Share via

在 Microsoft Sentinel 中使用事件工作

  • 發行項

本文說明 SOC 分析師如何使用事件工作來管理其在 Microsoft Sentinel 中的事件處理工作流程程式。

事件工作 通常是由資深分析師或SOC經理所設定的自動化規則或劇本自動建立,但較低層分析師可以從事件內立即建立自己的工作。

您可以在 [事件詳細數據] 頁面上查看您需要針對特定事件執行的工作清單,並在您執行時將它們標示為完成。

不同角色的使用案例

本文說明適用於SOC分析師的下列案例:

下列連結的其他文章說明更多適用於SOC經理、資深分析師和自動化工程師的案例:

必要條件

需要 Microsoft Sentinel 回應程式角色才能建立自動化規則,以及檢視和編輯事件,這兩者都需要新增、檢視和編輯工作。

檢視並遵循事件工作

  1. 在 [事件] 頁面中,從清單中選取事件,然後選取 [詳細數據] 面板中 [工作] 底下的 [檢視完整詳細數據],或選取詳細數據面板底部的 [檢視完整詳細數據]。

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. 如果您選擇輸入完整詳細數據頁面,請從頂端橫幅選取 [ 工作 ]。

    Screenshot shows incident details screen with tasks panel open.

  3. [ 事件工作 ] 面板會在您所在的畫面右側開啟(主要事件頁面或事件詳細數據頁面)。 您會看到針對此事件所定義的工作清單,以及其建立方式或依據者-無論是手動還是由自動化規則或劇本。

    Screenshot shows incident tasks panel as seen from incident details page.

  4. 具有描述的工作將會以展開箭號標示。 展開工作以查看其完整描述。

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. 標記任務名稱旁的圓形,以標示工作完成。 複選標記會出現在圓形中,工作文字會呈現灰色。請參閱上述螢幕快照中的「重設用戶密碼」範例。

手動將臨機操作工作新增至事件

您也可以在現場自行將工作新增至事件的工作清單。 此工作只適用於開啟的事件。 這可協助您的調查引導您走向新的方向,並思考您需要檢查的新事物。 將這些新增為工作可確保您不會忘記執行這些工作,而且會有您所做的記錄,其他分析師和經理可以從中受益。

  1. 從 [事件工作] 面板頂端選取 [+ 新增工作]。

    Screenshot shows how to manually add a task to your task list.

  2. 輸入工作的標題,然後選擇 [描述]。

    Screenshot shows how to add a title and description to your task.

  3. 完成時選取 [ 儲存 ]。

    Screenshot shows how to finish defining and save your task.

  4. 在工作清單底部查看您的新工作。 請注意,手動建立的工作在左框線上有不同的色彩帶,而且您的名稱會顯示為 [建立者]: 在工作標題和描述底下。

    Screenshot showing your new task at the end of the task list.

下一步