Werken met incidenttaken in Microsoft Sentinel in de Azure Portal

  • Van toepassing op: Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe SOC-analisten incidenttaken kunnen gebruiken om hun werkstroomprocessen voor incidentafhandeling te beheren in Microsoft Sentinel in de Azure Portal.

Incidenttaken worden meestal automatisch gemaakt door automatiseringsregels of playbooks die zijn ingesteld door senior analisten of SOC-managers, maar analisten in een lagere laag kunnen hun eigen taken ter plaatse handmatig maken, rechtstreeks vanuit het incident.

U kunt de lijst met taken die u moet uitvoeren voor een bepaald incident bekijken op de pagina met incidentdetails en deze als voltooid markeren.

Use cases voor verschillende rollen

In dit artikel worden de volgende scenario's behandeld, die van toepassing zijn op SOC-analisten:

Andere artikelen op de volgende koppelingen gaan over scenario's die meer van toepassing zijn op SOC-managers, senior analisten en automatiseringstechnici:

Vereisten

De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.

Incidenttaken weergeven en volgen

  1. Selecteer op de pagina Incidenten een incident in de lijst en selecteer Volledige details weergeven onder Taken in het detailvenster of selecteer Volledige details weergeven onderaan het detailvenster.

    Schermopname van de koppeling om het deelvenster Taken te openen vanuit het deelvenster met informatie over incidenten op het scherm met hoofdincidenten.

  2. Als u ervoor hebt gekozen om de volledige pagina met details op te geven, selecteert u Taken in de bovenste banner.

    Schermopname van het scherm met details van incidenten met het taakvenster geopend.

  3. Het deelvenster Incidenttaken wordt geopend aan de rechterkant van het scherm waarin u zich bevindt (de hoofdpagina met incidenten of de pagina met incidentgegevens). U ziet de lijst met taken die voor dit incident zijn gedefinieerd, samen met hoe of door wie het is gemaakt, hetzij handmatig, hetzij door een automatiseringsregel of een playbook.

    Schermopname van het deelvenster incidenttaken, zoals te zien is op de pagina met incidentgegevens.

  4. De taken met beschrijvingen worden gemarkeerd met een uitbreidingspijl. Vouw een taak uit om de volledige beschrijving te zien.

    Schermopname van het deelvenster incidenttaken met uitgebreide taakbeschrijvingen.

  5. Markeer een taak voltooid door de cirkel naast de taaknaam te markeren. Er wordt een vinkje weergegeven in de cirkel en de tekst van de taak wordt grijs weergegeven. Zie het voorbeeld 'Gebruikerswachtwoord opnieuw instellen' in de bovenstaande schermopnamen.

Handmatig een ad-hoctaak toevoegen aan een incident

U kunt ook taken voor uzelf toevoegen, ter plaatse, aan de takenlijst van een incident. Deze taak is alleen van toepassing op het geopende incident. Dit helpt als uw onderzoek u in nieuwe richtingen leidt en u nieuwe dingen bedenkt die u moet controleren. Als u deze als taken toevoegt, zorgt u ervoor dat u ze niet vergeet te doen en dat er een record is van wat u hebt gedaan, waarvan andere analisten en managers kunnen profiteren.

  1. Selecteer + Taak toevoegen bovenaan het deelvenster Incidenttaken .

    Schermopname laat zien hoe u handmatig een taak toevoegt aan uw takenlijst.

  2. Voer een titel in voor uw taak en een beschrijving als u dat wilt.

    Schermopname van het toevoegen van een titel en beschrijving aan uw taak.

  3. Selecteer Opslaan wanneer u klaar bent.

    Schermopname van het voltooien van het definiƫren en opslaan van uw taak.

  4. Zie uw nieuwe taak onder aan de takenlijst. Houd er rekening mee dat handmatig gemaakte taken een andere kleurenband hebben op de linkerrand en dat uw naam wordt weergegeven als Gemaakt door: onder de taaktitel en beschrijving.

    Schermopname van uw nieuwe taak aan het einde van de takenlijst.

Volgende stappen

  • Last updated on