Trabalhar com tarefas de incidentes no Microsoft Sentinel no portal do Azure

Este artigo explica como os analistas do SOC podem usar tarefas de incidentes para gerenciar seus processos de fluxo de trabalho de tratamento de incidentes no Microsoft Sentinel no portal do Azure.

As tarefas de incidente normalmente são criadas automaticamente por regras de automação ou guias estratégicos configurados por analistas seniores ou gerentes do SOC, mas analistas de camada inferior podem criar suas próprias tarefas no local, manualmente, diretamente de dentro do incidente.

Você pode ver a lista de tarefas que precisa executar para um incidente específico na página de detalhes e marcá-las como concluídas à medida que você avança.

Casos de uso para funções diferentes

Este artigo aborda os seguintes cenários, que se aplicam aos analistas do SOC:

• Exibir e seguir tarefas de incidente
• Adicionar manualmente uma tarefa ad hoc a um incidente

Outros artigos nos links a seguir abordam cenários que se aplicam mais a gerentes de SOC, analistas seniores e engenheiros de automação.

• Exibir regras de automação com ações de tarefa de incidente
• Adicionar tarefas a incidentes com regras de automação
• Adicionar tarefas a incidentes com guias estratégicos

Pré-requisitos

A função de Respondente do Microsoft Sentinel é necessária para criar regras de automação e exibir e editar incidentes, que são necessários para adicionar, exibir e editar tarefas.

Exibir e seguir tarefas de incidentes

1. Na página Incidentes , selecione um incidente na lista e selecione Exibir detalhes completos em Tarefas no painel de detalhes ou selecione Exibir detalhes completos na parte inferior do painel de detalhes.

   

2. Se você escolheu entrar na página de detalhes completos, selecione Tarefas na barra superior.

   

3. O painel de tarefas Incidente será aberto no lado direito da tela em que você estava (a página de incidentes principal ou a página de detalhes do incidente). Você verá a lista de tarefas definidas para esse incidente, juntamente com como ou por quem ele foi criado - seja manualmente ou por uma regra de automação ou um guia estratégico.

   

4. As tarefas que têm descrições serão marcadas com uma seta de expansão. Expanda uma tarefa para ver seus detalhes completos.

   

5. Marque uma tarefa concluída marcando o círculo ao lado do nome da tarefa. Uma marca de seleção aparecerá no círculo e o texto da tarefa ficará em cinza. Veja o exemplo "Redefinir senha do usuário" nas capturas de tela acima.

Adicionar manualmente uma tarefa ad hoc a um incidente

Você também pode adicionar tarefas para si mesmo, no local, à lista de tarefas de um incidente. Essa tarefa será aplicada somente ao incidente aberto. Isso ajuda se sua investigação o leva a novas direções e você pensa em coisas novas que precisa verificar. Adicioná-los como tarefas garante que você não se esqueça de fazê-las e que haverá um registro do que você fez, do qual outros analistas e gerentes podem se beneficiar.

1. Selecione + Adicionar tarefa na parte superior do painel de tarefas de incidente.

   

2. Insira um título para sua tarefa e uma Descrição, se você escolher.

   

3. Selecione Salvar quando terminar.

   

4. Consulte sua nova tarefa na parte inferior da lista de tarefas. Observe que as tarefas criadas manualmente têm uma faixa de cores diferente na borda esquerda e que seu nome aparece como Criado por: sob o título e a descrição da tarefa.

   

Próximas etapas

• Saiba mais sobre tarefas de incidentes.
• Saiba como investigar incidentes.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente usando regras de automação ou guias estratégicos e quando usar qual.
• Saiba mais sobre como acompanhar suas tarefas.
• Saiba mais sobre regras de automação e como criá-las.
• Saiba mais sobre os guias estratégicos e como criá-los.