Tapaustehtävien käsitteleminen Microsoft Sentinel Azure-portaali

  • Koskee seuraavia:: Microsoft Sentinel in the Azure portal

Tässä artikkelissa kerrotaan, miten SOC-analyytikot voivat tapaustehtävien avulla hallita tapaustenkäsittelytyönkulkuprosessejaan Microsoft Sentinel Azure-portaali.

Tapaustehtävät luodaan yleensä automaattisesti joko johtavien analyytikoiden tai SOC-johtajien määrittämien automaatiosääntöjen tai pelikirjojen avulla, mutta alemman tason analyytikot voivat luoda omia tehtäviään paikan päällä manuaalisesti suoraan tapahtumasta.

Näet luettelon tietyn tapauksen suorittamiseen tarvittavasta tehtävästä tapahtuman tietosivulla ja merkitset ne valmiiksi samalla, kun siirryt.

Eri roolien käyttötapaukset

Tässä artikkelissa käsitellään seuraavia skenaarioita, jotka koskevat SOC-analyytikoita:

Seuraavissa artikkeleissa käsitellään skenaarioita, jotka koskevat enemmän SOC-johtajia, johtavia analyytikoita ja automaatio-insinöörejä:

Ennakkovaatimukset

Microsoft Sentinel Vastaaja -rooli vaaditaan automaatiosääntöjen luomiseen sekä tapausten tarkastelemiseen ja muokkaamiseen. Ne molemmat ovat välttämättömiä tehtävien lisäämiseen, tarkastelemiseen ja muokkaamiseen.

Tapaustehtävien tarkasteleminen ja seuraaminen

  1. Valitse Tapahtumat-sivulla tapaus luettelosta ja valitse Tietopaneelin Tehtävät-kohdastaNäytä täydelliset tiedot tai valitse Tietopaneelin alareunasta Näytä täydelliset tiedot.

    Näyttökuva linkistä, jonka kautta voit siirtyä tehtäväpaneeliin tapahtuman tietopaneelista päätapaukset-näytöllä.

  2. Jos valitsit koko tietosivun kirjoittamisen, valitse Tehtävät yläpalkista.

    Näyttökuvassa näkyy tapahtuman tiedot -näyttö, jossa tehtäväpaneeli on avoinna.

  3. Tapaustehtävät-paneeli avautuu sen näytön oikealle puolelle, jossa olit (päätapausten sivu tai tapahtuman tietosivu). Näet tälle tapahtumalle määritettyjen tehtävien luettelon sekä sen, miten tai kuka se on luotu – joko manuaalisesti, automaatiosäännön tai pelikirjan avulla.

    Näyttökuvassa näkyy tapauksen tehtäväpaneeli tapauksen tietosivulta katsottuna.

  4. Tehtävät, joilla on kuvauksia, merkitään laajennusnuolella. Laajenna tehtävä nähdäksesi sen koko kuvauksen.

    Näyttökuvassa näkyy tapaustehtävien paneeli ja laajennettujen tehtävien kuvaukset.

  5. Merkitse tehtävä valmiiksi merkitsemällä ympyrä tehtävän nimen viereen. Ympyrässä näkyy valintamerkki, ja tehtävän teksti näkyy harmaana. Katso esimerkki käyttäjän salasanan palauttamisesta yllä olevista näyttökuvista.

Ad hoc -tehtävän lisääminen tapahtumaan manuaalisesti

Voit myös lisätä tehtäviä itsellesi paikan päällä tapauksen tehtäväluetteloon. Tämä tehtävä koskee vain avointa tapausta. Tämä auttaa, jos tutkimuksesi johtaa uusiin suuntiin ja ajattelet uusia asioita, jotka sinun on tarkistettava. Lisäämällä nämä tehtäviksi varmistat, että et unohda tehdä niitä ja että muista analyytikoista ja esimiehistä on kirjallinen tiedot tehtävistäsi.

  1. Valitse + Lisää tehtäväTapaustehtävät-paneelin yläosasta.

    Näyttökuvassa näytetään, miten tehtävä lisätään tehtäväluetteloon manuaalisesti.

  2. Kirjoita tehtävälle Otsikko ja halutessasi Kuvaus .

    Näyttökuvassa näkyy, miten tehtävään lisätään otsikko ja kuvaus.

  3. Kun olet valmis, valitse Tallenna .

    Näyttökuvassa näkyy, miten tehtävän määrittäminen ja tallentaminen viimeistellään.

  4. Tarkastele uutta tehtävää tehtäväluettelon alareunassa. Huomaa, että manuaalisesti luoduilla tehtävillä on eri värikaista vasemmassa reunassa ja että nimesi näkyy luontiperusteena tehtävän otsikon ja kuvauksen alla.

    Näyttökuva, jossa näkyy uusi tehtävä tehtäväluettelon lopussa.

Seuraavat vaiheet

  • Last updated on