Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een van de belangrijkste factoren voor het effectief en efficiënt uitvoeren van uw beveiligingsbewerkingen (SecOps) is de standaardisatie van processen. SecOps-analisten worden geacht een lijst met stappen of taken uit te voeren tijdens het trillen, onderzoeken of herstellen van een incident. Het standaardiseren en formaliseren van de lijst met taken kan helpen uw SOC soepel te laten werken, zodat dezelfde vereisten van toepassing zijn op alle analisten. Op deze manier krijgt een incident altijd dezelfde behandeling en SLA's, ongeacht wie er in dienst is. Analisten hoeven geen tijd te besteden aan het nadenken over wat ze moeten doen of zich zorgen te maken over het missen van een kritieke stap. Deze stappen worden gedefinieerd door de SOC-manager of senior analisten (laag 2/3) op basis van algemene beveiligingskennis (zoals NIST), hun ervaring met eerdere incidenten of aanbevelingen van de beveiligingsleverancier die het incident heeft gedetecteerd.
Gebruiksvoorbeelden
Uw SOC-analisten kunnen één centrale controlelijst gebruiken om de processen van incident triage, onderzoek en reactie te verwerken, allemaal zonder dat u zich zorgen hoeft te maken over het missen van een kritieke stap.
Uw SOC-technici of senior analisten kunnen de standaarden voor incidentrespons in de teams en diensten van de analisten documenteert, bijwerken en afstemmen. Ze kunnen ook controlelijsten met taken maken om nieuwe analisten of analisten te trainen die nieuwe typen incidenten tegenkomen.
Als SOC-manager of als MSSP kunt u ervoor zorgen dat incidenten worden afgehandeld in overeenstemming met de relevante SLA's/SOP's.
Vereisten
De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.
De rol Logic Apps-inzender is vereist voor het maken en bewerken van playbooks.
Scenario's
Analist
Taken volgen bij het afhandelen van een incident
Wanneer u een incident selecteert en volledige details weergeven, ziet u op de pagina met incidentdetails in het rechterpaneel alle taken die aan dat incident zijn toegevoegd, handmatig of door automatiseringsregels.
Vouw een taak uit om de volledige beschrijving ervan te zien, inclusief de gebruiker, automatiseringsregel of playbook waarmee de taak is gemaakt.
Markeer een taak voltooid door de cirkel 'selectievakje' in te schakelen.
Taken toevoegen aan een incident ter plaatse
U kunt taken toevoegen aan een open incident waaraan u werkt, om uzelf herinneringen te geven aan acties die u moet uitvoeren of om acties vast te leggen die u zelf hebt ondernomen en die niet in de takenlijst worden weergegeven. Taken die op deze manier worden toegevoegd, zijn alleen van toepassing op het geopende incident.
Werkstroommaker
Taken toevoegen aan incidenten met automatiseringsregels
Gebruik de actie Taak toevoegen in automatiseringsregels om alle incidenten automatisch te voorzien van een controlelijst met taken voor uw analisten. Stel de voorwaarde voor de naam van de analyseregel in uw automatiseringsregel in om het bereik te bepalen:
Pas de automatiseringsregel toe op alle analyseregels om een standaardset taken te definiëren die moet worden toegepast op alle incidenten.
Door uw automatiseringsregel toe te passen op een beperkte set analyseregels, kunt u specifieke taken toewijzen aan bepaalde incidenten, op basis van de bedreigingen die zijn gedetecteerd door de analyseregel of -regels die deze incidenten hebben gegenereerd.
Houd er rekening mee dat de volgorde waarin taken in uw incident worden weergegeven, wordt bepaald door de aanmaaktijd van de taken. U kunt de volgorde van automatiseringsregels zo instellen dat regels die taken toevoegen die vereist zijn voor alle incidenten, eerst worden uitgevoerd en pas daarna eventuele regels waarmee taken worden toegevoegd die vereist zijn voor incidenten die zijn gegenereerd door specifieke analyseregels. Binnen één regel bepaalt de volgorde waarin de acties worden gedefinieerd de volgorde waarin ze worden weergegeven in een incident.
Bekijk welke incidenten worden gedekt door bestaande automatiseringsregels en -taken, voordat u een nieuwe automatiseringsregel maakt.
Gebruik het filter Actie in de lijst Automatiseringsregels om alleen de regels te zien waarmee taken aan incidenten worden toegevoegd en om te zien op welke analyseregels deze automatiseringsregels van toepassing zijn om te begrijpen aan welke incidenten deze taken worden toegevoegd.
Taken toevoegen aan incidenten met playbooks
Gebruik de actie Taak toevoegen in een playbook (in de Microsoft Sentinel-connector) om automatisch een taak toe te voegen aan het incident dat het playbook heeft geactiveerd.
Gebruik vervolgens andere playbookacties, in hun respectieve Logic Apps-connectors, om de inhoud van de taak te voltooien.
Gebruik ten slotte de actie Taak markeren als voltooid (opnieuw in de connector Microsoft Sentinel) om de taak automatisch als voltooid te markeren.
Bekijk de volgende scenario's als voorbeelden:
Laat playbooks taken toevoegen en voltooien: Wanneer een incident wordt gemaakt, wordt een playbook geactiveerd dat het volgende doet:
- Hiermee voegt u een taak toe aan het incident om het wachtwoord van een gebruiker opnieuw in te stellen.
- Voert de taak uit door een API-aanroep uit te voeren naar het inrichtingssysteem van de gebruiker om het wachtwoord van de gebruiker opnieuw in te stellen.
- Wacht op een reactie van het systeem met betrekking tot het slagen of mislukken van het opnieuw instellen.
- Als het wachtwoord opnieuw is ingesteld, markeert het playbook de taak die zojuist is gemaakt in het incident als voltooid.
- Als het opnieuw instellen van het wachtwoord is mislukt, markeert het playbook de taak niet als voltooid, waardoor deze aan een analist moet worden overgelaten om uit te voeren.
Laat playbook evalueren of voorwaardelijke taken moeten worden toegevoegd: Wanneer een incident wordt gemaakt, wordt er een playbook geactiveerd dat een IP-adresrapport van een externe bedreigingsinformatiebron aanvraagt.
- Als het IP-adres schadelijk is, voegt het playbook een bepaalde taak toe (bijvoorbeeld 'Dit IP-adres blokkeren').
- Anders voert het playbook geen verdere actie uit.
Automation-regels of playbooks gebruiken om taken toe te voegen?
Welke overwegingen moeten bepalen welke van deze methoden moeten worden gebruikt om incidenttaken te maken?
- Automatiseringsregels: gebruik deze waar mogelijk. Gebruik dit voor gewone, statische taken waarvoor geen interactiviteit is vereist.
- Playbooks: gebruik voor geavanceerde gebruiksvoorbeelden: het maken van taken op basis van voorwaarden of van taken met geïntegreerde geautomatiseerde acties.
Volgende stappen
- Meer informatie over hoe analisten taken kunnen gebruiken voor het afhandelen van een werkstroom voor incidenten in Microsoft Sentinel.
- Meer informatie over het onderzoeken van incidenten in Microsoft Sentinel.
- Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van automatiseringsregels of playbooks.
- Meer informatie over automatiseringsregels en hoe u deze kunt maken.
- Meer informatie over playbooks en hoe u deze maakt.