在 Microsoft Sentinel 中使用事件工作

• 適用於:

  Microsoft Sentinel in the Azure portal

本文說明 SOC 分析師如何使用事件工作來管理其在 Microsoft Sentinel 中的事件處理工作流程程式。

事件工作 通常是由資深分析師或SOC經理所設定的自動化規則或劇本自動建立，但較低層分析師可以從事件內立即建立自己的工作。

您可以在 [事件詳細數據] 頁面上查看您需要針對特定事件執行的工作清單，並在您執行時將它們標示為完成。

不同角色的使用案例

本文說明適用於SOC分析師的下列案例：

• 檢視並遵循事件工作
• 手動將臨機操作工作新增至事件

下列連結的其他文章說明更多適用於SOC經理、資深分析師和自動化工程師的案例：

• 使用事件工作動作檢視自動化規則
• 使用自動化規則將工作新增至事件
• 使用劇本將工作新增至事件

必要條件

需要 Microsoft Sentinel 回應程式角色才能建立自動化規則，以及檢視和編輯事件，這兩者都需要新增、檢視和編輯工作。

檢視並遵循事件工作

1. 在 [事件] 頁面中，從清單中選取事件，然後選取 [詳細數據] 面板中 [工作] 底下的 [檢視完整詳細數據]，或選取詳細數據面板底部的 [檢視完整詳細數據]。

   

2. 如果您選擇輸入完整詳細數據頁面，請從頂端橫幅選取 [ 工作 ]。

   

3. [ 事件工作 ] 面板會在您所在的畫面右側開啟（主要事件頁面或事件詳細數據頁面）。 您會看到針對此事件所定義的工作清單，以及其建立方式或依據者-無論是手動還是由自動化規則或劇本。

   

4. 具有描述的工作將會以展開箭號標示。 展開工作以查看其完整描述。

   

5. 標記任務名稱旁的圓形，以標示工作完成。 複選標記會出現在圓形中，工作文字會呈現灰色。請參閱上述螢幕快照中的「重設用戶密碼」範例。

手動將臨機操作工作新增至事件

您也可以在現場自行將工作新增至事件的工作清單。 此工作只適用於開啟的事件。 這可協助您的調查引導您走向新的方向，並思考您需要檢查的新事物。 將這些新增為工作可確保您不會忘記執行這些工作，而且會有您所做的記錄，其他分析師和經理可以從中受益。

1. 從 [事件工作] 面板頂端選取 [+ 新增工作]。

   

2. 輸入工作的標題，然後選擇 [描述]。

   

3. 完成時選取 [ 儲存 ]。

   

4. 在工作清單底部查看您的新工作。 請注意，手動建立的工作在左框線上有不同的色彩帶，而且您的名稱會顯示為 [建立者]： 在工作標題和描述底下。

   

下一步

• 深入瞭解 事件工作。
• 瞭解如何 調查事件。
• 瞭解如何使用 自動化規則 或 劇本自動將工作新增至事件群組，以及 使用時機。
• 瞭解如何 追蹤您的工作。
• 深入瞭解 自動化規則 以及如何 建立規則。
• 深入瞭解劇本以及如何建立劇本。