在 Azure 门户中，在 Microsoft Sentinel 中使用事件任务

本文介绍 SOC 分析人员如何使用事件任务，在 Azure 门户中，在 Microsoft Sentinel 中管理事件处理工作流进程。

事件任务通常由高级分析师或 SOC 管理员设置的自动化规则或 playbook 自动创建，但较低层级的分析师可以在现场直接从事件内部手动创建自己的任务。

可以在事件详细信息页上查看需要为特定事件执行的任务列表，并随时将它们标记为完成。

不同角色的用例

本文介绍适用于 SOC 分析师的以下场景：

• 查看和关注事件任务
• 手动向事件添加临时任务

以下链接中的其他文章介绍了更多适用于 SOC 管理员、高级分析师和自动化工程师的场景：

• 使用事件任务操作查看自动化规则
• 使用自动化规则向事件添加任务
• 使用 playbook 向事件添加任务

先决条件

Microsoft Sentinel 响应者角色是创建自动化规则以及查看和编辑事件所必需的，这两者都是添加、查看和编辑任务的必要条件。

查看和关注事件任务

1. 在“事件”页中，从列表中选择一个事件，然后在详细信息面板中选择“任务”下的“查看完整详细信息”，或选择详细信息面板底部的“查看完整详细信息”。

   

2. 如果选择进入完整详细信息页，请从顶部横幅中选择“任务”。

   

3. “事件任务”面板将在你所在的任何屏幕（主事件页或事件详细信息页）的右侧打开。 你将看到为此事件定义的任务列表，以及它的创建方式或创建者 - 无论是手动创建还是通过自动化规则或 playbook 创建。

   

4. 具有说明的任务将使用展开箭头进行标记。 展开任务以查看其完整说明。

   

5. 通过标记任务名称旁边的圆圈来标记任务完成。 圆圈中将出现一个复选标记，任务文本将灰显。请参阅上面屏幕截图中的“重置用户密码”示例。

手动向事件添加临时任务

还可以当场将自己的任务添加到事件的任务列表。 此任务仅适用于打开的事件。 如果你的调查为你指引了新的方向，并且想到有需要检查的新内容，这将有所帮助。 将这些内容添加为任务可确保你不会忘记执行这些任务，并且可为你所做的工作提供记录，使其他分析师和管理员获益。

1. 从“事件任务”面板顶部选择“+ 添加任务”。

   

2. 输入任务的“标题”和“说明”（如果选择）。

   

3. 完成后，选择“保存”。

   

4. 查看任务列表底部的新任务。 请注意，手动创建的任务在左边框上具有不同的颜色带，并且你的姓名在任务标题和说明下显示为“创建者:”。

   

后续步骤

• 详细了解事件任务。
• 了解如何调查事件。
• 了解如何使用自动化规则或 playbook 自动将任务添加到事件组，以及何时使用哪种方法。
• 了解如何跟踪任务。
• 详细了解自动化规则以及如何创建规则。
• 详细了解 playbook 以及如何创建 playbook。