Werken met incidenttaken in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe SOC-analisten incidenttaken kunnen gebruiken om hun werkstroomprocessen voor incidentafhandeling in Microsoft Sentinel te beheren.

Incidenttaken worden doorgaans automatisch gemaakt door automatiseringsregels of playbooks die zijn ingesteld door senior analisten of SOC-managers, maar analisten in lagere lagen kunnen hun eigen taken ter plaatse handmatig maken, rechtstreeks vanuit het incident.

U ziet de lijst met taken die u moet uitvoeren voor een bepaald incident op de pagina met details van het incident en markeer deze als voltooid.

Gebruiksvoorbeelden voor verschillende rollen

In dit artikel worden de volgende scenario's behandeld die van toepassing zijn op SOC-analisten:

• Incidenttaken weergeven en volgen
• Handmatig een ad-hoctaak toevoegen aan een incident

In andere artikelen in de volgende koppelingen worden scenario's besproken die meer van toepassing zijn op SOC-managers, senior analisten en automatiseringstechnici:

• Automatiseringsregels weergeven met acties voor incidenttaken
• Taken toevoegen aan incidenten met automatiseringsregels
• Taken toevoegen aan incidenten met playbooks

Vereisten

De rol Microsoft Sentinel Responder is vereist voor het maken van automatiseringsregels en voor het weergeven en bewerken van incidenten, die beide nodig zijn om taken toe te voegen, weer te geven en te bewerken.

Incidenttaken weergeven en volgen

1. Selecteer op de pagina Incidenten een incident in de lijst en selecteer Volledige details weergeven onder Taken in het detailvenster of selecteer Volledige details onder aan het detailvenster weergeven.

   

2. Als u ervoor hebt gekozen om de volledige detailpagina in te voeren, selecteert u Taken in de bovenste banner.

   

3. Het deelvenster Incidenttaken wordt aan de rechterkant geopend van het scherm waarin u zich bevindt (de pagina met hoofdincidenten of de pagina met details van het incident). U ziet de lijst met taken die zijn gedefinieerd voor dit incident, samen met hoe of door wie het is gemaakt, ongeacht of het handmatig of door een automatiseringsregel of een playbook is.

   

4. De taken met beschrijvingen worden gemarkeerd met een uitbreidingspijl. Vouw een taak uit om de volledige beschrijving ervan weer te geven.

   

5. Een taak markeren als voltooid door de cirkel naast de taaknaam te markeren. Er wordt een vinkje weergegeven in de cirkel en de tekst van de taak wordt grijs weergegeven. Zie het voorbeeld 'Gebruikerswachtwoord opnieuw instellen' in de bovenstaande schermopnamen.

Handmatig een ad-hoctaak toevoegen aan een incident

U kunt ook taken voor uzelf toevoegen, ter plaatse, aan de takenlijst van een incident. Deze taak is alleen van toepassing op het geopende incident. Dit helpt als uw onderzoek u leidt in nieuwe richtingen en u denkt aan nieuwe dingen die u moet controleren. Als u deze toevoegt als taken, zorgt u ervoor dat u ze niet vergeet te doen en dat er een record is van wat u hebt gedaan, waarvan andere analisten en managers kunnen profiteren.

1. Selecteer + Taak toevoegen boven aan het deelvenster Incidenttaken .

   

2. Voer een titel in voor uw taak en een beschrijving als u dat kiest.

   

3. Selecteer Opslaan wanneer u klaar bent.

   

4. Bekijk de nieuwe taak onder aan de takenlijst. Houd er rekening mee dat handmatig gemaakte taken een andere kleurband aan de linkerkant hebben en dat uw naam wordt weergegeven als Gemaakt door: onder de taaktitel en beschrijving.

   

Volgende stappen

• Meer informatie over incidenttaken.
• Meer informatie over het onderzoeken van incidenten.
• Meer informatie over het automatisch toevoegen van taken aan groepen incidenten met behulp van automatiseringsregels of playbooks en wanneer u deze gebruikt.
• Meer informatie over het bijhouden van uw taken.
• Meer informatie over automatiseringsregels en hoe u deze kunt maken.
• Meer informatie over playbooks en het maken ervan.