Créer des tâches d’incident dans Microsoft Sentinel à l’aide de règles d’automatisation

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article explique comment utiliser des règles d’automatisation pour créer des listes de tâches incidentes, afin de normaliser les processus de flux de travail des analystes dans Microsoft Sentinel.

Les tâches d’incident peuvent être créées automatiquement non seulement par des règles d’automatisation, mais également par des playbooks, ainsi que manuellement, ad hoc, à partir d’un incident.

Cas d’usage pour différents rôles

Cet article traite des scénarios suivants qui s’appliquent aux responsables SOC, aux analystes principaux et aux ingénieurs en automatisation :

Un autre scénario de ce type est abordé dans l’article complémentaire suivant :

Un autre article, aux liens suivants, traite des scénarios qui s’appliquent davantage aux analystes SOC :

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Le rôle répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour afficher et modifier les incidents, qui sont tous deux nécessaires pour ajouter, afficher et modifier des tâches.

Afficher les règles d’automatisation avec les actions de tâche d’incident

Dans la page Automation , vous pouvez filtrer l’affichage des règles d’automatisation pour voir uniquement celles pour lesquelles ajouter des actions de tâche sont définies.

Capture d’écran montrant comment filtrer la grille des règles d’automatisation.

  1. Sélectionnez le filtre Actions .

  2. Décochée la case Sélectionner tout .

  3. Faites défiler vers le bas et cochez la case Ajouter une tâche .

  4. Sélectionnez OK et affichez les résultats.

    Capture d’écran montrant les résultats du filtre sur la grille des règles d’automatisation.

    Il s’agit des règles d’automatisation qui ajoutent des tâches aux incidents. La colonne Noms des règles d’analyse vous indique les règles d’analyse sur lesquelles ces règles d’automatisation sont conditionnées. Vous aurez donc une idée générale des incidents affectés.

    Remarque

    Pour savoir exactement si une règle d’automatisation s’appliquera à un incident particulier, vous devez ouvrir la règle pour voir si des conditions supplémentaires sont définies, en plus de la condition de règle analytique. Si d’autres conditions sont définies, l’étendue des incidents affectés est limitée en conséquence.

Ajouter des tâches aux incidents avec des règles d’automatisation

  1. Dans la page Automation , sélectionnez + Créer , puis sélectionnez Règle Automation.

  2. Le panneau Créer une règle d’automatisation s’ouvre sur le côté droit.
    Donnez à votre règle d’automatisation un nom qui décrit ce qu’elle fait.

  3. Sélectionnez Quand l’incident est créé comme déclencheur (vous pouvez également utiliser Lorsque l’incident est mis à jour).

  4. Ajoutez des conditions pour déterminer à quels incidents de nouvelles tâches seront ajoutées.

    Par exemple, filtrez par nom de règle Analytics :

    • Vous pouvez ajouter des tâches aux incidents en fonction des types de menaces détectées par une règle d’analyse ou un groupe de règles d’analyse qui doivent être gérées en fonction d’un flux de travail donné. Recherchez et sélectionnez les règles d’analyse pertinentes dans la liste déroulante.

    • Vous pouvez également ajouter des tâches pertinentes pour les incidents sur tous les types de menaces (dans ce cas, laissez la sélection par défaut tous en l’état).

    Dans les deux cas, vous pouvez ajouter d’autres conditions pour limiter l’étendue des incidents auxquels votre règle d’automatisation s’applique. En savoir plus sur l’ajout de conditions avancées aux règles d’automatisation.

    Une chose que vous devez prendre en compte est que l’ordre dans lequel les tâches apparaissent dans votre incident est déterminé par le temps de création des tâches. Vous pouvez définir l’ordre des règles d’automatisation afin que les règles qui ajoutent des tâches requises pour tous les incidents s’exécutent en premier, et seulement après toutes les règles qui ajoutent des tâches requises pour les incidents générés par des règles d’analyse spécifiques.

    Capture d’écran de la première partie de l’Assistant Règle d’automatisation.

  5. Sous Actions, sélectionnez Ajouter une tâche.

    Capture d’écran du choix de l’action Ajouter une tâche dans une règle d’automatisation.

  6. Pour chaque tâche, entrez un titre dans le champ Titre de la tâche , puis (éventuellement) sélectionnez + Ajouter une description pour ouvrir un champ de description.
    Seuls les titres des tâches apparaissent par défaut dans le panneau de liste des tâches de l’incident. La description d’une tâche s’affiche uniquement lorsque l’élément de tâche est développé.

    Capture d’écran montrant comment ajouter un titre et une description à une tâche.

  7. Dans le champ description, vous pouvez ajouter une description de forme libre pour la tâche, y compris des images, des liens et une mise en forme de texte enrichi (consultez les liens hypertexte, les listes numérotées et le texte au format bloc de code dans les exemples ci-dessous).

    Capture d’écran montrant comment ajouter une description à une tâche.

  8. Ajoutez d’autres tâches au même groupe d’incidents en sélectionnant + Ajouter une action et en répétant les trois dernières étapes.

    Les tâches sont créées et ajoutées à l’incident selon l’ordre de l’option Ajouter des actions de tâche dans votre règle d’automatisation.

    Capture d’écran montrant comment ajouter d’autres tâches à une règle d’automatisation.

  9. Terminez la création de la règle d’automatisation en effectuant les étapes restantes, Expiration de la règle et Commande, puis en sélectionnant Appliquer à la fin. Pour plus d’informations, consultez Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer la réponse.

    En ce qui concerne le paramètre Ordre : l’ordre dans lequel les tâches apparaissent dans vos incidents dépend de deux éléments :

    1. L’ordre d’exécution des règles d’automatisation, tel que déterminé par le nombre dans le paramètre Ordre , et ...
    2. Ordre des actions Ajouter une tâche défini dans chaque règle d’automatisation.

Étapes suivantes

  • Last updated on