Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’un des facteurs les plus importants dans l’exécution efficace et efficace de vos opérations de sécurité (SecOps) est la normalisation des processus. Les analystes SecOps sont censés effectuer une liste d’étapes, ou de tâches, dans le processus de triage, d’investigation ou de correction d’un incident. La normalisation et la formalisation de la liste des tâches peuvent aider à maintenir le bon fonctionnement de votre SOC, en veillant à ce que les mêmes exigences s’appliquent à tous les analystes. De cette façon, peu importe qui est en équipe, un incident obtiendra toujours le même traitement et les mêmes contrats SLA. Les analystes n’auront pas besoin de passer du temps à réfléchir à ce qu’il faut faire ou de s’inquiéter de manquer une étape critique. Ces étapes sont définies par le responsable SOC ou les analystes principaux (niveau 2/3) en fonction des connaissances de sécurité courantes (par exemple, NIST), de leur expérience avec les incidents passés ou des recommandations fournies par le fournisseur de sécurité qui a détecté l’incident.
Cas d'utilisation
Vos analystes SOC peuvent utiliser une liste de contrôle centrale unique pour gérer les processus de triage, d’investigation et de réponse aux incidents, sans se soucier de manquer une étape critique.
Vos ingénieurs SOC ou analystes senior peuvent documenter, mettre à jour et aligner les normes de réponse aux incidents dans les équipes et les équipes des analystes. Ils peuvent également créer des listes de contrôle des tâches pour former de nouveaux analystes ou analystes qui rencontrent de nouveaux types d’incidents.
En tant que responsable SOC ou MSSP, vous pouvez vous assurer que les incidents sont gérés conformément aux contrats SLA/SOP appropriés.
Configuration requise
Le rôle répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour afficher et modifier les incidents, qui sont tous deux nécessaires pour ajouter, afficher et modifier des tâches.
Le rôle Contributeur Logic Apps est requis pour créer et modifier des playbooks.
Scénarios
Analyste
Suivre les tâches lors de la gestion d’un incident
Lorsque vous sélectionnez un incident et affichez tous les détails, dans la page détails de l’incident, vous verrez dans le panneau de droite toutes les tâches qui ont été ajoutées à cet incident, que ce soit manuellement ou par des règles d’automatisation.
Développez une tâche pour afficher sa description complète, y compris l’utilisateur, la règle d’automatisation ou le playbook qui l’a créée.
Marquez une tâche terminée en sélectionnant son cercle de « case à cocher ».
Ajouter des tâches à un incident sur place
Vous pouvez ajouter des tâches à un incident ouvert sur lequel vous travaillez, soit pour vous rappeler des actions que vous avez découvertes nécessaires, soit pour enregistrer les actions que vous avez prises de votre propre initiative et qui n’apparaissent pas dans la liste des tâches. Les tâches ajoutées de cette façon s’appliquent uniquement à l’incident ouvert.
Créateur de flux de travail
Ajouter des tâches aux incidents avec des règles d’automatisation
Utilisez l’action Ajouter une tâche dans les règles d’automatisation pour fournir automatiquement à tous les incidents une liste de contrôle des tâches pour vos analystes. Définissez la condition nom de la règle Analytics dans votre règle d’automatisation pour déterminer l’étendue :
Appliquez la règle d’automatisation à toutes les règles d’analyse afin de définir un ensemble standard de tâches à appliquer à tous les incidents.
En appliquant votre règle d’automatisation à un ensemble limité de règles d’analyse, vous pouvez affecter des tâches spécifiques à des incidents particuliers, en fonction des menaces détectées par la règle d’analyse ou les règles qui ont généré ces incidents.
Considérez que l’ordre dans lequel les tâches apparaissent dans votre incident est déterminé par le temps de création des tâches. Vous pouvez définir l’ordre des règles d’automatisation afin que les règles qui ajoutent des tâches requises pour tous les incidents s’exécutent en premier, et seulement après toutes les règles qui ajoutent des tâches requises pour les incidents générés par des règles d’analyse spécifiques. Au sein d’une seule règle, l’ordre dans lequel les actions sont définies régit l’ordre dans lequel elles apparaissent dans un incident.
Avant de créer une règle d’automatisation, consultez les incidents couverts par les règles et tâches d’automatisation existantes.
Utilisez le filtre Action dans la liste des règles d’automatisation pour afficher uniquement les règles qui ajoutent des tâches aux incidents et voir à quelles règles d’analyse ces règles d’automatisation s’appliquent, afin de comprendre à quels incidents ces tâches seront ajoutées.
Ajouter des tâches à des incidents avec des playbooks
Utilisez l’action Ajouter une tâche dans un playbook (dans le connecteur Microsoft Sentinel) pour ajouter automatiquement une tâche à l’incident qui a déclenché le playbook.
Ensuite, utilisez d’autres actions de playbook, dans leurs connecteurs Logic Apps respectifs, pour terminer le contenu de la tâche.
Enfin, utilisez l’action Marquer la tâche comme terminée (là encore dans le connecteur Microsoft Sentinel) pour marquer automatiquement la tâche comme terminée.
Considérez les scénarios suivants comme exemples :
Laissez les playbooks ajouter et effectuer des tâches : Lorsqu’un incident est créé, il déclenche un playbook qui effectue les opérations suivantes :
- Ajoute une tâche à l’incident pour réinitialiser le mot de passe d’un utilisateur.
- Effectue la tâche en émettant un appel d’API au système d’approvisionnement d’utilisateurs pour réinitialiser le mot de passe de l’utilisateur.
- Attend une réponse du système concernant la réussite ou l’échec de la réinitialisation.
- Si la réinitialisation du mot de passe a réussi, le playbook marque la tâche qu’il vient de créer dans l’incident comme terminée.
- Si la réinitialisation du mot de passe a échoué, le playbook ne marque pas la tâche comme terminée, laissant à un analyste le soin d’effectuer.
Laissez le playbook évaluer si des tâches conditionnelles doivent être ajoutées : Lorsqu’un incident est créé, il déclenche un playbook qui demande un rapport d’adresse IP à partir d’une source externe de renseignement sur les menaces.
- Si l’adresse IP est malveillante, le playbook ajoute une certaine tâche (par exemple, « Bloquer cette adresse IP »).
- Dans le cas contraire, le playbook n’effectue aucune autre action.
Utiliser des règles d’automatisation ou des playbooks pour ajouter des tâches ?
Quelles considérations doivent déterminer quelles méthodes doivent être utilisées pour créer des tâches d’incident ?
- Règles d’automatisation : utilisez chaque fois que cela est possible. Utilisez pour les tâches statiques simples qui ne nécessitent pas d’interactivité.
- Playbooks : à utiliser pour les cas d’usage avancés, c’est-à-dire la création de tâches basées sur des conditions ou de tâches avec des actions automatisées intégrées.
Étapes suivantes
- Découvrez comment les analystes peuvent utiliser des tâches pour gérer le flux de travail des incidents dans Microsoft Sentinel.
- En savoir plus sur les enquêtes sur les incidents dans Microsoft Sentinel.
- Découvrez comment ajouter automatiquement des tâches à des groupes d’incidents à l’aide de règles d’automatisation ou de playbooks.
- En savoir plus sur les règles d’automatisation et sur la façon de les créer.
- En savoir plus sur les playbooks et comment les créer.