Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
En af de vigtigste faktorer til at køre dine sikkerhedshandlinger (SecOps) effektivt er standardisering af processer. SecOps-analytikere forventes at udføre en liste over trin eller opgaver i gang med at opsøge, undersøge eller afhjælpe en hændelse. Standardisering og formalisering af listen over opgaver kan hjælpe med at sikre, at din SOC kører problemfrit, så de samme krav gælder for alle analytikere. På denne måde, uanset hvem der er på vagt, vil en hændelse altid få den samme behandling og SLA'er. Analytikere behøver ikke at bruge tid på at tænke over, hvad de skal gøre, eller bekymre sig om at gå glip af et kritisk trin. Disse trin defineres af SOC-lederen eller overordnede analytikere (niveau 2/3) baseret på fælles sikkerhedsviden (f.eks. NIST), deres erfaring med tidligere hændelser eller anbefalinger fra sikkerhedsleverandøren, der har registreret hændelsen.
Use cases
Dine SOC-analytikere kan bruge en enkelt central tjekliste til at håndtere processerne for hændelsestjek, undersøgelse og svar – alt sammen uden at skulle bekymre sig om at gå glip af et kritisk trin.
Dine SOC-teknikere eller overordnede analytikere kan dokumentere, opdatere og justere standarderne for svar på hændelser på tværs af analytikernes teams og vagter. De kan også oprette kontrollister med opgaver for at oplære nye analytikere eller analytikere, der støder på nye typer hændelser.
Som SOC-leder eller som MSSP kan du sikre, at hændelser håndteres i overensstemmelse med de relevante SLA'er/SSP'er.
Forudsætninger
Rollen Microsoft Sentinel Responder er påkrævet for at oprette automatiseringsregler og for at få vist og redigere hændelser, som begge er nødvendige for at tilføje, få vist og redigere opgaver.
Rollen Logic Apps Contributor er påkrævet for at oprette og redigere playbooks.
Scenarier
Analytiker
Følg opgaver, når du håndterer en hændelse
Når du vælger en hændelse og Få vist alle detaljer, kan du på siden med oplysninger om hændelsen se alle de opgaver, der er føjet til hændelsen, i panelet til højre, uanset om det er manuelt eller efter automatiseringsregler.
Udvid en opgave for at se dens fulde beskrivelse, herunder brugeren, automatiseringsreglen eller den playbook, den blev oprettet i.
Markér en opgave som fuldført ved at markere dens cirkel med "afkrydsningsfelt".
Føj opgaver til en hændelse på stedet
Du kan føje opgaver til en åben hændelse, som du arbejder på, enten for at give dig selv påmindelser om handlinger, du har opdaget et behov for at udføre, eller for at registrere handlinger, du har taget på eget initiativ, som ikke vises på opgavelisten. Opgaver, der tilføjes på denne måde, gælder kun for den åbne hændelse.
Opretter af arbejdsproces
Føj opgaver til hændelser med automatiseringsregler
Brug handlingen Tilføj opgave i automatiseringsregler til automatisk at give alle hændelser en tjekliste over opgaver til dine analytikere. Angiv navnebetingelsen for Analytics-reglen i din automatiseringsregel for at bestemme omfanget:
Anvend automatiseringsreglen på alle analyseregler for at definere et standardsæt af opgaver, der skal anvendes på alle hændelser.
Ved at anvende din automatiseringsregel på et begrænset sæt analyseregler kan du tildele bestemte opgaver til bestemte hændelser i henhold til de trusler, der registreres af analysereglen eller de regler, der genererede disse hændelser.
Overvej, at den rækkefølge, som opgaver vises i i din hændelse, bestemmes af opgavernes oprettelsestid. Du kan angive rækkefølgen af automatiseringsregler, så regler, der tilføjer opgaver, der kræves for alle hændelser, kører først og først derefter eventuelle regler, der tilføjer opgaver, der kræves for hændelser, der genereres af specifikke analyseregler. I en enkelt regel styrer den rækkefølge, som handlingerne er defineret i, den rækkefølge, som de vises i i en hændelse.
Se, hvilke hændelser der er omfattet af eksisterende automatiseringsregler og -opgaver, før du opretter en ny automatiseringsregel.
Brug filteret Handling på listen Automatiseringsregler til kun at se de regler, der føjer opgaver til hændelser, og se, hvilke analyseregler disse automatiseringsregler gælder for, for at forstå, hvilke hændelser disse opgaver føjes til.
Føj opgaver til hændelser med playbooks
Brug handlingen Tilføj opgave i en playbook (i den Microsoft Sentinel connector) til automatisk at føje en opgave til den hændelse, der udløste playbooken.
Brug derefter andre handlinger i playbooken – i deres respektive Logic Apps-connectors – til at fuldføre indholdet af opgaven.
Til sidst skal du bruge handlingen Markér opgaven som fuldført (igen i Microsoft Sentinel connector) til automatisk at markere opgaven som fuldført.
Se følgende scenarier som eksempler:
Lad playbooks tilføje og udføre opgaver: Når der oprettes en hændelse, udløser den en playbook, der gør følgende:
- Føjer en opgave til hændelsen for at nulstille en brugers adgangskode.
- Udfører opgaven ved at udstede et API-kald til brugerens klargøringssystem for at nulstille brugerens adgangskode.
- Afventer et svar fra systemet om, om nulstillingen lykkedes eller mislykkedes.
- Hvis nulstillingen af adgangskoden lykkedes, markerer playbooken den opgave, den netop har oprettet i hændelsen, som fuldført.
- Hvis nulstillingen af adgangskoden mislykkedes, markerer playbooken ikke opgaven som fuldført, og det overlades til en analytiker at udføre.
Lad playbook evaluere, om betingede opgaver skal tilføjes: Når der oprettes en hændelse, udløser den en playbook, der anmoder om en IP-adresserapport fra en ekstern trusselsintelligenskilde.
- Hvis IP-adressen er skadelig, tilføjer playbook en bestemt opgave (f.eks. "Bloker denne IP-adresse").
- Ellers tager playbook ikke yderligere handling.
Brug automatiseringsregler eller strategibøger til at tilføje opgaver?
Hvilke overvejelser skal diktere, hvilke af disse metoder der skal bruges til at oprette hændelsesopgaver?
- Automatiseringsregler: Bruges, når det er muligt. Bruges til almindelige, statiske opgaver, der ikke kræver interaktivitet.
- Playbooks: Bruges til avancerede use cases – oprettelse af opgaver baseret på betingelser eller af opgaver med integrerede automatiserede handlinger.
Næste trin
- Få mere at vide om, hvordan analytikere kan bruge opgaver til at håndtere hændelsesarbejdsproces i Microsoft Sentinel.
- Få mere at vide om undersøgelse af hændelser i Microsoft Sentinel.
- Få mere at vide om, hvordan du automatisk føjer opgaver til grupper af hændelser ved hjælp af automatiseringsregler eller playbooks.
- Få mere at vide om automatiseringsregler , og hvordan du opretter dem.
- Få mere at vide om strategibøger , og hvordan du opretter dem.