Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Incidenttaken zorgen voor een uitgebreide en uniforme behandeling van incidenten in alle SOC-medewerkers. Takenlijsten worden doorgaans gedefinieerd op basis van bepalingen van senior analisten of SOC-managers en in de praktijk gebracht met behulp van automatiseringsregels of playbooks.
Uw analisten kunnen de lijst met taken zien die ze moeten uitvoeren voor een bepaald incident op de pagina met incidentdetails en deze markeren als voltooid. Analisten kunnen ook hun eigen taken ter plaatse maken, handmatig, rechtstreeks vanuit het incident.
In dit artikel wordt uitgelegd hoe u als SOC-manager de geschiedenis van Microsoft Sentinel incidenttaken kunt controleren en de wijzigingen kunt bijhouden die tijdens hun levenscyclus zijn aangebracht, om de effectiviteit van uw taaktoewijzingen en hun bijdrage aan de efficiëntie en goede werking van uw SOC te meten.
Matrix Structuur van taken in de tabel SecurityIncident
De tabel SecurityIncident is een audittabel. Hierin worden niet de incidenten zelf opgeslagen, maar records van de levensduur van een incident: het maken ervan en eventuele wijzigingen in het incident. Telkens wanneer er een incident wordt gemaakt of een wijziging wordt aangebracht in een incident, wordt in deze tabel een record gegenereerd met de huidige status van het incident.
Met de toevoeging van taakdetails aan het schema van deze tabel kunt u taken uitgebreider controleren.
De gedetailleerde informatie die aan het veld Taken wordt toegevoegd, bestaat uit sleutel-waardeparen met de volgende structuur:
| Sleutel | Waardebeschrijving |
|---|---|
| Createdby | De identiteit waarmee de taak is gemaakt: - e-mail: e-mailadres van identiteit - naam: naam van de identiteit - objectId: GUID van de identiteit - userPrincipalName: UPN van de identiteit |
| createdTimeUtc | Het tijdstip waarop de taak is gemaakt, in UTC. |
| lastCompletedTimeUtc | Het tijdstip waarop de taak is gemarkeerd als voltooid, in UTC. |
| lastModifiedBy | De identiteit die de taak het laatst heeft gewijzigd: - e-mail: e-mailadres van identiteit - naam: naam van de identiteit - objectId: GUID van de identiteit - userPrincipalName: UPN van de identiteit |
| lastModifiedTimeUtc | Tijdstip waarop de taak voor het laatst is gewijzigd, in UTC. |
| Status | Huidige status van de taak: Nieuw, Voltooid, Verwijderd. |
| Taskid | Resource-id van de taak. |
| Titel | Beschrijvende naam die de maker van de taak heeft gekregen. |
Incidenttaken weergeven in de tabel SecurityIncident
Afgezien van de werkmap Incidenttaken kunt u taakactiviteit controleren door een query uit te voeren op de tabel SecurityIncident in Logboeken. In de rest van dit artikel ziet u hoe u dit doet en hoe u de queryresultaten kunt lezen en begrijpen om informatie over taakactiviteit op te halen.
Voer op de pagina Logboeken de volgende query in het queryvenster in en voer deze uit. Met deze query worden alle incidenten geretourneerd waaraan taken zijn toegewezen.
SecurityIncident | where array_length( Tasks) > 0U kunt een willekeurig aantal instructies toevoegen aan de query om de resultaten te filteren en te verfijnen. Om te laten zien hoe u de resultaten kunt bekijken en begrijpen, voegen we instructies toe om de resultaten te filteren, zodat we alleen de taken voor één incident zien. We voegen ook een
project-instructie toe, zodat we alleen de velden zien die nuttig zijn voor onze doeleinden, zonder veel rommel.Zie Kusto-querytaal overzicht voor meer informatie.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksLaten we eens kijken naar de meest recente record voor dit incident en de lijst met taken die eraan zijn gekoppeld.
Selecteer het uitvouwprogramma naast de bovenste rij in de queryresultaten (deze zijn gesorteerd in aflopende volgorde van recency).
Het veld Taken is een matrix van de huidige status van alle taken in dit incident. Selecteer het uitvouwprogramma om elk item in de matrix in een eigen rij weer te geven.
U ziet nu dat dit incident twee taken bevat. Elke matrix wordt op zijn beurt vertegenwoordigd door een uitbreidbare matrix. Selecteer het uitvouwprogramma van één taak om de gegevens ervan weer te geven.
Hier ziet u de details voor de eerste taak in de matrix (0 is de indexpositie van de taak in de matrix). In het titelveld wordt de naam van de taak weergegeven zoals weergegeven in het incident.
Taken weergeven die zijn toegevoegd aan de lijst
Laten we een taak toevoegen aan het incident. Vervolgens komen we hier terug, voeren we de query opnieuw uit en zien we de wijzigingen in de resultaten.
Voer op de pagina Incidenten het nummer van de incident-id in de zoekbalk in.
Open de pagina met details van het incident en selecteer Taken op de werkbalk.
Voeg een nieuwe taak toe, geef deze de naam 'Deze taak is een testtaak!' en selecteer vervolgens Opslaan. De laatste taak die hieronder wordt weergegeven, is wat u zou moeten doen:
Nu gaan we terug naar de pagina Logboeken en voeren we de query opnieuw uit.
In de resultaten ziet u dat er een nieuwe record in de tabel is voor hetzelfde incident (let op de tijdstempels). Vouw de record uit en u ziet dat de record die we eerder hebben gezien twee taken had in de matrix Taken , maar dat de nieuwe er drie heeft. De nieuwste taak is de taak die we zojuist hebben toegevoegd, zoals u kunt zien aan de titel.
Statuswijzigingen in taken weergeven
Als we nu teruggaan naar die nieuwe taak op de pagina met details van het incident en deze markeren als voltooid, en vervolgens terugkeren naar Logboeken en de query opnieuw uitvoeren, zien we nog een nieuwe record voor hetzelfde incident, waarbij de nieuwe status van onze taak wordt weergegeven als Voltooid.
Verwijdering van taken weergeven
We gaan terug naar de takenlijst op de pagina met incidentdetails en verwijderen de taak die we eerder hebben toegevoegd.
Wanneer we teruggaan naar Logboeken en de query opnieuw uitvoeren, zien we een nieuwe record, alleen deze keer de status voor onze taak met de titel 'Deze taak is een testtaak!' — wordt verwijderd.
Zodra de taak echter eenmaal in de matrix is weergegeven (met de status Verwijderd ), wordt deze niet meer weergegeven in de matrix Taken in nieuwe records voor dat incident in de tabel SecurityIncident . De bestaande records, zoals de records die we hierboven hebben gezien, blijven het bewijs behouden dat deze taak ooit bestond.
Actieve taken van een gesloten incident weergeven
Met de volgende query kunt u zien of een incident is gesloten, maar niet alle toegewezen taken zijn voltooid. Deze kennis kan u helpen te controleren of eventuele resterende losse eindjes in uw onderzoek tot een conclusie zijn gebracht: alle relevante partijen zijn op de hoogte gesteld, alle opmerkingen zijn ingevoerd, alle antwoorden zijn geverifieerd, enzovoort.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| sort by lastModifiedTimeUtc desc
Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:
Zie overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.
Andere resources:
Volgende stappen
- Meer informatie over incidenttaken.
- Meer informatie over het onderzoeken van incidenten.
- Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van automatiseringsregels of playbooks en wanneer u deze kunt gebruiken.
- Meer informatie over automatiseringsregels en hoe u deze kunt maken.
- Meer informatie over playbooks en hoe u deze maakt.