Arbeta med incidentuppgifter i Microsoft Sentinel

Den här artikeln förklarar hur SOC-analytiker kan använda incidentuppgifter för att hantera sina arbetsflödesprocesser för incidenthantering i Microsoft Sentinel.

Incidentuppgifter skapas vanligtvis automatiskt av antingen automatiseringsregler eller spelböcker som konfigurerats av seniora analytiker eller SOC-chefer, men analytiker på lägre nivå kan skapa sina egna uppgifter på plats manuellt direkt inifrån incidenten.

Du kan se listan över uppgifter som du behöver utföra för en viss incident på sidan incidentinformation och markera dem som slutförda när du går.

Användningsfall för olika roller

Den här artikeln beskriver följande scenarier som gäller för SOC-analytiker:

• Visa och följa incidentuppgifter
• Lägga till en ad hoc-uppgift manuellt i en incident

Andra artiklar på följande länkar behandlar scenarier som gäller mer för SOC-chefer, seniora analytiker och automationstekniker:

• Visa automatiseringsregler med incidentaktivitetsåtgärder
• Lägga till uppgifter i incidenter med automatiseringsregler
• Lägga till uppgifter i incidenter med spelböcker

Förutsättningar

Microsoft Sentinel-svararrollen krävs för att skapa automatiseringsregler och för att visa och redigera incidenter, som båda är nödvändiga för att lägga till, visa och redigera uppgifter.

Visa och följa incidentuppgifter

1. På sidan Incidenter väljer du en incident i listan och väljer Visa fullständig information under Uppgifter i informationspanelen eller väljer Visa fullständig information längst ned på informationspanelen.

   

2. Om du har valt att ange den fullständiga informationssidan väljer du Uppgifter i den övre banderollen.

   

3. Panelen Incidentuppgifter öppnas till höger på den skärm som du befann dig på (huvudsidan för incidenter eller sidan med incidentinformation). Du ser listan över uppgifter som definierats för den här incidenten, tillsammans med hur eller av vem den skapades – antingen manuellt eller av en automatiseringsregel eller en spelbok.

   

4. De uppgifter som har beskrivningar markeras med en expansionspil. Expandera en uppgift om du vill se den fullständiga beskrivningen.

   

5. Markera en slutförd uppgift genom att markera cirkeln bredvid aktivitetsnamnet. En bockmarkering visas i cirkeln och texten i uppgiften är nedtonad. Se exemplet "Återställ användarlösenord" i skärmbilderna ovan.

Lägga till en ad hoc-uppgift manuellt i en incident

Du kan också lägga till uppgifter för dig själv, på plats, till en incident uppgiftslista. Den här uppgiften gäller endast för den öppna incidenten. Detta hjälper dig om din undersökning leder dig i nya riktningar och du tänker på nya saker som du behöver kontrollera. Genom att lägga till dessa som uppgifter ser du till att du inte glömmer att göra dem, och att det kommer att finnas ett register över vad du gjorde, som andra analytiker och chefer kan dra nytta av.

1. Välj + Lägg till aktivitet överst på panelen Incidentaktiviteter .

   

2. Ange en rubrik för uppgiften och en Beskrivning om du väljer.

   

3. Välj Spara när du är klar.

   

4. Se den nya aktiviteten längst ned i uppgiftslistan. Observera att manuellt skapade aktiviteter har ett annat färgband på den vänstra kantlinjen och att namnet visas som Skapad av: under aktivitetsrubriken och beskrivningen.

   

Nästa steg

• Läs mer om incidentuppgifter.
• Lär dig hur du undersöker incidenter.
• Lär dig hur du lägger till uppgifter i grupper av incidenter automatiskt med hjälp av automatiseringsregler eller spelböcker och när du ska använda vilka.
• Lär dig mer om att hålla reda på dina uppgifter.
• Läs mer om automatiseringsregler och hur du skapar dem.
• Läs mer om spelböcker och hur du skapar dem.