Skapa incidentuppgifter i Microsoft Sentinel med hjälp av automatiseringsregler

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den här artikeln beskriver hur du använder automatiseringsregler för att skapa listor över incidentuppgifter för att standardisera arbetsflödesprocesser för analytiker i Microsoft Sentinel.

Incidentuppgifter kan skapas automatiskt inte bara av automatiseringsregler, utan även av spelböcker, och även manuellt, ad hoc, inifrån en incident.

Användningsfall för olika roller

Den här artikeln beskriver följande scenarier som gäller för SOC-chefer, seniora analytiker och automationstekniker:

Ett annat sådant scenario beskrivs i följande kompletterande artikel:

En annan artikel, på följande länkar, behandlar scenarier som gäller mer för SOC-analytiker:

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

Rollen Microsoft Sentinel svarare krävs för att skapa automatiseringsregler och för att visa och redigera incidenter, som båda är nödvändiga för att lägga till, visa och redigera uppgifter.

Visa automatiseringsregler med incidentåtgärder

På sidan Automation kan du filtrera vyn av automatiseringsregler för att endast se de som har definierat Lägg till aktivitetsåtgärder .

Skärmbild som visar hur du filtrerar rutnätet för automatiseringsregler.

  1. Välj filtret Åtgärder .

  2. Avmarkera kryssrutan Markera alla .

  3. Rulla nedåt och markera kryssrutan Lägg till uppgift .

  4. Välj OK och visa resultatet.

    Skärmbild som visar resultatet av filtret i rutnätet för automatiseringsregler.

    Det här är automatiseringsreglerna som lägger till uppgifter i incidenter. Kolumnen Analytics-regelnamn anger vilka analysregler som dessa automatiseringsregler är villkorade för, så du får en allmän uppfattning om vilka incidenter som påverkas.

    Obs!

    Om du vill ha exakt kunskap om huruvida en automatiseringsregel gäller för en viss incident måste du öppna regeln för att se om några ytterligare villkor har definierats, förutom villkoret för analysregeln. Om andra villkor definieras begränsas omfattningen av de berörda incidenterna.

Lägga till uppgifter i incidenter med automatiseringsregler

  1. På sidan Automation väljer du + Skapa och väljer Automation-regel.

  2. Panelen Skapa ny automatiseringsregel öppnas till höger.
    Ge automationsregeln ett namn som beskriver vad den gör.

  3. Välj När incidenten skapas som utlösare (du kan också använda När incidenten uppdateras).

  4. Lägg till Villkor för att avgöra vilka incidenter som nya aktiviteter ska läggas till i.

    Filtrera till exempel efter Analytics-regelnamn:

    • Du kanske vill lägga till uppgifter i incidenter baserat på de typer av hot som identifieras av en analysregel eller en grupp analysregler som måste hanteras enligt ett visst arbetsflöde. Sök efter och välj relevanta analysregler i listrutan.

    • Eller så kanske du vill lägga till uppgifter som är relevanta för incidenter över alla typer av hot (i det här fallet lämnar du standardvalet Alla som det är).

    I båda fallen kan du lägga till fler villkor för att begränsa omfattningen av incidenter som din automatiseringsregel gäller för. Läs mer om att lägga till avancerade villkor i automatiseringsregler.

    En sak du måste tänka på är att ordningen i vilken uppgifter visas i incidenten bestäms av tidpunkten då aktiviteterna skapades. Du kan ange ordningen för automatiseringsregler så att regler som lägger till uppgifter som krävs för alla incidenter körs först och först efteråt eventuella regler som lägger till uppgifter som krävs för incidenter som genereras av specifika analysregler.

    Skärmbild av den första delen av automatiseringsregelguiden.

  5. Under Åtgärder väljer du Lägg till aktivitet.

    Skärmbild av att välja åtgärden Lägg till uppgift i en automatiseringsregel.

  6. För varje aktivitet anger du en rubrik i fältet Aktivitetsrubrik och väljer sedan +Lägg till beskrivning för att öppna ett beskrivningsfält.
    Endast aktivitetsrubriker visas som standard i incidentens aktivitetslistpanel. En aktivitets beskrivning visas bara när aktivitetsobjektet expanderas.

    Skärmbild som visar hur du lägger till en rubrik och en beskrivning i en aktivitet.

  7. I beskrivningsfältet kan du lägga till en fri formulärbeskrivning för uppgiften, inklusive bilder, länkar och RTF-formatering (se hyperlänkar, numrerade listor och kodblocksformaterad text i exemplen nedan).

    Skärmbild som visar hur du lägger till en beskrivning i en aktivitet.

  8. Lägg till fler uppgifter i samma grupp med incidenter genom att välja + Lägg till åtgärd och upprepa de tre sista stegen.

    Aktiviteter skapas och läggs till i incidenten i enlighet med ordningen för lägg till aktivitetsåtgärder i automatiseringsregeln.

    Skärmbild som visar hur du lägger till fler uppgifter i en automatiseringsregel.

  9. Slutför skapandet av automatiseringsregeln genom att slutföra de återstående stegen, Förfallodatum för regel och Order, och välj Använd i slutet. Mer information finns i Skapa och använda Microsoft Sentinel automationsregler för att hantera svar.

    När det gäller orderinställningen : I vilken ordning aktiviteterna visas i dina incidenter beror på två saker:

    1. Körningsordningen för automatiseringsreglerna, som bestäms av talet i orderinställningen , och...
    2. Ordningen på lägg till aktivitetsåtgärder som definierats i varje automatiseringsregel.

Nästa steg

  • Last updated on