Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hændelsesopgaver sikrer omfattende og ensartet behandling af hændelser på tværs af alle SOC-medarbejdere. Opgavelister defineres typisk i henhold til de bestemmelser, der er foretaget af overordnede analytikere eller SOC-ledere, og anvendes i praksis ved hjælp af automatiseringsregler eller playbooks.
Dine analytikere kan se en liste over de opgaver, de skal udføre for en bestemt hændelse på siden med oplysninger om hændelser, og markere dem som fuldførte, efterhånden som de fortsætter. Analytikere kan også oprette deres egne opgaver på stedet manuelt direkte fra hændelsen.
I denne artikel forklares det, hvordan du som SOC-leder kan overvåge historikken for Microsoft Sentinel hændelsesopgaver og spore de ændringer, der er foretaget af dem i hele deres livscyklus, for at måle effektiviteten af dine opgaveopgaver og deres bidrag til din SOC's effektivitet og funktion.
Strukturen af matrixen Opgaver i tabellen SecurityIncident
Tabellen SecurityIncident er en overvågningstabel – den gemmer ikke hændelserne selv, men snarere registrerer en hændelses levetid: dens oprettelse og eventuelle ændringer af den. Hver gang der oprettes en hændelse, eller der foretages en ændring af en hændelse, genereres der en post i denne tabel, der viser hændelsens nu aktuelle tilstand.
Tilføjelsen af opgavedetaljer til skemaet i denne tabel giver dig mulighed for at overvåge opgaver mere detaljeret.
De detaljerede oplysninger, der føjes til feltet Opgaver , består af nøgleværdipar med følgende struktur:
| Nøgle | Værdibeskrivelse |
|---|---|
| createdBy | Den identitet, der oprettede opgaven: - mail: identitetens mailadresse - navn: navn på identiteten - objectId: GUID for identiteten - userPrincipalName: IDENTITETENS UPN |
| createdTimeUtc | Det tidspunkt, hvor opgaven blev oprettet, i UTC. |
| lastCompletedTimeUtc | Det tidspunkt, hvor opgaven blev markeret som fuldført i UTC. |
| lastModifiedBy | Den identitet, der senest ændrede opgaven: - mail: identitetens mailadresse - navn: navn på identiteten - objectId: GUID for identiteten - userPrincipalName: IDENTITETENS UPN |
| lastModifiedTimeUtc | Det tidspunkt, hvor opgaven sidst blev ændret i UTC. |
| Status | Aktuel status for opgaven: Ny, Fuldført, Slettet. |
| opgave-id | Opgavens ressource-id. |
| Titel | Brugervenligt navn, som forfatteren har givet opgaven. |
Få vist hændelsesopgaver i tabellen SecurityIncident
Ud over projektmappen Hændelsesopgaver kan du overvåge opgaveaktivitet ved at forespørge tabellen SecurityIncident i Logge. I resten af denne artikel kan du se, hvordan du gør det, samt hvordan du læser og forstår forespørgselsresultaterne for at få oplysninger om opgaveaktivitet.
På siden Logge skal du angive følgende forespørgsel i forespørgselsvinduet og køre den. Denne forespørgsel returnerer alle hændelser, der har tildelte opgaver.
SecurityIncident | where array_length( Tasks) > 0Du kan føje et vilkårligt antal sætninger til forespørgslen for at filtrere og indsnævre resultaterne. For at vise, hvordan du får vist og forstår resultaterne, tilføjer vi sætninger for at filtrere resultaterne, så vi kun kan se opgaverne for en enkelt hændelse, og vi tilføjer også en
projectsætning, så vi kun kan se de felter, der vil være nyttige til vores formål, uden en masse rod.Du kan få flere oplysninger i Oversigt over Kusto-forespørgselssprog.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksLad os se på den seneste post for denne hændelse og finde listen over opgaver, der er knyttet til den.
Vælg udvidelsesprogrammet ud for den øverste række i forespørgselsresultaterne (som er sorteret i faldende rækkefølge efter recency).
Feltet Opgaver er en matrix af den aktuelle tilstand for alle opgaver i denne hændelse. Vælg udvidelsesprogrammet for at få vist hvert element i matrixen i sin egen række.
Nu kan du se, at der er to opgaver i denne hændelse. Hver enkelt repræsenteres igen af en matrix, der kan udvides. Vælg en enkelt opgaves udvidelsesprogram for at få vist oplysningerne.
Her kan du se detaljerne for den første opgave i matrixen ("0", der er indekspositionen for opgaven i matrixen). I titelfeltet vises navnet på opgaven som vist i hændelsen.
Vis opgaver, der er føjet til listen
Lad os føje en opgave til hændelsen, og så kommer vi tilbage hertil, kører forespørgslen igen og ser ændringerne i resultaterne.
Angiv nummeret på hændelses-id'et på søgelinjen på siden Hændelser .
Åbn siden med oplysninger om hændelser, og vælg Opgaver på værktøjslinjen.
Tilføj en ny opgave, giv den navnet "Denne opgave er en testopgave!", og vælg derefter Gem. Den sidste opgave, der vises nedenfor, er det, du skal ende med:
Lad os nu gå tilbage til siden Logge og køre forespørgslen igen.
I resultaterne kan du se, at der er en ny post i tabellen for den samme hændelse (bemærk tidsstemplet). Udvid posten, så kan du se, at mens den post, vi så før, havde to opgaver i matrixen Opgaver , har den nye tre. Den nyeste opgave er den, vi lige har tilføjet, som du kan se ved dens titel.
Vis statusændringer af opgaver
Hvis vi nu går tilbage til den nye opgave på siden med oplysninger om hændelser og markerer den som fuldført og derefter vender tilbage til Logge og kører forespørgslen igen, får vi vist endnu en ny post for den samme hændelse, som denne gang viser opgavens nye status som Fuldført.
Vis sletning af opgaver
Lad os gå tilbage til opgavelisten på siden med oplysninger om hændelser og slette den opgave, vi tilføjede tidligere.
Når vi vender tilbage til Logge og kører forespørgslen igen, får vi vist en anden ny post, kun denne gang status for vores opgave – den med titlen "Denne opgave er en testopgave!" – slettes.
Men når opgaven vises en gang i matrixen (med statussen Slettet ), vises den ikke længere i matrixen Opgaver i nye poster for den pågældende hændelse i tabellen SecurityIncident . De eksisterende poster, som vi så ovenfor, vil fortsat bevare beviserne for, at denne opgave engang fandtes.
Få vist aktive opgaver, der hører til en lukket hændelse
I følgende forespørgsel kan du se, om en hændelse blev lukket, men ikke alle dens tildelte opgaver blev fuldført. Denne viden kan hjælpe dig med at bekræfte, at eventuelle resterende løse ender i undersøgelsen blev afsluttet – alle relevante parter blev underrettet, alle kommentarer blev indtastet, alle svar blev bekræftet osv.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| sort by lastModifiedTimeUtc desc
Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:
- where-operator
- projektoperatør
- sorteringsoperator
- opsummeringsoperator
- arg_max() sammenlægningsfunktion
Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).
Andre ressourcer:
Næste trin
- Få mere at vide om hændelsesopgaver.
- Få mere at vide om, hvordan du undersøger hændelser.
- Få mere at vide om, hvordan du føjer opgaver til grupper af hændelser automatisk ved hjælp af automatiseringsregler eller playbooks, og hvornår du skal bruge hvilke.
- Få mere at vide om automatiseringsregler , og hvordan du opretter dem.
- Få mere at vide om strategibøger , og hvordan du opretter dem.