Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo los analistas de SOC pueden usar tareas de incidentes para administrar sus procesos de flujo de trabajo de control de incidentes en Microsoft Sentinel en Azure Portal.
Por lo general, las tareas de incidentes se crean automáticamente mediante reglas de automatización o manuales de estrategias configurados por analistas senior o gerentes de SOC, pero los analistas de nivel inferior pueden crear sus propias tareas en el momento, manualmente, directamente desde el incidente.
Puede ver la lista de tareas que debe realizar para un incidente en particular en la página de detalles del incidente y marcarlas como completadas a medida que avanza.
Casos de uso para distintos roles
En este artículo se abordan los siguientes escenarios, que se aplican a los analistas de SOC:
Otros artículos en los siguientes vínculos abordan escenarios que se aplican más a los gerentes de SOC, analistas sénior e ingenieros de automatización:
- Visualización de reglas de automatización con acciones de tareas de incidentes
- Adición de tareas a incidentes con reglas de automatización
- Adición de tareas a incidentes con cuadernos de estrategias
Prerrequisitos
El rol de respondedor de Microsoft Sentinel es necesario para crear reglas de automatización y para ver y editar incidentes, ambos necesarios para agregar, ver y editar tareas.
Visualización y seguimiento de las tareas de incidentes
En la página Incidentes , seleccione un incidente de la lista y seleccione Ver detalles completos en Tareas en el panel de detalles, o seleccione Ver detalles completos en la parte inferior del panel de detalles.
Si optó por ingresar a la página de detalles completos, seleccione Tareas en el banner superior.
El panel de tareas de incidentes se abrirá en el lado derecho de la pantalla en la que se encontraba (la página principal de incidentes o la página de detalles del incidente). Verá la lista de tareas definidas para este incidente, junto con cómo o quién lo creó, ya sea manualmente o mediante una regla de automatización o un cuaderno de estrategias.
Las tareas que tengan descripciones se marcarán con una flecha de expansión. Expanda una tarea para ver su descripción completa.
Marque una tarea como completada marcando el círculo junto al nombre de la tarea. Aparecerá una marca de verificación en el círculo y el texto de la tarea aparecerá en gris. Vea el ejemplo "Restablecer contraseña de usuario" en las capturas de pantalla anteriores.
Agregar manualmente una tarea ad-hoc a un incidente
También puede agregar tareas para usted, en el acto, a la lista de tareas de un incidente. Esta tarea solo se aplicará al incidente abierto. Esto ayuda si tu investigación te lleva en nuevas direcciones y piensas en cosas nuevas que necesitas verificar. Agregarlas como tareas garantiza que no se olvide de hacerlas y que haya un registro de lo que hizo, del que otros analistas y gerentes puedan beneficiarse.
Seleccione + Agregar tarea en la parte superior del panel Tareas de incidentes .
Introduzca un Título para la tarea y una Descripción si lo desea.
Selecciona Guardar cuando hayas terminado.
Vea su nueva tarea en la parte inferior de la lista de tareas. Tenga en cuenta que las tareas creadas manualmente tienen una banda de color diferente en el borde izquierdo y que su nombre aparece como Creado por: debajo del título y la descripción de la tarea.
Pasos siguientes
- Obtenga más información sobre las tareas de incidentes.
- Aprenda cómoInvestigar incidentes.
- Obtenga información sobre cómo agregar tareas a grupos de incidentes automáticamente mediante reglas de automatización o cuadernos de estrategias y cuándo usar.
- Obtén información sobre cómo realizar un seguimiento de tus tareas.
- Obtenga más información sobre reglas de automatización y cómo crearlas.
- Obtenga más información sobre los cuadernos de estrategias y cómo crearlos.