Incidenttaken maken in Microsoft Sentinel met behulp van automatiseringsregels

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe u automatiseringsregels gebruikt om lijsten met incidenttaken te maken om werkstroomprocessen van analisten in Microsoft Sentinel te standaardiseren.

Incidenttaken kunnen automatisch worden gemaakt, niet alleen door automatiseringsregels, maar ook door playbooks, en ook handmatig, ad-hoc, vanuit een incident.

Use cases voor verschillende rollen

In dit artikel worden de volgende scenario's behandeld die van toepassing zijn op SOC-managers, senior analisten en automatiseringstechnici:

Een ander scenario wordt behandeld in het volgende begeleidende artikel:

Een ander artikel, via de volgende koppelingen, behandelt scenario's die meer van toepassing zijn op SOC-analisten:

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Vereisten

De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.

Automatiseringsregels met acties voor incidenttaken weergeven

Op de pagina Automation kunt u de weergave van automatiseringsregels filteren om alleen de regels te zien waarvoor taakacties toevoegen zijn gedefinieerd.

Schermopname die laat zien hoe u het raster met automatiseringsregels filtert.

  1. Selecteer het filter Acties .

  2. Schakel het selectievakje Alles selecteren uit.

  3. Schuif omlaag en schakel het selectievakje Taak toevoegen in .

  4. Selecteer OK en bekijk de resultaten.

    Schermopname van de resultaten van het filter in het raster met automatiseringsregels.

    Dit zijn de automatiseringsregels waarmee taken aan incidenten worden toegevoegd. In de kolom Namen van analyseregels ziet u op welke analyseregels deze automatiseringsregels zijn gebaseerd, zodat u een algemeen idee hebt van welke incidenten worden beïnvloed.

    Opmerking

    Als u precies wilt weten of een automatiseringsregel van toepassing is op een bepaald incident, moet u de regel openen om te zien of er aanvullende voorwaarden zijn gedefinieerd, naast de voorwaarde voor de analyseregel. Als er andere voorwaarden worden gedefinieerd, wordt het bereik van de betrokken incidenten dienovereenkomstig beperkt.

Taken toevoegen aan incidenten met automatiseringsregels

  1. Selecteer op de pagina Automationde optie + Maken en selecteer Automation-regel.

  2. Het deelvenster Nieuwe automatiseringsregel maken wordt aan de rechterkant geopend.
    Geef uw automatiseringsregel een naam die beschrijft wat deze doet.

  3. Selecteer Wanneer incident wordt gemaakt als de trigger (u kunt ook Wanneer incident wordt bijgewerkt gebruiken).

  4. Voeg Voorwaarden toe om te bepalen aan welke incidenten nieuwe taken worden toegevoegd.

    Filter bijvoorbeeld op naam van de Analytics-regel:

    • Mogelijk wilt u taken toevoegen aan incidenten op basis van de typen bedreigingen die zijn gedetecteerd door een analyseregel of een groep analyseregels die moeten worden verwerkt volgens een bepaalde werkstroom. Zoek en selecteer de relevante analyseregels in de vervolgkeuzelijst.

    • U kunt ook taken toevoegen die relevant zijn voor incidenten voor alle typen bedreigingen (in dit geval laat u de standaardselectie Alle staan).

    In beide gevallen kunt u meer voorwaarden toevoegen om het bereik van incidenten te beperken waarop uw automatiseringsregel van toepassing is. Meer informatie over het toevoegen van geavanceerde voorwaarden aan automatiseringsregels.

    U moet er rekening mee houden dat de volgorde waarin taken in uw incident worden weergegeven, wordt bepaald door de aanmaaktijd van de taken. U kunt de volgorde van automatiseringsregels zo instellen dat regels die taken toevoegen die vereist zijn voor alle incidenten, eerst worden uitgevoerd en pas daarna eventuele regels waarmee taken worden toegevoegd die vereist zijn voor incidenten die zijn gegenereerd door specifieke analyseregels.

    Schermopname van het eerste deel van de wizard Automatiseringsregel.

  5. Selecteer onder Actiesde optie Taak toevoegen.

    Schermopname van het kiezen van de actie Taak toevoegen in een automatiseringsregel.

  6. Voer voor elke taak een titel in het veld Taaktitel in en selecteer vervolgens (optioneel) + Beschrijving toevoegen om een beschrijvingsveld te openen.
    Standaard worden alleen taaktitels weergegeven in het takenlijstvenster van het incident. De beschrijving van een taak wordt alleen weergegeven wanneer het taakitem is uitgevouwen.

    Schermopname van het toevoegen van een titel en een beschrijving aan een taak.

  7. In het beschrijvingsveld kunt u een vrije beschrijving voor de taak toevoegen, inclusief afbeeldingen, koppelingen en opmaak (zie de hyperlinks, genummerde lijsten en tekst met codeblokindeling in de onderstaande voorbeelden).

    Schermopname van het toevoegen van een beschrijving aan een taak.

  8. Voeg meer taken toe aan dezelfde groep incidenten door + Actie toevoegen te selecteren en de laatste drie stappen te herhalen.

    Taken worden gemaakt en toegevoegd aan het incident volgens de volgorde van de acties Taak toevoegen in uw automatiseringsregel.

    Schermopname van het toevoegen van meer taken aan een automatiseringsregel.

  9. Voltooi het maken van de automatiseringsregel door de resterende stappen, Verloop van regel en Volgorde te voltooien en Toepassen aan het einde te selecteren. Zie Microsoft Sentinel automatiseringsregels maken en gebruiken om reacties te beheren voor meer informatie.

    Met betrekking tot de orderinstelling : de volgorde waarin taken in uw incidenten worden weergegeven, is afhankelijk van twee dingen:

    1. De uitvoeringsvolgorde van de automatiseringsregels, zoals bepaald door het getal in de instelling Order , en...
    2. De volgorde van de taakacties toevoegen die zijn gedefinieerd in elke automatiseringsregel.

Volgende stappen

  • Last updated on