Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Incidentuppgifter säkerställer omfattande och enhetlig behandling av incidenter för all SOC-personal. Uppgiftslistor definieras vanligtvis enligt beslut som görs av seniora analytiker eller SOC-chefer och omsätts i praktiken med hjälp av automatiseringsregler eller spelböcker.
Dina analytiker kan se en lista över uppgifter som de behöver utföra för en viss incident på sidan incidentinformation och markera dem som slutförda när de går. Analytiker kan också skapa egna uppgifter på plats manuellt direkt inifrån incidenten.
Den här artikeln beskriver hur du som SOC-chef kan granska historiken för Microsoft Sentinel incidentuppgifter och spåra de ändringar som gjorts i dem under hela livscykeln, för att mäta effekten av dina uppgiftstilldelningar och deras bidrag till SOC:s effektivitet och korrekt funktion.
Matrisen Uppgifters struktur i tabellen SecurityIncident
Tabellen SecurityIncident är en granskningstabell – den lagrar inte själva incidenterna, utan i stället poster över en incidents livslängd: dess skapande och eventuella ändringar som görs i den. Varje gång en incident skapas eller en ändring görs i en incident genereras en post i den här tabellen som visar incidentens aktuella tillstånd.
Genom att lägga till uppgifter i schemat för den här tabellen kan du granska uppgifter mer ingående.
Den detaljerade information som läggs till i fältet Uppgifter består av nyckel/värde-par som har följande struktur:
| Tangent | Värdebeskrivning |
|---|---|
| createdBy | Identiteten som skapade uppgiften: - e-post: identitetens e-postadress - namn: namnet på identiteten - objectId: GUID för identiteten – userPrincipalName: UPN för identiteten |
| createdTimeUtc | Tiden då aktiviteten skapades i UTC. |
| lastCompletedTimeUtc | Tiden då aktiviteten markerades som slutförd, i UTC. |
| lastModifiedBy | Identiteten som senast ändrade uppgiften: - e-post: identitetens e-postadress - namn: namnet på identiteten - objectId: GUID för identiteten – userPrincipalName: UPN för identiteten |
| lastModifiedTimeUtc | Tid då aktiviteten senast ändrades, i UTC. |
| Status | Aktuell status för uppgiften: Ny, Slutförd, Borttagen. |
| taskId | Resurs-ID för aktiviteten. |
| titel | Eget namn som tilldelats uppgiften av dess skapare. |
Visa incidentaktiviteter i tabellen SecurityIncident
Förutom arbetsboken Incidentuppgifter kan du granska aktivitetsaktiviteten genom att fråga tabellen SecurityIncident i Loggar. Resten av den här artikeln visar hur du gör detta, samt hur du läser och förstår frågeresultaten för att hämta aktivitetsaktivitetsinformation.
På sidan Loggar anger du följande fråga i frågefönstret och kör den. Den här frågan returnerar alla incidenter som har tilldelats några uppgifter.
SecurityIncident | where array_length( Tasks) > 0Du kan lägga till valfritt antal instruktioner i frågan för att filtrera och begränsa resultatet. För att visa hur du visar och förstår resultaten ska vi lägga till instruktioner för att filtrera resultaten så att vi bara ser uppgifterna för en enskild incident, och vi lägger också till en
projectinstruktion så att vi bara ser de fält som är användbara för vårt ändamål, utan mycket oreda.Mer information finns i Kusto-frågespråk översikt.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksNu ska vi titta på den senaste posten för den här incidenten och hitta listan över aktiviteter som är associerade med den.
Välj expanderaren bredvid den översta raden i frågeresultatet (som har sorterats i fallande ordning efter rekency).
Fältet Uppgifter är en matris med det aktuella tillståndet för alla aktiviteter i den här incidenten. Välj expanderaren för att visa varje objekt i matrisen på sin egen rad.
Nu ser du att det finns två uppgifter i den här incidenten. Var och en representeras i sin tur av en expanderbar matris. Välj en enskild aktivitets expanderare för att visa dess information.
Här visas information om den första aktiviteten i matrisen ("0" är indexpositionen för aktiviteten i matrisen). Rubrikfältet visar namnet på aktiviteten som visas i incidenten.
Visa aktiviteter som lagts till i listan
Nu ska vi lägga till en uppgift i incidenten och sedan kommer vi tillbaka hit, kör frågan igen och ser ändringarna i resultatet.
På sidan Incidenter anger du incident-ID-numret i sökfältet.
Öppna sidan incidentinformation och välj Uppgifter i verktygsfältet.
Lägg till en ny aktivitet, ge den namnet "Den här aktiviteten är en testaktivitet!". Välj sedan Spara. Den sista uppgiften som visas nedan är vad du bör sluta med:
Nu ska vi gå tillbaka till sidan Loggar och köra frågan igen.
I resultatet ser du att det finns en ny post i tabellen för samma incident (observera tidsstämplarna). Expandera posten så ser du att medan posten som vi såg tidigare hade två uppgifter i matrisen Uppgifter , har den nya tre. Den senaste uppgiften är den som vi precis har lagt till, som du kan se i rubriken.
Visa statusändringar i aktiviteter
Nu, om vi går tillbaka till den nya aktiviteten på sidan incidentinformation och markerar den som slutförd och sedan kommer tillbaka till Loggar och kör frågan igen, ser vi ännu en ny post för samma incident, den här gången som visar uppgiftens nya status som Slutförd.
Visa borttagning av uppgifter
Nu ska vi gå tillbaka till uppgiftslistan på sidan incidentinformation och ta bort uppgiften som vi lade till tidigare.
När vi kommer tillbaka till Loggar och kör frågan igen ser vi en annan ny post, bara den här gången statusen för vår uppgift – den som heter "Den här aktiviteten är en testaktivitet!" – kommer att tas bort.
Men när uppgiften har dykt upp en sådan gång i matrisen (med statusen Borttagen ) visas den inte längre i matrisen Uppgifter i nya poster för incidenten i tabellen SecurityIncident . De befintliga posterna, som de vi såg ovan, fortsätter att bevara bevisen för att den här uppgiften en gång fanns.
Visa aktiva uppgifter som hör till en stängd incident
Med följande fråga kan du se om en incident har stängts, men inte alla dess tilldelade uppgifter har slutförts. Den här kunskapen kan hjälpa dig att kontrollera att eventuella återstående lösa ändar i din undersökning har avslutats – alla relevanta parter har underrättats, alla kommentarer har angetts, alla svar har verifierats och så vidare.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| sort by lastModifiedTimeUtc desc
Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:
- where-operator
- projektoperator
- sorteringsoperator
- summarize-operator
- aggregeringsfunktionen arg_max()
Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).
Andra resurser:
Nästa steg
- Läs mer om incidentuppgifter.
- Lär dig hur du undersöker incidenter.
- Lär dig hur du lägger till uppgifter i grupper av incidenter automatiskt med hjälp av automatiseringsregler eller spelböcker och när du ska använda vilka.
- Läs mer om automatiseringsregler och hur du skapar dem.
- Läs mer om spelböcker och hur du skapar dem.