Поделиться через

Создание задач инцидентов в Microsoft Sentinel с помощью правил автоматизации

  • Статья
  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье объясняется, как использовать правила автоматизации для создания списков задач инцидентов, чтобы стандартизировать рабочие процессы аналитиков в Microsoft Sentinel.

Задачи инцидентов можно создавать автоматически не только с помощью правил автоматизации, но и плейбуками, а также вручную, по мере необходимости, в рамках инцидента.

Варианты использования для разных ролей

В этой статье рассматриваются следующие сценарии, которые применяются к руководителям SOC, старшим аналитикам и инженерам автоматизации:

Другой такой сценарий рассматривается в следующей статье:

Другая статья, по следующим ссылкам, устраняет сценарии, которые применяются к аналитикам SOC:

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.

Необходимые компоненты

Роль респондер Microsoft Sentinel необходима для создания правил автоматизации, а также для просмотра и редактирования инцидентов, что необходимо для добавления, просмотра и редактирования задач.

Просмотр правил автоматизации с действиями задачи инцидента

На странице автоматизации можно отфильтровать представление правил автоматизации, чтобы увидеть только те, в которых определены действия добавления задачи.

Снимок экрана: фильтрация сетки правил автоматизации.

  1. Выберите фильтр "Действия ".

  2. Снимите отметку с флажка "Выбрать все".

  3. Прокрутите вниз и установите флажок "Добавить задачу ".

  4. Нажмите кнопку "ОК " и просмотрите результаты.

    Снимок экрана: результаты фильтра в сетке правил автоматизации.

    Это правила автоматизации, добавляющие задачи в инциденты. В столбце имен правил Аналитики вы узнаете, какие правила аналитики определяются этими правилами автоматизации, поэтому вы получите общее представление о том, какие инциденты затронуты.

    Примечание.

    Чтобы точно знать, будет ли правило автоматизации применяться к конкретному инциденту, необходимо открыть правило, чтобы узнать, определены ли дополнительные условия, помимо условия правила аналитики. Если определены другие условия, область затронутых инцидентов будет соответствующим образом сужена.

Добавление задач в инциденты с правилами автоматизации

  1. На странице автоматизации выберите +Создать и выберите правило автоматизации.

  2. Панель создания нового правила автоматизации откроется справа.
    Присвойте правилу автоматизации имя, описывающее его действия.

  3. Выберите "Когда инцидент создается в качестве триггера" (также можно использовать при обновлении инцидента).

  4. Добавьте условия, чтобы определить, к каким инцидентам будут добавляться новые задачи.

    Например, фильтруйте по имени правила Аналитики:

    • Может потребоваться добавить задачи в инциденты на основе типов угроз, обнаруженных правилом аналитики или группой правил аналитики, которые необходимо обрабатывать в соответствии с определенным рабочим процессом. Найдите и выберите соответствующие правила аналитики из раскрывающегося списка.

    • Кроме того, вам может потребоваться добавить задачи, относящиеся к инцидентам во всех типах угроз (в этом случае оставьте значение по умолчанию значение All как есть).

    В любом случае можно добавить дополнительные условия, чтобы сузить область инцидентов, к которым будет применяться правило автоматизации. Узнайте больше о добавлении расширенных условий в правила автоматизации.

    Необходимо учитывать, что порядок отображения задач в инциденте определяется временем создания задач. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики.

    Снимок экрана: первая часть мастера настройки правил автоматизации.

  5. В разделе "Действия" выберите "Добавить задачу".

    Снимок экрана: выбор действия

  6. Для каждой задачи введите заголовок в поле заголовка задачи , а затем (необязательно) нажмите +Добавить описание , чтобы открыть поле описания.
    В области списка задач инцидента отображаются только заголовки задач по умолчанию. Описание задачи отображается только при развертывании элемента задачи.

    Снимок экрана: добавление заголовка и описания в задачу.

  7. В поле описания можно добавить описание бесплатной формы для задачи, включая изображения, ссылки и форматирование форматированного текста (см. гиперссылки, нумерованные списки и текст в виде блока кода в примерах ниже).

    Снимок экрана: добавление описания в задачу.

  8. Добавьте дополнительные задачи в ту же группу инцидентов, нажав кнопку +Добавить действие и повторив последние три шага.

    Задачи будут созданы и добавлены в инцидент в соответствии с порядком действий Добавить задачу в вашем правиле автоматизации.

    Снимок экрана: добавление дополнительных задач в правило автоматизации.

  9. Завершите создание правила автоматизации, выполнив остальные действия, срок действия правила и порядок и нажмите кнопку "Применить " в конце. Дополнительные сведения см. в статье "Создание и использование правил автоматизации Microsoft Sentinel" для управления ответами .

    Относительно настройки порядка: порядок, в котором задачи отображаются в инцидентах, зависит от двух вещей.

    1. Порядок выполнения правил автоматизации, определенный числом в параметре заказа , и...
    2. Порядок действий добавления задач , определенных в каждом правиле автоматизации.

Следующие шаги