, как аналитики SOC могут использовать задачи инцидентов для управления процессами обработки инцидентов в Microsoft Sentinel.

Обычно задачи инцидентов создаются автоматически правилами автоматизации или сборниками схем, настроенными старшими аналитиками или менеджерами SOC, но аналитики более низкого уровня могут создавать свои собственные задачи на месте, вручную, прямо из этого инцидента.

Вы можете просмотреть список задач, которые необходимо выполнить для конкретного инцидента на странице сведений об инциденте, и пометить их как вы идете.

Варианты использования для разных ролей

В этой статье рассматриваются следующие сценарии, которые применяются к аналитикам SOC:

• Просмотр и выполнение задач инцидентов
• Добавление нерегламентированной задачи вручную в инцидент

Другие статьи по следующим ссылкам относятся к сценариям, которые применяются больше к менеджерам SOC, старшим аналитикам и инженерам автоматизации:

• Просмотр правил автоматизации с действиями задачи инцидента
• Добавление задач в инциденты с правилами автоматизации
• Добавление задач в инциденты с сборниками схем

Необходимые компоненты

Роль "Ответитель Microsoft Sentinel" необходима для создания правил автоматизации и просмотра и редактирования инцидентов, которые необходимы для добавления, просмотра и редактирования задач.

Просмотр и выполнение задач инцидентов

1. На странице "Инциденты" выберите инцидент из списка и выберите "Просмотреть полные сведения" в области "Задачи" или "Просмотреть полные сведения" в нижней части панели сведений.

   

2. Если вы решили ввести полную страницу сведений, выберите "Задачи " в верхнем баннере.

   

3. Панель задач "Инциденты" откроется справа от любого экрана, в котором вы находились (страница "Основные инциденты" или страница сведений об инциденте). Вы увидите список задач, определенных для этого инцидента, а также способ или то, кем оно было создано , будь то вручную или правилом автоматизации или сборником схем.

   

4. Задачи с описаниями будут помечены стрелкой расширения. Разверните задачу, чтобы просмотреть его полное описание.

   

5. Пометьте задачу, пометив круг рядом с именем задачи. В круге появится знак проверка, а текст задачи будет серым. См. пример сброса пароля пользователя на снимках экрана выше.

Добавление нерегламентированной задачи вручную в инцидент

Вы также можете добавлять задачи для себя, на месте, в список задач инцидента. Эта задача будет применяться только к открытому инциденту. Это помогает, если исследование ведет вас в новых направлениях, и вы думаете о новых вещах, которые вам нужно проверка. Добавление этих задач в качестве задач гарантирует, что вы не забудете делать их, и что будет запись о том, что вы сделали, что другие аналитики и менеджеры могут воспользоваться.

1. Нажмите кнопку "+ Добавить задачу " в верхней части панели задач "Инциденты".

   

2. Введите заголовок для задачи и описание, если вы выбрали.

   

3. Нажмите кнопку "Сохранить ", когда закончите работу.

   

4. Просмотрите новую задачу в нижней части списка задач. Обратите внимание, что созданные вручную задачи имеют другую цветовую полосу на левой границе и что имя отображается как созданное: в заголовке и описании задачи.

   

Следующие шаги

• Дополнительные сведения о задачах инцидентов.
• Узнайте, как исследовать инциденты.
• Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации или сборников схем, а также когда следует использовать их.
• Узнайте о отслеживании задач.
• Узнайте больше о правилах автоматизации и их создании.
• Узнайте больше о сборниках схем и их создании.