この記事では、SOC アナリストがインシデント タスクを使用して、Azure portal の Microsoft Sentinel でインシデント処理ワークフロー プロセスを管理する方法について説明します。
インシデント タスク は通常、上級アナリストまたは SOC マネージャーによって設定された自動化ルールまたはプレイブックによって自動的に作成されますが、下位レベルのアナリストは、インシデント内から直接、その場で手動で独自のタスクを作成できます。
特定のインシデントに対して実行する必要があるタスクの一覧をインシデントの詳細ページで確認し、完了としてマークすることができます。
さまざまなロールのユース ケース
この記事では、SOC アナリストに適用される次のシナリオについて説明します。
次のリンクのその他の記事では、SOC マネージャー、シニア アナリスト、自動化エンジニアにさらに適用されるシナリオについて説明します。
[前提条件]
Microsoft Sentinel レスポンダー ロールは、自動化ルールを作成したり、インシデントを表示および編集したりするために必要です。これらはどちらも、タスクの追加、表示、編集に必要です。
インシデント タスクの表示と追跡
[インシデント] ページで、一覧からインシデントを選択し、詳細パネルの [タスク] で [完全な詳細を表示] を選択するか、詳細パネルの下部にある [完全な詳細の表示] を選択します。
完全な詳細ページを入力することを選択した場合は、上部のバナーから [タスク] を選択します。
[ インシデント タスク ] パネルは、表示されていた画面の右側 (メイン インシデント ページまたはインシデントの詳細ページ) に表示されます。 このインシデントに対して定義されたタスクの一覧と、手動または自動化ルールまたはプレイブックのどちらによって作成されたかが表示されます。
![[インシデントの詳細] ページから見たインシデント タスク パネルを示すスクリーンショット。](media/work-with-tasks/incident-tasks-panel.png)
説明があるタスクには、展開矢印が付きます。 タスクを展開すると、その完全な説明が表示されます。
![[インシデント タスク] パネルのスクリーンショット。タスクの説明が展開されています。](media/work-with-tasks/incident-tasks-panel-with-descriptions.png)
タスク名の横にある円をマークして、タスクを完了させます。 チェック マークが円に表示され、タスクのテキストが淡色表示されます。上記のスクリーンショットの「ユーザー パスワードのリセット」の例を参照してください。
アドホック タスクをインシデントに手動で追加する
インシデントのタスク リストに、自分のタスクをその場で追加することもできます。 このタスクは、開いているインシデントにのみ適用されます。 これは、調査が新しい方向に進み、確認する必要がある新しいことを考える場合に役立ちます。 これらをタスクとして追加することで、それらを忘れなくなります。また、他のアナリストやマネージャーが恩恵を受けることができる、自分が行ったことの記録が確実に得られるようにします。
[インシデント タスク] パネルの上部にある [+ タスクの追加] を選択します。
タスクの タイトル を入力し、選択した場合は 説明 を入力します。
完了したら 、[保存] を選択します 。
タスク 一覧の下部に新しいタスクが表示されます。 手動で作成したタスクは、左側の境界線に異なる色の帯があり、タスクのタイトルと説明の下に名前が [作成者] として表示されることに注意してください。
次のステップ
- インシデント タスクの詳細を確認します。
- インシデントを調査する方法について説明します。
- 自動化ルールまたはプレイブックを使用して自動的にインシデントのグループにタスクを追加する方法と、そのグループを使用するタイミングについて説明します。
- タスクを追跡する方法について説明します。
- 自動化ルールとその作成方法の詳細について説明します。
- プレイブックの詳細と作成方法について説明します。