Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одним из наиболее важных факторов эффективного и эффективного выполнения операций безопасности (SecOps) является стандартизация процессов. Ожидается, что аналитики SecOps будут выполнять список этапов или задач в процессе триажинга, расследования или устранения инцидента. Стандартизация и формализация списка задач может помочь обеспечить плавность работы SOC, обеспечивая одинаковые требования, применимые ко всем аналитикам. Таким образом, независимо от того, кто находится на смене, инцидент всегда получит одинаковую обработку и соглашение об уровне обслуживания (SLA). Аналитики не должны тратить время думать о том, что делать, или беспокоиться об отсутствии критического шага. Эти действия определяются менеджером SOC или старшими аналитиками (уровень 2/3) на основе общих знаний безопасности (таких как NIST), их опыт работы с прошлыми инцидентами или рекомендациями, предоставленными поставщиком безопасности, который обнаружил инцидент.
Случаи использования
Аналитики SOC могут использовать единый центральный контрольный список для триажа, расследования и реагирования на инциденты, не беспокоясь об отсутствии критического шага.
Инженеры SOC или старшие аналитики могут документировать, обновлять и согласовывать стандарты реагирования на инциденты между командами аналитиков и сменами. Они также могут создавать контрольные списки задач для обучения новых аналитиков или аналитиков, сталкивающихся с новыми типами инцидентов.
Как менеджер SOC или как MSSP, вы можете убедиться, что инциденты обрабатываются в соответствии с соответствующими соглашениями об уровне обслуживания или soPs.
Предпосылки
Роль "Ответитель Microsoft Sentinel " необходима для создания правил автоматизации и просмотра и редактирования инцидентов, которые необходимы для добавления, просмотра и редактирования задач.
Роль участника Logic Apps необходима для создания и редактирования плейбуков.
Сценарии
Аналитик
Выполнение задач при обработке инцидента
При выборе инцидента и просмотре полных сведений на странице сведений об инциденте вы увидите на правой панели все задачи, добавленные в этот инцидент, будь то вручную или правилами автоматизации.
Разверните задачу, чтобы просмотреть полное описание, включая пользователя, правило автоматизации или сборник схем, создавший его.
Пометьте задачу, выбрав его круг "флажок".
Добавление задач в инцидент на месте
Вы можете добавить задачи в открытый инцидент, над которым вы работаете, либо дать себе напоминания о действиях, которые вы обнаружили, что нужно предпринять, или записать действия, которые вы выполнили собственную инициативу, которая не отображается в списке задач. Задачи, добавленные таким образом, будут применяться только к открытому инциденту.
Создатель рабочего процесса
Добавление задач в инциденты с правилами автоматизации
Используйте действие "Добавить задачу " в правилах автоматизации, чтобы автоматически предоставить все инциденты с контрольным списком задач для аналитиков. Задайте условие имени правила Аналитики в правиле автоматизации, чтобы определить область:
Примените правило автоматизации ко всем правилам аналитики , чтобы определить стандартный набор задач, применяемых ко всем инцидентам.
Применяя правило автоматизации к ограниченному набору правил аналитики, вы можете назначать определенные задачи определенным инцидентам в соответствии с угрозами, обнаруженными правилом аналитики или правилами, создающими эти инциденты.
Учитывайте, что порядок отображения задач в инциденте определяется временем создания задач. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики. В одном правиле порядок определения действий определяет порядок, в котором они отображаются в инциденте.
Узнайте, какие инциденты рассматриваются существующими правилами и задачами автоматизации перед созданием нового правила автоматизации.
Используйте фильтр действий в списке правил автоматизации , чтобы просмотреть только те правила, которые добавляют задачи в инциденты, и узнать, какие правила аналитики применяются к этим правилам автоматизации, чтобы понять, к каким инцидентам будут добавлены эти задачи.
Добавление задач в инциденты с сборниками схем
Используйте действие "Добавить задачу " в сборник схем (в соединителе Microsoft Sentinel) для автоматического добавления задачи в инцидент, активировавшего сборник схем.
Затем используйте другие действия плейбука в соответствующих коннекторах Logic Apps, чтобы завершить выполнение задачи.
Наконец, используйте действие Отметить задачу как выполненную (снова в соединителе Microsoft Sentinel), чтобы автоматически пометить задачу как завершенную.
Рассмотрим следующие сценарии в качестве примеров:
Позвольте плейбукам добавлять и завершать задачи: При создании инцидента активируется плейбук, который выполняет следующие действия:
- Добавляет задачу в инцидент для сброса пароля пользователя.
- Выполняет задачу путем выдачи вызова API системе подготовки пользователей для сброса пароля пользователя.
- Ожидает ответа от системы в связи с успехом или сбоем сброса.
- Если сброс пароля выполнен успешно, сборник схем помечает задачу, которую он только что создал в инциденте, как завершено.
- Если сбой сброса пароля, сборник схем не помечает задачу как завершенную, оставив ее аналитику для выполнения.
Позвольте сборнику схем оценить, следует ли добавлять условные задачи: При создании инцидента он активирует сборник схем, который запрашивает отчет IP-адреса из внешнего источника аналитики угроз.
- Если IP-адрес является вредоносным, сборник схем добавляет определенную задачу (например, "Блокировать этот IP-адрес").
- В противном случае сборник схем не принимает дальнейших действий.
Используйте правила автоматизации или сборники схем для добавления задач?
Какие рекомендации следует диктовать, какие из этих методов следует использовать для создания задач инцидентов?
- Правила автоматизации. Используйте каждый раз, когда это возможно. Используйте для простых статических задач, которые не требуют интерактивности.
- Сборники схем: использование для расширенных вариантов использования — создание задач на основе условий или задач с интегрированными автоматизированными действиями.
Дальнейшие шаги
- Узнайте, как аналитики могут использовать задачи для обработки рабочего процесса инцидента в Microsoft Sentinel.
- Дополнительные сведения о расследовании инцидентов в Microsoft Sentinel.
- Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации или сборников схем.
- Узнайте больше о правилах автоматизации и их создании.
- Узнайте больше о плейбуках и как их создавать.