Arbeiten mit Vorfallsaufgaben in Microsoft Sentinel

  • Artikel

In diesem Artikel wird erläutert, wie SOC-Analysten ihre Workflowprozesse für die Vorfallsbehandlung in Microsoft Sentinel mithilfe von Vorfallsaufgaben verwalten können.

Vorfallsaufgaben werden in der Regel automatisch entweder von Automatisierungsregeln oder von Playbooks erstellt, die von leitenden Analysten oder SOC-Managern eingerichtet werden, doch Analysten einer niedrigeren Ebene können ihre eigenen Aufgaben an Ort und Stelle manuell und direkt innerhalb des Vorfalls erstellen.

Sie können die Liste der Aufgaben, die Sie für einen bestimmten Vorfall ausführen müssen, auf der Seite mit den Vorfallsdetails anzeigen und Sie im Verlauf als abgeschlossen markieren.

Anwendungsfälle für verschiedene Rollen

In diesem Artikel werden die folgenden Szenarien behandelt, die für SOC-Analysten gelten:

Weitere Artikel unter den folgenden Links befassen sich mit Szenarien, die eher für SOC-Manager, leitende Analysten und Automatisierungstechniker gelten:

Voraussetzungen

Die Rolle Microsoft Sentinel-Antwortberechtigter ist erforderlich, um Automatisierungsregeln zu erstellen und Vorfälle anzuzeigen und zu bearbeiten, was beides zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich ist.

Anzeigen und Befolgen von Vorfallsaufgaben

  1. Wählen Sie auf der Seite Vorfälle einen Vorfall aus der Liste aus, und wählen Sie im Detailbereich unter Aufgaben die Option Vollständige Details anzeigen aus, oder wählen Sie am Fuß des Detailbereichs Vollständige Details anzeigen aus.

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. Wenn Sie sich zum Anzeigen der Seite mit den vollständigen Details entschieden haben, wählen Sie im oberen Banner Aufgaben aus.

    Screenshot shows incident details screen with tasks panel open.

  3. Der Bereich Vorfallsaufgaben wird auf der rechten Seite jedes Bildschirms geöffnet, auf dem Sie sich gerade befunden haben (der Hauptseite für Vorfälle oder der Seite mit den Vorfallsdetails). Es wird die Liste der Aufgaben angezeigt, die für diesen Vorfall definiert sind, zusammen mit den Informationen, wie oder von wem der Vorfall erstellt wurde – ob manuell oder durch eine Automatisierungsregel oder ein Playbook.

    Screenshot shows incident tasks panel as seen from incident details page.

  4. Die Aufgaben, die eine Beschreibung besitzen, werden mit einem Erweiterungspfeil markiert. Erweitern Sie eine Aufgabe, um ihre vollständige Beschreibung anzuzeigen.

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. Markieren Sie eine Aufgabe als abgeschlossen, indem Sie den Kreis neben dem Vorgangsnamen auswählen. In dem Kreis wird ein Häkchen angezeigt, und der Text der Aufgabe wird abgeblendet. Sehen Sie sich das Beispiel „Benutzerkennwort zurücksetzen“ in den obigen Screenshots an.

Manuelles Hinzufügen einer Ad-hoc-Aufgabe zu einem Vorfall

Sie können Aufgaben auch für sich selbst an Ort und Stelle zur Aufgabenliste eines Vorfalls hinzufügen. Diese Aufgabe gilt dann nur für den offenen Vorfall. Dies hilft, wenn Ihre Untersuchung Sie in neue Richtungen führt und Sie neue Aspekte finden, die Sie überprüfen müssen. Wenn Sie diese als Aufgaben hinzufügen, wird sichergestellt, dass Sie nicht vergessen, sie auszuführen, und dass es eine Aufzeichnung Ihrer Aktionen gibt, von denen andere Analysten und Manager profitieren können.

  1. Wählen Sie oben im Bereich Vorfallsaufgaben die Option + Aufgabe hinzufügen aus.

    Screenshot shows how to manually add a task to your task list.

  2. Geben Sie einen Titel für Ihre Aufgabe und ggf. eine Beschreibung ein.

    Screenshot shows how to add a title and description to your task.

  3. Wenn Sie fertig sind, wählen Sie Speichern aus.

    Screenshot shows how to finish defining and save your task.

  4. Ihre neue Aufgabe wird am Ende der Aufgabenliste angezeigt. Beachten Sie, dass manuell erstellte Aufgaben am linken Rand ein anderes Farbband aufweisen, und dass Ihr Name unter dem Titel und der Beschreibung der Aufgabe als Erstellt von: angezeigt wird.

    Screenshot showing your new task at the end of the task list.

Nächste Schritte