Microsoft Sentinel でインシデント タスクを操作する
この記事では、SOC アナリストがインシデント タスクを使用して、Microsoft Sentinel でインシデント処理ワークフロー プロセスを管理する方法について説明します。
インシデント タスク は通常、上級アナリストまたは SOC マネージャーによって設定されたオートメーション ルールまたはプレイブックによって自動的に作成されますが、下位レベルのアナリストは、その場で、インシデント内から直接手動で独自のタスクを作成できます。
インシデントの詳細ページで、特定のインシデントに対して実行する必要があるタスクの一覧を確認し、進行に合わせて完了とマークすることができます。
さまざまなロールのユース ケース
この記事では、SOC アナリストに適用される次のシナリオについて説明します。
次のリンクにあるその他の記事では、SOC マネージャー、上級アナリスト、オートメーション エンジニアに適用される次のシナリオについて説明しています。
前提条件
オートメーション ルールを作成したり、インシデントを表示および編集したりするには、Microsoft Sentinel レスポンダー ロールが必要で、そのどちらもタスクの追加、表示、編集に必要です。
インシデント タスクの表示とフォロー
[インシデント] ページで、一覧からインシデントを選択し、詳細パネルの [タスク] で [すべての詳細を表示] を選択するか、詳細パネルの下部にある [すべての詳細を表示] を選択します。
すべての詳細ページに入力することを選択した場合は、上部バナーから [タスク] を選択します。
[インシデント タスク] パネルが、表示されている画面 (メイン インシデント ページまたはインシデントの詳細ページ) の右側に表示されます。 このインシデントに対して定義されたタスクの一覧と、それが手動またはオートメーション ルールまたはプレイブックのどれによるかに関係なく、その作成方法と作成者が表示されます。
説明があるタスクには、展開矢印でマークされます。 タスクを展開して、その詳細な説明を表示します。
タスク名の横にある円をマークして、タスクを完了としてマークします。 チェック マークが円に表示され、タスクのテキストが淡色表示されます。上記のスクリーンショットの「ユーザー パスワードのリセット」の例を参照してください。
インシデントにアドホック タスクを手動で追加する
その場でインシデントのタスク一覧に、自分のタスクを追加することもできます。 このタスクは、開いているインシデントにのみ適用されます。 これは、調査が新しい方向に進み、新しくチェックする必要があることを考える場合に役立ちます。 これらをタスクとして追加することで、その実行を忘れないようにし、行ったことの記録が残ることで、他のアナリストやマネージャーが利益を得られるようにします。
[インシデント タスク] パネルの上部から [+ タスクの追加] を選択します。
タスクの [タイトル] を入力し、選択に応じて [説明] を入力します。
完了したら、[保存] を選択します。
タスク一覧の下部で新しいタスクを確認します。 手動で作成したタスクは、左の枠線の色の帯が異なり、タスクのタイトルと説明の下に [作成者:] として自分の名前が表示されることに注意してください。
次のステップ
- インシデント タスクの詳細を確認する。
- インシデントの調査方法を確認する。
- オートメーション ルールまたはプレイブックを使用して自動的にインシデントのグループにタスクを追加する方法と、それを使用するタイミングを確認する。
- タスクを追跡する方法について説明します。
- オートメーション ルールとそれらの作成方法の詳細を確認します。
- プレイブックとそれらの作成方法の詳細を確認します。