Trabalhar com tarefas de incidentes no Microsoft Sentinel no portal do Azure

Este artigo explica como os analistas SOC podem usar tarefas de incidentes para gerenciar seus processos de fluxo de trabalho de tratamento de incidentes no Microsoft Sentinel no portal do Azure.

As tarefas de incidentes geralmente são criadas automaticamente por regras de automação ou playbooks configurados por analistas seniores ou gerentes de SOC, mas os analistas de nível inferior podem criar suas próprias tarefas no local, manualmente, diretamente do incidente.

Você pode ver a lista de tarefas que precisa executar para um incidente específico na página de detalhes do incidente e marcá-las como concluídas à medida que avança.

Casos de uso para diferentes funções

Este artigo aborda os seguintes cenários, que se aplicam aos analistas SOC:

• Ver e seguir tarefas de incidente
• Adicionar manualmente uma tarefa ad-hoc a um incidente

Outros artigos nos links a seguir abordam cenários que se aplicam mais a gerentes de SOC, analistas seniores e engenheiros de automação:

• Exibir regras de automação com ações de tarefas incidentes
• Adicionar tarefas a incidentes com regras de automação
• Adicionar tarefas a incidentes com manuais de procedimentos

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para criar regras de automação e para exibir e editar incidentes, ambos necessários para adicionar, exibir e editar tarefas.

Visualizar e acompanhar tarefas de incidentes

1. Na página Incidentes , selecione um incidente na lista e selecione Exibir detalhes completos em Tarefas no painel de detalhes ou selecione Exibir detalhes completos na parte inferior do painel de detalhes.

   

2. Se você optou por inserir a página de detalhes completos, selecione Tarefas no banner superior.

   

3. O painel Tarefas de incidentes será aberto no lado direito da tela em que você estava (a página principal de incidentes ou a página de detalhes do incidente). Você verá a lista de tarefas definidas para esse incidente, juntamente com como ou por quem ele foi criado - seja manualmente ou por uma regra de automação ou um manual.

   

4. As tarefas com descrições serão marcadas com uma seta de expansão. Expanda uma tarefa para ver a descrição completa.

   

5. Marque uma tarefa concluída marcando o círculo ao lado do nome da tarefa. Uma marca de seleção aparecerá no círculo e o texto da tarefa ficará acinzentado. Veja o exemplo "Redefinir senha do usuário" nas capturas de tela acima.

Adicionar manualmente uma tarefa ad-hoc a um incidente

Você também pode adicionar tarefas para si, imediatamente, à lista de tarefas de um incidente. Esta tarefa aplicar-se-á apenas ao incidente em aberto. Isso ajuda se a sua investigação o levar a novas direções e pensar em novas coisas que precisa verificar. Adicioná-las como tarefas garante que você não se esqueça de fazê-las, e que haverá um registro do que você fez, do qual outros analistas e gerentes podem se beneficiar.

1. Selecione + Adicionar tarefa na parte superior do painel Tarefas de incidente .

   

2. Introduza um Título para a sua tarefa e uma Descrição, se assim o desejar.

   

3. Selecione Salvar quando terminar.

   

4. Veja a sua nova tarefa na parte inferior da lista de tarefas. Observe que as tarefas criadas manualmente têm uma faixa de cores diferente na borda esquerda e que seu nome aparece como Criado por: sob o título e a descrição da tarefa.

   

Próximos passos

• Saiba mais sobre tarefas incidentes.
• Saiba como investigar incidentes.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente usando regras de automação ou playbooks e quando usar quais.
• Saiba mais sobre como acompanhar suas tarefas.
• Saiba mais sobre regras de automação e como criá-las.
• Saiba mais sobre playbooks e como criá-los.