利用 Microsoft Defender 入口網站中的任務,跨營運團隊協同調查並解決事件。 將事件拆解為可執行的任務,能提升營運效率並強化整個流程的問責。
本文說明任務的運作方式,以及如何利用任務管理 Microsoft Defender 入口網站中的事件。
任務運作方式
將調查拆解成明確且可執行的步驟,並分配給團隊。
使用任務特別適用於:
- 初級分析師入職
- 與託管安全服務供應商合作 (MSSP)
- 追蹤合規導向組織的工作
任務小組會介紹任務內容,並附有 Security Copilot 摘要、引導回應及報告,提供事件進展及解決事件所需行動的全面視圖。
分類、優先排序、指派並追蹤每項任務,以確保一致性、協作與責任感。 當你關閉一項任務時,加入結束筆記來記錄結果。 這些筆記支持詳盡的事後檢討,幫助團隊從每次調查中學習。
必要的權限
| 動作 | 必要的權限 |
|---|---|
| 檢視任務 | 唯讀權限或安全資料基礎 (在 Defender 入口網站的安全操作權限群組下讀取) 。 |
| 建立任務 | 所有讀取與管理權限 或 回應權限 (管理) ,皆可在 Defender 入口網站的安全 作業 權限群組中管理。 |
欲了解更多關於 Defender 入口網站統一 RBAC 的資訊,請參閱 Microsoft Defender 全面偵測回應 RBAC (統一角色基礎存取控制) 。
檢視與管理任務
查看和管理任務:
在 Defender 入口網站選單中,選擇 事件 & 提醒>事件以 開啟事件佇列。
從佇列中選擇一個事件。
選擇「任務」以開啟任務側面板,該面板列出所有與事件相關的任務及 Security Copilot 洞察。
要建立新任務,請選擇 新增任務。
填寫任務細節並選擇 儲存。
要更新任務狀態,請從任務預覽卡的 狀態 下拉選單中選擇狀態。
要編輯或刪除任務,請選擇省略號 (......) >編輯 或 刪除。
透過 Azure 入口網站自動化並同步在 Microsoft Sentinel 中建立的任務
當你將 Microsoft Sentinel 接入 Defender 入口網站時,Defender 入口網站會自動同步你使用 Azure 入口網站在 Sentinel 中建立的任務。
Defender 入口網站目前尚未支援自動建立任務,但你可以繼續使用任務自動化規則、Logic App Playbooks 或 Azure 中的 Incident Tasks REST API 來建立任務,這些任務會同步到 Defender 入口網站。