Opprette hendelsesoppgaver i Microsoft Sentinel ved hjelp av automatiseringsregler

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Denne artikkelen forklarer hvordan du bruker automatiseringsregler til å opprette lister over hendelsesoppgaver, for å standardisere arbeidsflytprosesser for analytikere i Microsoft Sentinel.

Hendelsesoppgaver kan opprettes automatisk ikke bare av automatiseringsregler, men også av strategibøker, og også manuelt, ad hoc, innenfra en hendelse.

Brukstilfeller for ulike roller

Denne artikkelen tar for seg følgende scenarioer som gjelder for SOC-ledere, senioranalytikere og automatiseringsingeniører:

Et annet slikt scenario er adressert i følgende følgeartikkel:

En annen artikkel, på følgende koblinger, tar for seg scenarioer som gjelder mer for SOC-analytikere:

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Rollen Microsoft Sentinel Responder kreves for å opprette automatiseringsregler og vise og redigere hendelser, som begge er nødvendige for å legge til, vise og redigere oppgaver.

Vis automatiseringsregler med hendelsesoppgavehandlinger

automatiseringssiden kan du filtrere visningen av automatiseringsregler for å se bare de som har definert Legg til oppgavehandlinger .

Skjermbilde som viser hvordan du filtrerer støttelinjer for automatiseringsregler.

  1. Velg Handlinger-filteret .

  2. Fjern merket for Merk alle .

  3. Rull nedover og merk av for Legg til oppgave .

  4. Velg OK , og se resultatene.

    Skjermbilde som viser resultatene av filteret i rutenettet for automatiseringsregler.

    Dette er automatiseringsreglene som legger til oppgaver i hendelser. Kolonnen med analyseregelnavn forteller deg hvilke analyseregler disse automatiseringsreglene er betinget av, så du får en generell ide om hvilke hendelser som påvirkes.

    Obs!

    Hvis du vil ha nøyaktig kunnskap om hvorvidt en automatiseringsregel vil gjelde for en bestemt hendelse, må du åpne regelen for å se om det er definert flere betingelser, i tillegg til betingelsen for analyseregel. Hvis andre betingelser er definert, vil omfanget av de berørte hendelsene bli tilsvarende begrenset.

Legge til oppgaver i hendelser med automatiseringsregler

  1. Velg + Opprett og velg automatiseringsregelautomatiseringssiden.

  2. Panelet Opprett ny automatiseringsregel åpnes på høyre side.
    Gi automatiseringsregelen et navn som beskriver hva den gjør.

  3. Velg Når hendelsen opprettes som utløser (du kan også bruke Når hendelsen oppdateres).

  4. Legg til betingelser for å bestemme hvilke hendelser nye aktiviteter skal legges til.

    Filtrer for eksempel etter analyseregelnavn:

    • Du vil kanskje legge til oppgaver i hendelser basert på hvilke typer trusler som oppdages av en analyseregel eller en gruppe analyseregler som må håndteres i henhold til en bestemt arbeidsflyt. Søk etter og velg de relevante analysereglene fra rullegardinlisten.

    • Eller du vil kanskje legge til oppgaver som er relevante for hendelser på tvers av alle typer trusler (i dette tilfellet lar du standardvalget av Alle være som det er).

    I begge tilfeller kan du legge til flere betingelser for å begrense omfanget av hendelser som automatiseringsregelen gjelder for. Mer informasjon om å legge til avanserte betingelser i automatiseringsregler.

    En ting du må vurdere, er at rekkefølgen oppgaver som vises i hendelsen, bestemmes av oppgavens opprettelsestid. Du kan angi rekkefølgen på automatiseringsreglene slik at regler som legger til oppgaver som kreves for alle hendelser, kjøres først, og bare etterpå eventuelle regler som legger til oppgaver som kreves for hendelser generert av bestemte analyseregler.

    Skjermbilde av første del av regelveiviseren for automatisering.

  5. Velg Legg til oppgave under Handlinger.

    Skjermbilde av valg av handlingen Legg til oppgave i en automatiseringsregel.

  6. For hver oppgave skriver du inn en tittel i aktivitetstittelfeltet , og deretter (eventuelt) velger du + Legg til beskrivelse for å åpne et beskrivelsesfelt.
    Bare oppgavetitler vises som standard i hendelsens oppgavelistepanel. Beskrivelsen av en oppgave vises bare når oppgaveelementet er utvidet.

    Skjermbilde som viser hvordan du legger til en tittel og en beskrivelse i en oppgave.

  7. I beskrivelsesfeltet kan du legge til en beskrivelse av frihåndsskjemaet for oppgaven, inkludert bilder, koblinger og rik tekstformatering (se hyperkoblinger, nummererte lister og kodeblokkformatert tekst i eksemplene nedenfor).

    Skjermbilde som viser hvordan du legger til en beskrivelse i en oppgave.

  8. Legg til flere aktiviteter i samme gruppe hendelser ved å velge + Legg til handling og gjenta de tre siste trinnene.

    Aktiviteter opprettes og legges til i hendelsen i henhold til rekkefølgen på legg til oppgavehandlinger i automatiseringsregelen.

    Skjermbilde som viser hvordan du legger til flere oppgaver i en automatiseringsregel.

  9. Fullfør opprettingen av automatiseringsregelen ved å fullføre de gjenværende trinnene, utløpsdatoen for regelen og bestillingen, og velge Bruk på slutten. Se Opprette og bruke Microsoft Sentinel automatiseringsregler til å behandle svar for å få mer informasjon.

    Angående bestillingsinnstillingen : Rekkefølgen oppgaver vises i i hendelsene avhenger av to ting:

    1. Rekkefølgen på utførelsen av automatiseringsreglene, som bestemmes av tallet i ordreinnstillingen , og...
    2. Rekkefølgen på legg til oppgavehandlinger som er definert i hver automatiseringsregel.

Neste trinn

  • Last updated on