Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одним из наиболее важных факторов эффективного и эффективного выполнения операций безопасности (SecOps) является стандартизация процессов. Ожидается, что аналитики SecOps будут выполнять список этапов или задач в процессе триажинга, расследования или устранения инцидента. Стандартизация и формализация списка задач может помочь обеспечить плавность работы SOC, обеспечивая одинаковые требования, применимые ко всем аналитикам. Таким образом, независимо от того, кто находится на смене, инцидент всегда получит одинаковую обработку и соглашение об уровне обслуживания (SLA). Аналитики не должны тратить время думать о том, что делать, или беспокоиться об отсутствии критического шага. Эти действия определяются менеджером SOC или старшими аналитиками (уровень 2/3) на основе общих знаний безопасности (таких как NIST), их опыт работы с прошлыми инцидентами или рекомендациями, предоставленными поставщиком безопасности, который обнаружил инцидент.
Случаи использования
Аналитики SOC могут использовать единый центральный контрольный список для триажа, расследования и реагирования на инциденты, не беспокоясь об отсутствии критического шага.
Инженеры SOC или старшие аналитики могут документировать, обновлять и согласовывать стандарты реагирования на инциденты между командами аналитиков и сменами. Они также могут создавать контрольные списки задач для обучения новых аналитиков или аналитиков, сталкивающихся с новыми типами инцидентов.
Как менеджер SOC или как MSSP, вы можете убедиться, что инциденты обрабатываются в соответствии с соответствующими соглашениями об уровне обслуживания или soPs.
Предпосылки
Роль "Ответитель Microsoft Sentinel " необходима для создания правил автоматизации и просмотра и редактирования инцидентов, которые необходимы для добавления, просмотра и редактирования задач.
Роль участника Logic Apps необходима для создания и редактирования плейбуков.
Сценарии
Аналитик
Следуйте задачам при обработке инцидента
При выборе инцидента и просмотре полных сведений на странице сведений об инциденте вы увидите на правой панели все задачи, добавленные в этот инцидент, будь то вручную или правилами автоматизации.
Разверните задачу, чтобы просмотреть полное описание, включая пользователя, правило автоматизации или сборник схем, создавший его.
Отметьте задачу как выполненную, выбрав её "флажок".
Добавление задач в инцидент сразу
Вы можете добавить задачи в открытый инцидент, над которым вы работаете, чтобы напомнить себе о действиях, которые нужно предпринять, или записать действия, выполненные по собственной инициативе, которые не отображаются в списке задач. Задачи, добавленные таким образом, будут применяться только к открытому инциденту.
Создатель рабочего процесса
Добавление задач к инцидентам с помощью правил автоматизации
Используйте действие "Добавить задачу " в правилах автоматизации, чтобы автоматически предоставить все инциденты с контрольным списком задач для аналитиков. Задайте условие имени правила Аналитики в правиле автоматизации, чтобы определить область:
Примените правило автоматизации ко всем правилам аналитики , чтобы определить стандартный набор задач, применяемых ко всем инцидентам.
Применяя правило автоматизации к ограниченному набору правил аналитики, вы можете назначать определенные задачи определенным инцидентам в соответствии с угрозами, обнаруженными правилом аналитики или правилами, создающими эти инциденты.
Учитывайте, что порядок отображения задач в инциденте определяется временем создания задач. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики. В одном правиле порядок определения действий определяет порядок, в котором они отображаются в инциденте.
Узнайте, какие инциденты рассматриваются существующими правилами и задачами автоматизации перед созданием нового правила автоматизации.
Используйте фильтр действий в списке правил автоматизации , чтобы просмотреть только те правила, которые добавляют задачи в инциденты, и узнать, какие правила аналитики применяются к этим правилам автоматизации, чтобы понять, к каким инцидентам будут добавлены эти задачи.
Добавлять задачи к инцидентам с плейбуками
Используйте действие "Добавить задачу " в сборник схем (в соединителе Microsoft Sentinel) для автоматического добавления задачи в инцидент, активировавшего сборник схем.
Затем используйте другие действия плейбука в соответствующих коннекторах Logic Apps, чтобы завершить выполнение задачи.
Наконец, используйте действие Отметить задачу как выполненную (снова в соединителе Microsoft Sentinel), чтобы автоматически пометить задачу как завершенную.
Рассмотрим следующие сценарии в качестве примеров:
Позвольте плейбукам добавлять и завершать задачи: При создании инцидента активируется плейбук, который выполняет следующие действия:
- Добавляет в инцидент задачу для сброса пароля пользователя.
- Выполняет задачу, совершая вызов API системе управления пользователями для сброса пароля пользователя.
- Ожидается ответ от системы о том, успешно ли выполнен сброс или произошел сбой.
- Если сброс пароля выполнен успешно, плейбук помечает задачу, которую он только что создал в инциденте, как завершенную.
- Если сброс пароля не удался, план действий не пометит задачу как выполненную, оставляя ее на выполнение аналитику.
Позвольте сборнику схем оценить, следует ли добавлять условные задачи: При создании инцидента он активирует сборник схем, который запрашивает отчет IP-адреса из внешнего источника аналитики угроз.
- Если IP-адрес является вредоносным, сборник схем добавляет определенную задачу (например, "Блокировать этот IP-адрес").
- В противном случае сценарий не предпринимает дальнейших действий.
Используйте правила автоматизации или сборники схем для добавления задач?
Какие факторы должны определять, какой из этих методов использовать для создания задач инцидентов?
- Правила автоматизации. Используйте каждый раз, когда это возможно. Используйте для простых статических задач, которые не требуют интерактивности.
- Сборники схем: использование для расширенных вариантов использования — создание задач на основе условий или задач с интегрированными автоматизированными действиями.
Дальнейшие шаги
- Узнайте, как аналитики могут использовать задачи для обработки рабочего процесса инцидента в Microsoft Sentinel.
- Дополнительные сведения о расследовании инцидентов в Microsoft Sentinel.
- Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации или сборников схем.
- Узнайте больше о правилах автоматизации и их создании.
- Узнайте больше о плейбуках и как их создавать.