本文說明 SOC 分析師如何使用事件工作來管理其在 Azure 入口網站中Microsoft Sentinel 中的事件處理工作流程程式。
事件任務通常是由資深分析師或SOC經理所設定的自動化規則或劇本自動建立,但較低層分析師也可以立即在事件內現場手動建立自己的任務。
您可以在 [事件詳細數據] 頁面上查看您需要針對特定事件執行的工作清單,並在您執行時將它們標示為完成。
不同角色的使用案例
本文說明適用於SOC分析師的下列案例:
下列連結的其他文章說明更多適用於SOC經理、資深分析師和自動化工程師的案例:
先決條件
必須具備「Microsoft Sentinel 回應者」角色才能建立自動話規則並檢視和編輯事件,兩者都是新增、檢視和編輯工作的必要權限。
檢視並追蹤事件任務
在 [事件] 頁面中,從清單中選取事件,然後選取 [詳細數據] 面板中 [工作] 底下的 [檢視完整詳細數據],或選取詳細數據面板底部的 [檢視完整詳細數據]。
![從主要事件畫面上的 [事件資訊] 面板輸入工作面板的鏈接螢幕快照。](media/work-with-tasks/tasks-from-incident-info-panel.png)
如果您選擇進入完整詳細資料頁面,請從頂端選單選取工作。
![顯示 [事件詳細數據] 畫面的螢幕快照,並開啟工作面板。](media/work-with-tasks/incident-details-screen.png)
[ 事件工作 ] 面板會在您所在的畫面右側開啟(主要事件頁面或事件詳細數據頁面)。 您會看到針對此事件所定義的工作清單,以及由誰或透過何種方式建立—無論是手動建立,還是透過自動化規則或劇本。
具有描述的工作將會以展開箭號標示。 展開任務以查看其完整描述。
標記任務名稱旁的圓形,以標示工作完成。 複選標記會出現在圓形中,工作文字會呈現灰色。請參閱上述螢幕快照中的「重設用戶密碼」範例。
![顯示 [事件詳細數據] 畫面的螢幕快照,並開啟工作面板。](media/work-with-tasks/incident-details-screen.png#lightbox)
手動將臨時任務加入事件
您也可以立即將任務自行新增至事件的任務清單。 此工作只適用於開啟的事件。 這能幫助您的調查朝新的方向前進,並讓您想到需要檢查的新事物。 將這些新增為工作可確保您不會忘記執行這些工作,而且會有您所做的記錄,其他分析師和經理可以從中受益。
從 [事件工作] 面板頂端選取 [+ 新增工作]。
為您的工作輸入標題,並在需要時輸入描述。
完成時選取 [ 儲存 ]。
在工作清單底部查看您的新工作。 請注意,手動建立的工作在左框線上有不同的色彩帶,而且您的名稱會顯示為 [建立者]: 在工作標題和描述底下。
