Opret hændelsesopgaver i Microsoft Sentinel ved hjælp af automatiseringsregler

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

I denne artikel forklares det, hvordan du bruger automatiseringsregler til at oprette lister over hændelsesopgaver for at standardisere arbejdsprocesser for analytikere i Microsoft Sentinel.

Hændelsesopgaver kan oprettes automatisk ikke kun af automatiseringsregler, men også af playbooks og også manuelt ad hoc fra en hændelse.

Use cases for forskellige roller

Denne artikel omhandler følgende scenarier, der gælder for SOC-ledere, senioranalytikere og automatiseringsteknikere:

Et andet sådant scenarie behandles i følgende medfølgende artikel:

En anden artikel med følgende links omhandler scenarier, der gælder mere for SOC-analytikere:

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Rollen Microsoft Sentinel Responder er påkrævet for at oprette automatiseringsregler og for at få vist og redigere hændelser, som begge er nødvendige for at tilføje, få vist og redigere opgaver.

Vis automatiseringsregler med handlinger for hændelsesopgave

På siden Automatisering kan du filtrere visningen af automatiseringsregler, så du kun kan se dem, hvor Tilføj opgavehandlinger er defineret.

Skærmbillede, der viser, hvordan du filtrerer gitter med automatiseringsregler.

  1. Vælg filteret Handlinger .

  2. Fjern markeringen i afkrydsningsfeltet Markér alle .

  3. Rul ned, og markér afkrydsningsfeltet Tilføj opgave .

  4. Vælg OK , og se resultaterne.

    Skærmbillede, der viser resultaterne af filteret i gitteret med automatiseringsregler.

    Dette er de automatiseringsregler, der føjer opgaver til hændelser. Kolonnen Navne på analyseregler fortæller dig, hvilke analyseregler disse automatiseringsregler er betinget af, så du har en generel idé om, hvilke hændelser der påvirkes.

    Bemærk!

    Hvis du vil have nøjagtigt kendskab til, om en automatiseringsregel gælder for en bestemt hændelse, skal du åbne reglen for at se, om der er defineret yderligere betingelser ud over betingelsen for analysereglen. Hvis der er defineret andre betingelser, begrænses omfanget af de berørte hændelser tilsvarende.

Føj opgaver til hændelser med automatiseringsregler

  1. På siden Automatisering skal du vælge + Opret og vælge Automatiseringsregel.

  2. Panelet Opret ny automatiseringsregel åbnes i højre side.
    Giv din automatiseringsregel et navn, der beskriver, hvad den gør.

  3. Vælg Når hændelse oprettes som udløser (du kan også bruge Når hændelse opdateres).

  4. Tilføj betingelser for at bestemme, hvilke hændelser nye opgaver skal føjes til.

    Filtrer f.eks. efter navn på analytics-regel:

    • Det kan være en god idé at føje opgaver til hændelser baseret på de typer trusler, der registreres af en analyseregel eller en gruppe analyseregler, der skal håndteres i henhold til en bestemt arbejdsproces. Søg efter og vælg de relevante analyseregler på rullelisten.

    • Du kan også tilføje opgaver, der er relevante for hændelser på tværs af alle typer trusler (i dette tilfælde skal du lade standardvalget af Alle være, som det er).

    I begge tilfælde kan du tilføje flere betingelser for at indsnævre omfanget af hændelser, som din automatiseringsregel gælder for. Få mere at vide om tilføjelse af avancerede betingelser til automatiseringsregler.

    En ting, du skal overveje, er, at den rækkefølge, som opgaver vises i i din hændelse, bestemmes af opgavernes oprettelsestid. Du kan angive rækkefølgen af automatiseringsregler, så regler, der tilføjer opgaver, der kræves for alle hændelser, kører først og først derefter eventuelle regler, der tilføjer opgaver, der kræves for hændelser, der genereres af specifikke analyseregler.

    Skærmbillede af første del af guiden til automatisering af regler.

  5. Under Handlinger skal du vælge Tilføj opgave.

    Skærmbillede af valg af handlingen Tilføj opgave i en automatiseringsregel.

  6. For hver opgave skal du angive en titel i feltet Opgavetitel og derefter (eventuelt) vælge + Tilføj beskrivelse for at åbne et beskrivelsesfelt.
    Det er kun opgavetitler, der vises som standard i panelet med opgavelisten for hændelsen. En opgaves beskrivelse vises kun, når opgaveelementet er udvidet.

    Skærmbillede, der viser, hvordan du føjer en titel og en beskrivelse til en opgave.

  7. I beskrivelsesfeltet kan du tilføje en beskrivelse af opgaven i frihåndsformat, herunder billeder, links og RTF-formatering (se linkene, nummererede lister og kodeblokeret tekst i nedenstående eksempler).

    Skærmbillede, der viser, hvordan du føjer en beskrivelse til en opgave.

  8. Føj flere opgaver til den samme gruppe af hændelser ved at vælge + Tilføj handling og gentage de sidste tre trin.

    Opgaver oprettes og føjes til hændelsen i henhold til rækkefølgen for Tilføj opgavehandlinger i din automatiseringsregel.

    Skærmbillede, der viser, hvordan du føjer flere opgaver til en automatiseringsregel.

  9. Afslut oprettelsen af automatiseringsreglen ved at fuldføre de resterende trin, Udløb af regel og Rækkefølge og vælge Anvend til sidst. Se Opret og brug Microsoft Sentinel automatiseringsregler til at administrere svar for at få flere oplysninger.

    Med hensyn til indstillingen Ordre : Den rækkefølge, som opgaver vises i i dine hændelser, afhænger af to ting:

    1. Rækkefølgen af udførelsen af automatiseringsreglerne i forhold til antallet i indstillingen Ordre og...
    2. Rækkefølgen af handlingerne Tilføj opgave , der er defineret i hver automatiseringsregel.

Næste trin

  • Last updated on