Utiliser des tâches d’incident dans Microsoft Sentinel dans le Portail Azure

  • S’applique à: Microsoft Sentinel in the Azure portal

Cet article explique comment les analystes SOC peuvent utiliser des tâches d’incident pour gérer leurs processus de flux de travail de gestion des incidents dans Microsoft Sentinel dans le Portail Azure.

Les tâches d’incident sont généralement créées automatiquement par des règles d’automatisation ou des playbooks configurés par des analystes supérieurs ou des responsables SOC, mais les analystes de niveau inférieur peuvent créer leurs propres tâches sur place, manuellement, directement à partir de l’incident.

Vous pouvez voir la liste des tâches que vous devez effectuer pour un incident particulier sur la page des détails de l’incident, et les marquer comme terminées au fur et à mesure.

Cas d’usage pour différents rôles

Cet article traite des scénarios suivants, qui s’appliquent aux analystes SOC :

D’autres articles sur les liens suivants traitent de scénarios qui s’appliquent davantage aux gestionnaires SOC, aux analystes supérieurs et aux ingénieurs en automatisation :

Configuration requise

Le rôle répondeur Microsoft Sentinel est nécessaire pour créer des règles d’automatisation et pour afficher et modifier les incidents, qui sont tous deux nécessaires pour ajouter, afficher et modifier des tâches.

Afficher et suivre les tâches d’incident

  1. Dans la page Incidents , sélectionnez un incident dans la liste, puis sélectionnez Afficher les détails complets sous Tâches dans le panneau d’informations, ou sélectionnez Afficher les détails complets en bas du panneau d’informations.

    Capture d’écran du lien permettant d’entrer dans le panneau des tâches à partir du panneau d’informations sur l’incident sur l’écran des incidents principaux.

  2. Si vous avez choisi d’entrer la page complète des détails, sélectionnez Tâches dans la bannière supérieure.

    Capture d’écran montrant l’écran détails de l’incident avec le panneau tâches ouvert.

  3. Le panneau Tâches d’incident s’ouvre sur le côté droit de l’écran dans lequel vous vous trouviez (la page principale des incidents ou la page des détails de l’incident). Vous verrez la liste des tâches définies pour cet incident, ainsi que la façon dont il a été créé et par qui il a été créé, que ce soit manuellement, par une règle d’automatisation ou un playbook.

    Capture d’écran montrant le panneau des tâches d’incident comme indiqué dans la page détails de l’incident.

  4. Les tâches qui ont des descriptions sont marquées d’une flèche d’expansion. Développez une tâche pour afficher sa description complète.

    Capture d’écran montrant le panneau des tâches d’incident avec des descriptions de tâches développées.

  5. Marquez une tâche terminée en marquant le cercle en regard du nom de la tâche. Une marque case activée s’affiche dans le cercle et le texte de la tâche est grisé. Consultez l’exemple « Réinitialiser le mot de passe de l’utilisateur » dans les captures d’écran ci-dessus.

Ajouter manuellement une tâche ad hoc à un incident

Vous pouvez également ajouter des tâches pour vous-même, sur place, à la liste des tâches d’un incident. Cette tâche s’applique uniquement à l’incident ouvert. Cela vous aide si votre enquête vous mène dans de nouvelles directions et que vous pensez à de nouvelles choses que vous devez case activée. L’ajout de ces tâches garantit que vous n’oublierez pas de les faire, et qu’il y aura un enregistrement de ce que vous avez fait, dont d’autres analystes et gestionnaires peuvent tirer parti.

  1. Sélectionnez + Ajouter une tâche en haut du panneau Tâches d’incident .

    Capture d’écran montrant comment ajouter manuellement une tâche à votre liste de tâches.

  2. Entrez un titre pour votre tâche et une description si vous le souhaitez.

    Capture d’écran montrant comment ajouter un titre et une description à votre tâche.

  3. Sélectionnez Enregistrer lorsque vous avez terminé.

    Capture d’écran montrant comment terminer la définition et l’enregistrement de votre tâche.

  4. Consultez votre nouvelle tâche en bas de la liste des tâches. Notez que les tâches créées manuellement ont une bande de couleurs différente sur la bordure gauche, et que votre nom apparaît comme Créé par : sous le titre et la description de la tâche.

    Capture d’écran montrant votre nouvelle tâche à la fin de la liste des tâches.

Étapes suivantes

  • Last updated on