Erstellen von Incidenttasks in Microsoft Sentinel mithilfe von Automatisierungsregeln

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird erläutert, wie Sie Mithilfe von Automatisierungsregeln Listen von Incidentaufgaben erstellen, um Analystenworkflowprozesse in Microsoft Sentinel zu standardisieren.

Incidenttasks können automatisch nicht nur durch Automatisierungsregeln, sondern auch durch Playbooks und auch manuell ad-hoc aus einem Incident erstellt werden.

Anwendungsfälle für verschiedene Rollen

In diesem Artikel werden die folgenden Szenarien behandelt, die für SOC-Manager, Senior Analysts und Automatisierungsingenieure gelten:

Ein weiteres szenario dieser Art wird im folgenden Begleitartikel behandelt:

In einem weiteren Artikel unter den folgenden Links werden Szenarien behandelt, die mehr für SOC-Analysten gelten:

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Die rolle "Microsoft Sentinel Responder" ist erforderlich, um Automatisierungsregeln zu erstellen und Incidents anzuzeigen und zu bearbeiten, die beide zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich sind.

Anzeigen von Automatisierungsregeln mit Incidenttaskaktionen

Auf der Seite Automatisierung können Sie die Ansicht von Automatisierungsregeln filtern, um nur diejenigen anzuzeigen, für die Aufgabenaktionen hinzufügen definiert sind.

Screenshot: Filtern des Rasters für Automatisierungsregeln

  1. Wählen Sie den Filter Aktionen aus.

  2. Heben Sie die Markierung des Kontrollkästchens Alles auswählen auf.

  3. Scrollen Sie nach unten, und markieren Sie das Kontrollkästchen Aufgabe hinzufügen .

  4. Wählen Sie OK aus, und sehen Sie sich die Ergebnisse an.

    Screenshot: Ergebnisse des Filters im Raster für Automatisierungsregeln.

    Dies sind die Automatisierungsregeln, die Incidents Aufgaben hinzufügen. In der Spalte Analytics-Regelnamen erfahren Sie, auf welche Analyseregeln diese Automatisierungsregeln bedingte Analyseregeln sind, sodass Sie eine allgemeine Vorstellung davon haben, welche Incidents betroffen sind.

    Hinweis

    Wenn Sie genau wissen möchten, ob eine Automatisierungsregel auf einen bestimmten Incident angewendet wird, müssen Sie die Regel öffnen, um festzustellen, ob neben der Analyseregelbedingung weitere Bedingungen definiert sind. Wenn andere Bedingungen definiert sind, wird der Umfang der betroffenen Vorfälle entsprechend eingeschränkt.

Hinzufügen von Aufgaben zu Incidents mit Automatisierungsregeln

  1. Wählen Sie auf der Seite Automatisierungdie Option + Erstellen und dann Automatisierungsregel aus.

  2. Der Bereich Neue Automatisierungsregel erstellen wird auf der rechten Seite geöffnet.
    Geben Sie Ihrer Automatisierungsregel einen Namen, der ihre Funktionsweise beschreibt.

  3. Wählen Sie When incident is created (When incident is created ) als Trigger aus (Sie können auch When incident is updated ( When incident is updated ) verwenden.

  4. Fügen Sie Bedingungen hinzu, um zu bestimmen, zu welchen Incidents neue Aufgaben hinzugefügt werden.

    Filtern Sie beispielsweise nach Dem Namen der Analyseregel:

    • Möglicherweise möchten Sie Incidents Aufgaben basierend auf den Arten von Bedrohungen hinzufügen, die von einer Analyseregel oder einer Gruppe von Analyseregeln erkannt werden, die gemäß einem bestimmten Workflow behandelt werden müssen. Suchen Sie in der Dropdownliste nach den relevanten Analyseregeln, und wählen Sie sie aus.

    • Oder Sie möchten Aufgaben hinzufügen, die für Incidents für alle Arten von Bedrohungen relevant sind (in diesem Fall behalten Sie die Standardauswahl Alle unverändert bei).

    In beiden Fällen können Sie weitere Bedingungen hinzufügen, um den Bereich der Vorfälle einzugrenzen, auf die Ihre Automatisierungsregel angewendet wird. Erfahren Sie mehr über das Hinzufügen erweiterter Bedingungen zu Automatisierungsregeln.

    Eine Sache, die Sie berücksichtigen müssen, ist, dass die Reihenfolge, in der Aufgaben in Ihrem Incident angezeigt werden, durch die Erstellungszeit der Aufgaben bestimmt wird. Sie können die Reihenfolge der Automatisierungsregeln so festlegen, dass Regeln, die aufgaben hinzufügen, die für alle Incidents erforderlich sind, zuerst und erst danach alle Regeln ausgeführt werden, die für Incidents erforderlich sind, die von bestimmten Analyseregeln generiert werden.

    Screenshot des ersten Teils des Automatisierungsregel-Assistenten.

  5. Wählen Sie unter Aktionen die Option Aufgabe hinzufügen aus.

    Screenshot: Auswählen der Aktion

  6. Geben Sie für jeden Vorgang einen Titel in das Feld Vorgangstitel ein, und wählen Sie dann (optional) + Beschreibung hinzufügen aus, um ein Beschreibungsfeld zu öffnen.
    Im Aufgabenlistenbereich des Incidents werden standardmäßig nur Aufgabentitel angezeigt. Die Beschreibung eines Vorgangs wird nur angezeigt, wenn das Aufgabenelement erweitert wird.

    Screenshot: Hinzufügen eines Titels und einer Beschreibung zu einer Aufgabe

  7. Im Beschreibungsfeld können Sie eine Freiformbeschreibung für die Aufgabe hinzufügen, einschließlich Bildern, Links und Rich-Text-Formatierung (siehe Links, nummerierte Listen und Codeblock-formatierter Text in den beispielen unten).

    Screenshot: Hinzufügen einer Beschreibung zu einer Aufgabe

  8. Fügen Sie der gleichen Gruppe von Vorfällen weitere Aufgaben hinzu, indem Sie + Aktion hinzufügen auswählen und die letzten drei Schritte wiederholen.

    Aufgaben werden erstellt und dem Incident entsprechend der Reihenfolge der Aufgabenaktionen hinzufügen in Ihrer Automatisierungsregel hinzugefügt.

    Screenshot: Hinzufügen weiterer Aufgaben zu einer Automatisierungsregel

  9. Schließen Sie die Erstellung der Automatisierungsregel ab, indem Sie die verbleibenden Schritte ausführen, Regelablauf und Reihenfolge, und wählen Sie am Ende Übernehmen aus. Ausführliche Informationen finden Sie unter Erstellen und Verwenden Microsoft Sentinel Automatisierungsregeln zum Verwalten der Antwort.

    Hinsichtlich der Einstellung Reihenfolge : Die Reihenfolge, in der Aufgaben in Ihren Vorfällen angezeigt werden, hängt von zwei Dingen ab:

    1. Die Ausführungsreihenfolge der Automatisierungsregeln, die durch die Zahl in der Einstellung Reihenfolge bestimmt wird, und...
    2. Die Reihenfolge der Aufgabenaktionen hinzufügen , die in jeder Automatisierungsregel definiert sind.

Nächste Schritte

  • Last updated on