在 Microsoft Sentinel 中使用事件任务

  • 项目

本文介绍了 SOC 分析师如何使用事件任务在 Microsoft Sentinel 中管理其事件处理工作流流程。

事件任务通常由高级分析师或 SOC 管理员设置的自动化规则或 playbook 自动创建,但较低层级的分析师可以在现场直接从事件内部手动创建自己的任务。

可以在事件详细信息页上查看需要为特定事件执行的任务列表,并随时将它们标记为完成。

不同角色的用例

本文介绍适用于 SOC 分析师的以下场景:

以下链接中的其他文章介绍了更多适用于 SOC 管理员、高级分析师和自动化工程师的场景:

先决条件

Microsoft Sentinel 响应者角色是创建自动化规则以及查看和编辑事件所必需的,这两者都是添加、查看和编辑任务的必要条件。

查看和关注事件任务

  1. 在“事件”页中,从列表中选择一个事件,然后在详细信息面板中选择“任务”下的“查看完整详细信息”,或选择详细信息面板底部的“查看完整详细信息”

    Screenshot of link to enter the tasks panel from the incident info panel on the main incidents screen.

  2. 如果选择进入完整详细信息页,请从顶部横幅中选择“任务”

    Screenshot shows incident details screen with tasks panel open.

  3. “事件任务”面板将在你所在的任何屏幕(主事件页或事件详细信息页)的右侧打开。 你将看到为此事件定义的任务列表,以及它的创建方式或创建者 - 无论是手动创建还是通过自动化规则或 playbook 创建。

    Screenshot shows incident tasks panel as seen from incident details page.

  4. 具有说明的任务将使用展开箭头进行标记。 展开任务以查看其完整说明。

    Screenshot shows incident tasks panel with expanded task descriptions.

  5. 通过标记任务名称旁边的圆圈来标记任务完成。 圆圈中将出现一个复选标记,任务文本将灰显。请参阅上面屏幕截图中的“重置用户密码”示例。

手动向事件添加临时任务

还可以当场将自己的任务添加到事件的任务列表。 此任务仅适用于打开的事件。 如果你的调查为你指引了新的方向,并且想到有需要检查的新内容,这将有所帮助。 将这些内容添加为任务可确保你不会忘记执行这些任务,并且可为你所做的工作提供记录,使其他分析师和管理员获益。

  1. 从“事件任务”面板顶部选择“+ 添加任务”

    Screenshot shows how to manually add a task to your task list.

  2. 输入任务的“标题”和“说明”(如果选择)。

    Screenshot shows how to add a title and description to your task.

  3. 完成后,选择“保存”。

    Screenshot shows how to finish defining and save your task.

  4. 查看任务列表底部的新任务。 请注意,手动创建的任务在左边框上具有不同的颜色带,并且你的姓名在任务标题和说明下显示为“创建者:”。

    Screenshot showing your new task at the end of the task list.

后续步骤