Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie SOC-Analysten Vorfallaufgaben verwenden können, um ihre Workflowprozesse für die Vorfallbehandlung in Microsoft Sentinel im Azure-Portal zu verwalten.
Incident-Aufgaben werden in der Regel automatisch entweder durch Automatisierungsregeln oder Playbooks erstellt, die von leitenden Analysten oder SOC-Managern eingerichtet wurden, aber Analysten auf niedrigerer Ebene können ihre eigenen Aufgaben vor Ort manuell direkt aus dem Vorfall heraus erstellen.
Sie können die Liste der Aufgaben, die Sie für einen bestimmten Vorfall ausführen müssen, auf der Seite mit den Vorfalldetails anzeigen und sie nach und nach als erledigt markieren.
Anwendungsfälle für verschiedene Rollen
In diesem Artikel werden die folgenden Szenarien behandelt, die für SOC-Analysten gelten:
- Anzeigen und Befolgen von Vorfallsaufgaben
- Manuelles Hinzufügen einer Ad-hoc-Aufgabe zu einem Vorfall
Weitere Artikel unter den folgenden Links befassen sich mit Szenarien, die eher für SOC-Manager, leitende Analysten und Automatisierungsingenieure gelten:
- Anzeigen von Automatisierungsregeln mit Vorfallsaufgabenaktionen
- Hinzufügen von Aufgaben zu Vorfällen mit Automatisierungsregeln
- Hinzufügen von Aufgaben zu Vorfällen mit Playbooks
Voraussetzungen
Die Rolle "Microsoft Sentinel Responder " ist erforderlich, um Automatisierungsregeln zu erstellen und Vorfälle anzuzeigen und zu bearbeiten, die zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich sind.
Anzeigen und Verfolgen von Incident-Aufgaben
Wählen Sie auf der Seite "Incidents" einen Incident aus der Liste aus, und wählen Sie im Detailbereich unter "Aufgaben" die Option "Vollständige Details anzeigen" aus, oder wählen Sie unten im Detailbereich "Vollständige Details anzeigen" aus.
Wenn Sie sich dafür entschieden haben, die vollständige Detailseite aufzurufen, wählen Sie im oberen Banner Aufgaben aus.
Der Bereich "Incident-Aufgaben " wird auf der rechten Seite des Bildschirms geöffnet, auf dem Sie sich befanden (auf der Hauptseite "Incidents" oder auf der Seite mit den Incident-Details). Sie sehen die Liste der Aufgaben, die für diesen Vorfall definiert wurden, zusammen mit der Art und Weise, wie oder von wem er erstellt wurde – ob manuell oder durch eine Automatisierungsregel oder ein Playbook.
Die Aufgaben, die über Beschreibungen verfügen, werden mit einem Erweiterungspfeil gekennzeichnet. Erweitern Sie eine Aufgabe, um ihre vollständige Beschreibung anzuzeigen.
Markieren Sie eine Aufgabe als abgeschlossen, indem Sie den Kreis neben dem Aufgabennamen markieren. Im Kreis wird ein Häkchen angezeigt, und der Text der Aufgabe wird ausgegraut. Siehe das Beispiel "Benutzerkennwort zurücksetzen" in den obigen Screenshots.
Manuelles Hinzufügen einer Ad-hoc-Aufgabe zu einem Incident
Sie können auch Aufgaben für sich selbst vor Ort zur Aufgabenliste eines Vorfalls hinzufügen. Diese Aufgabe gilt nur für den offenen Incident. Das ist hilfreich, wenn deine Ermittlungen dich in neue Richtungen führen und dir neue Dinge einfallen, die du überprüfen musst. Wenn Sie diese als Aufgaben hinzufügen, stellen Sie sicher, dass Sie nicht vergessen, sie zu erledigen, und dass es eine Aufzeichnung Ihrer Arbeit gibt, von der andere Analysten und Manager profitieren können.
Wählen Sie oben im Bereich "Incident-Aufgaben"die Option + Aufgabe hinzufügen aus.
Geben Sie einen Titel für Ihre Aufgabe und eine Beschreibung ein, wenn Sie möchten.
Wählen Sie Speichern aus, wenn Sie fertig sind.
Ihre neue Aufgabe finden Sie unten in der Aufgabenliste. Beachten Sie, dass manuell erstellte Aufgaben ein anderes Farbband am linken Rand haben und dass Ihr Name als Erstellt von: unter dem Aufgabentitel und der Beschreibung angezeigt wird.
Nächste Schritte
- Erfahren Sie mehr über Vorfallsaufgaben.
- Erfahren Sie, wie Sie Vorfälle untersuchen.
- Erfahren Sie, wie Sie Gruppen von Vorfällen automatisch Aufgaben mithilfe von Automatisierungsregeln oder Playbooks hinzufügen, und wann Sie welche Methode verwenden sollten.
- Erfahren Sie, wie Sie den Überblick über Ihre Aufgaben behalten.
- Erfahren Sie mehr über Automatisierungsregeln und deren Erstellung.
- Erfahren Sie mehr über Playbooks und wie Sie sie erstellen.