Vytváření úloh incidentů v Microsoft Sentinelu pomocí pravidel automatizace
Tento článek vysvětluje, jak pomocí pravidel automatizace vytvářet seznamy úkolů incidentů, aby bylo možné standardizovat procesy pracovního postupu analytika v Microsoft Sentinelu.
Úlohy incidentů je možné vytvářet automaticky nejen pomocí pravidel automatizace, ale také playbooků, a také ručně, ad hoc, z incidentu.
Případy použití pro různé role
Tento článek se zabývá následujícími scénáři, které platí pro manažery SOC, vedoucí analytiky a techniky automatizace:
- Zobrazení pravidel automatizace pomocí akcí úkolů incidentů
- Přidání úkolů do incidentů pomocí pravidel automatizace
Další takový scénář je vyřešený v následujícím doprovodném článku:
Další článek na následujících odkazech se zabývá scénáři, které se týkají analytiků SOC:
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
Role Responder služby Microsoft Sentinel je nutná k vytváření pravidel automatizace a k zobrazení a úpravám incidentů, z nichž obě jsou nezbytné k přidání, zobrazení a úpravám úkolů.
Zobrazení pravidel automatizace pomocí akcí úkolů incidentů
Na stránce Automation můžete vyfiltrovat zobrazení pravidel automatizace a zobrazit jenom ty, které mají definované akce přidat úkol .
Vyberte filtr Akce.
Zrušte zaškrtnutí políčka Vybrat vše .
Posuňte se dolů a označte zaškrtávací políčko Přidat úkol .
Vyberte OK a zobrazte výsledky.
Toto jsou pravidla automatizace, která přidávají úlohy do incidentů. Sloupec s názvy analytických pravidel vám řekne, na kterých analytických pravidlech jsou tato pravidla automatizace podmíněná, takže budete mít obecnou představu o tom, které incidenty jsou ovlivněné.
Poznámka:
Pokud chcete mít přesné znalosti o tom, jestli se pravidlo automatizace použije u konkrétního incidentu, musíte pravidlo otevřít, abyste zjistili, jestli jsou definovány nějaké další podmínky kromě podmínky analytického pravidla. Pokud jsou definovány další podmínky, rozsah ovlivněných incidentů se odpovídajícím způsobem zúží.
Přidání úkolů do incidentů pomocí pravidel automatizace
Na stránce Automation vyberte + Vytvořit a vyberte pravidlo Automatizace.
Na pravé straně se otevře panel Vytvořit nové pravidlo automatizace.
Pojmenujte pravidlo automatizace, které popisuje, co dělá.Vyberte Při vytvoření incidentu jako triggeru (můžete také použít při aktualizaci incidentu).
Přidejte podmínky pro určení, ke kterým incidentům se přidají nové úkoly.
Můžete například filtrovat podle názvu pravidla Analytics:
Do incidentů můžete chtít přidat úkoly na základě typů hrozeb zjištěných analytickým pravidlem nebo skupinou analytických pravidel, která je potřeba zpracovat podle určitého pracovního postupu. V rozevíracím seznamu vyhledejte a vyberte příslušná analytická pravidla.
Nebo můžete chtít přidat úkoly, které jsou relevantní pro incidenty napříč všemi typy hrozeb (v tomto případě ponechte výchozí výběr Vše tak, jak je).
V obou případech můžete přidat další podmínky pro zúžení rozsahu incidentů, na které bude pravidlo automatizace platit. Přečtěte si další informace o přidávání rozšířených podmínek do pravidel automatizace.
Jednou z věcí, kterou je potřeba vzít v úvahu, je, že pořadí, ve kterém se úkoly zobrazují ve vašem incidentu, určuje čas vytvoření úkolů. Pořadí pravidel automatizace můžete nastavit tak, aby pravidla, která přidávají úkoly požadované pro všechny incidenty, se spustila jako první a teprve potom se spustí všechna pravidla, která přidávají úkoly vyžadované pro incidenty generované konkrétními analytickými pravidly.
V části Akce vyberte Přidat úkol.
Pro každý úkol zadejte název do pole Název úkolu a pak (volitelně) vyberte + Přidat popis a otevřete pole popisu.
Na panelu seznamu úkolů incidentu se ve výchozím nastavení zobrazují jenom názvy úkolů. Popis úkolu se zobrazí pouze v případech, kdy je položka úkolu rozbalována.Do pole popisu můžete přidat bezplatný popis úkolu, včetně obrázků, odkazů a formátování rtF (viz hypertextové odkazy, číslovaný seznamy a blokovaný text v příkladech níže).
Pokud chcete přidat další úkoly do stejné skupiny incidentů, vyberte + Přidat akci a opakujte poslední tři kroky.
Úkoly se vytvoří a přidají do incidentu podle pořadí akcí přidat úkoly v pravidlu automatizace.
Dokončete vytváření pravidla automatizace dokončením zbývajících kroků, vypršením platnosti pravidla a pořadím a výběrem možnosti Použít na konci. Podívejte se na článek Vytvoření a použití pravidel automatizace Microsoft Sentinelu ke správě odpovědí pro úplné podrobnosti.
Pokud jde o nastavení pořadí : Pořadí, ve kterém se úkoly zobrazují ve vašich incidentech, závisí na dvou věcech:
- Pořadí provádění pravidel automatizace podle čísla v nastavení Pořadí a...
- Pořadí akcí přidat úkoly definované v rámci každého pravidla automatizace.
Další kroky
- Přečtěte si další informace o úkolech incidentů.
- Zjistěte, jak vyšetřovat incidenty.
- Naučte se přidávat úkoly do skupin incidentů automaticky pomocí playbooků.
- Naučte se používat úlohy ke zpracování pracovního postupu incidentů v Microsoft Sentinelu.
- Přečtěte si další informace o pravidlech automatizace a o tom, jak je vytvořit.