Tapaustehtävien luominen Microsoft Sentinel automaatiosääntöjen avulla

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tässä artikkelissa kerrotaan, miten voit automatisointisääntöjen avulla luoda tapahtumatehtävien luetteloita, jotta analyytikkojen työnkulkuprosessit voidaan yhdenmukaistaa Microsoft Sentinel.

Tapaustehtävät voidaan luoda automaattisesti automaatiosääntöjen lisäksi myös pelikirjojen avulla, ja myös manuaalisesti ad-hoc-tapausten avulla tapahtuman sisältä.

Eri roolien käyttötapaukset

Tässä artikkelissa käsitellään seuraavia skenaarioita, jotka koskevat SOC:n johtajia, johtavia analyytikoita ja automaatio-insinöörejä:

Toinen tällainen skenaario on käsitelty seuraavassa kumppaniartikkelissa:

Seuraavassa artikkelissa käsitellään skenaarioita, jotka koskevat enemmän SOC-analyytikoita:

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Microsoft Sentinel Vastaaja -rooli vaaditaan automaatiosääntöjen luomiseen sekä tapausten tarkastelemiseen ja muokkaamiseen. Ne molemmat ovat välttämättömiä tehtävien lisäämiseen, tarkastelemiseen ja muokkaamiseen.

Automaatiosääntöjen tarkasteleminen tapaustehtävän toimilla

Automaatio-sivulla voit suodattaa automaatiosääntöjen näkymän niin, että näet vain ne, joille on määritetty Lisää tehtävä -toimintoja.

Näyttökuva, jossa näytetään, miten automaatiosääntöjen ruudukko suodatetaan.

  1. Valitse Toiminnot-suodatin .

  2. Poista Valitse kaikki -valintaruudun valintamerkki.

  3. Vieritä alaspäin ja merkitse Lisää tehtävä -valintaruutu.

  4. Valitse OK ja katso tulokset.

    Näyttökuva, joka näyttää suodattimen tulokset automaatiosääntöjen ruudukossa.

    Nämä automaatiosäännöt lisäävät tehtäviä tapauksiin. Analytiikan sääntöjen nimet -sarake kertoo, mille analytiikkasäännöille nämä automaatiosäännöt on ehtona, joten saat yleisen käsityksen siitä, mihin tapauksiin tämä vaikuttaa.

    Huomautus

    Jotta saat tarkan tiedon siitä, sovelletaanko automaatiosääntöä tiettyyn tapahtumaan, sinun on avattava sääntö nähdäksesi, onko muita ehtoja määritetty analytiikkasäännön ehdon lisäksi. Jos muita ehtoja määritetään, kyseessä olevien tapausten laajuutta kavennetaan vastaavasti.

Tehtävien lisääminen tapauksiin, joissa on automaatiosääntöjä

  1. Valitse Automaatio-sivulla+ Luo ja valitse Automaatiosääntö.

  2. Luo uusi automaatiosääntö -paneeli avautuu oikealle puolelle.
    Anna automaatiosäännölle nimi, joka kuvaa, mitä se tekee.

  3. Valitse Käynnistimeksi Kun tapaus luodaan (voit käyttää myös Kun tapaus päivitetään).

  4. Lisää ehdot sen määrittämiseksi, mihin tapauksiin uusia tehtäviä lisätään.

    Suodata esimerkiksi Analytiikka-säännön nimen mukaan:

    • Haluat ehkä lisätä tehtäviä tapauksiin analytiikkasäännön tai analytiikkasääntöjen havaitsemien uhkien tyyppien perusteella, jotka on käsiteltävä tietyn työnkulun mukaan. Etsi ja valitse tarvittavat analytiikkasäännöt avattavasta luettelosta.

    • Voit myös lisätä tehtäviä, jotka ovat olennaisia kaikentyyppisten uhkien tapauksille (jätä tässä tapauksessa oletusvalinnaksi Kaikki sellaisenaan).

    Kummassakin tapauksessa voit lisätä ehtoja, jotta voit rajata sellaisten tapausten laajuutta, joihin automaatiosääntöäsi sovelletaan. Lue lisätietoja kehittyneiden ehtojen lisäämisestä automaatiosääntöihin.

    Yksi asia, joka sinun on otettava huomioon, on, että tehtävien järjestys, jossa tehtävät näkyvät tapahtumassasi, määräytyy tehtävien luontiajan mukaan. Voit määrittää automaatiosääntöjen järjestyksen siten, että säännöt, jotka lisäävät kaikkiin tapauksiin tarvittavia tehtäviä, suoritetaan ensin ja vasta sen jälkeen kaikki säännöt, jotka lisäävät tiettyjen analyysisääntöjen luomiin tapauksiin tarvittavia tehtäviä.

    Näyttökuva automaatiosäännön ohjatun toiminnon ensimmäisestä osasta.

  5. Valitse Toiminnot-kohdastaLisää tehtävä.

    Näyttökuva Lisää tehtävä -toiminnon valitsemisesta automaatiosäännössä.

  6. Kirjoita kullekin tehtävälle otsikko Tehtävän otsikko -kenttään ja avaa kuvauskenttä valitsemalla (valinnaisesti) + Lisää kuvaus .
    Vain tehtävien otsikot näkyvät oletusarvoisesti tapauksen tehtäväluettelopaneelissa. Tehtävän kuvaus tulee näkyviin vain, kun tehtävän kohde laajennetaan.

    Näyttökuva, jossa näytetään, miten tehtävään lisätään otsikko ja kuvaus.

  7. Kuvaus-kenttään voit lisätä vapaamuotoisen kuvauksen tehtävälle, mukaan lukien kuvat, linkit ja RTF-muotoilun (katso hyperlinkit, numeroidut luettelot ja koodilohkomuotoinen teksti alla olevissa esimerkeissä).

    Näyttökuva, jossa näytetään, miten tehtävään lisätään kuvaus.

  8. Lisää tehtäviä samaan tapahtumaryhmään valitsemalla + Lisää toiminto ja toistamalla kolme viimeistä vaihetta.

    Tehtävät luodaan ja lisätään tapahtumaan automaatiosäännön Lisää tehtävä -toimintojen järjestyksen mukaisesti.

    Näyttökuva, jossa näytetään, miten voit lisätä tehtäviä automaatiosääntöön.

  9. Viimeistele automaatiosäännön luominen suorittamalla jäljellä olevat vaiheet, säännön vanhentuminen ja järjestys ja valitsemalla lopuksi Käytä . Lisätietoja on artikkelissa Microsoft Sentinel automatisointisääntöjen luominen ja käyttäminen vastausten hallintaan.

    Tilaus-asetuksesta: Tehtävien järjestys tapahtumissa riippuu kahdesta asiasta:

    1. Automaatiosääntöjen suoritusjärjestys Tilaus-asetuksen numeron perusteella, ja...
    2. Kussakin automaatiosäännössä määritettyjen Lisää tehtäviä - toimintojen järjestys.

Seuraavat vaiheet

  • Last updated on