Incidensfeladatok változásainak naplózása és nyomon követése a Microsoft Sentinelben az Azure Portalon
Az incidensfeladatok biztosítják az incidensek átfogó és egységes kezelését az összes SOC-személyzet számára. A feladatlistákat általában a vezető elemzők vagy SOC-vezetők meghatározásai alapján határozzák meg, és automatizálási szabályok vagy forgatókönyvek használatával kerülnek a gyakorlatba.
Az elemzők megtekinthetik az adott incidenshez szükséges feladatok listáját az incidens részleteinek oldalán, és útközben megjelölhetik őket. Az elemzők saját feladatokat is létrehozhatnak a helyszínen, manuálisan, közvetlenül az incidensből.
Ez a cikk azt ismerteti, hogy SOC-vezetőként hogyan naplózhatja a Microsoft Sentinel incidensfeladatainak előzményeit, és hogyan követheti nyomon azok változásait az életciklusuk során annak érdekében, hogy felmérje a feladat-hozzárendelések hatékonyságát, valamint az SOC hatékonyságához és megfelelő működéséhez való hozzájárulásukat.
A Feladatok tömb felépítése a SecurityIncident táblában
A SecurityIncident tábla egy naplózási tábla– nem maguk az incidensek, hanem az incidensek élettartamának nyilvántartása: annak létrehozása és a rajta végrehajtott módosítások. Amikor incidenst hoz létre vagy módosít egy incidenst, a rendszer létrehoz egy rekordot ebben a táblában, amely az incidens aktuális állapotát mutatja.
A feladatok részleteinek hozzáadása a táblázat sémáihoz lehetővé teszi a tevékenységek részletesebb naplózását.
A Feladatok mezőhöz hozzáadott részletes információk kulcs-érték párokból állnak, amelyek a következő struktúrát veszik fel:
| Kulcs | Érték leírása |
|---|---|
| createdBy | A feladatot létrehozó identitás: - e-mail: identitás e-mail címe - név: az identitás neve - objectId: az identitás GUID azonosítója - userPrincipalName: Az identitás UPN-je |
| createdTimeUtc | A tevékenység létrehozásának időpontja UTC-ben. |
| lastCompletedTimeUtc | A tevékenység befejezésének időpontja UTC-ben. |
| lastModifiedBy | Az identitás, amely legutóbb módosította a feladatot: - e-mail: identitás e-mail címe - név: az identitás neve - objectId: az identitás GUID azonosítója - userPrincipalName: Az identitás UPN-je |
| lastModifiedTimeUtc | A tevékenység utolsó módosításának időpontja UTC-ben. |
| status | A tevékenység aktuális állapota: Új, Befejezett, Törölt. |
| taskId | A tevékenység erőforrás-azonosítója. |
| cím | A feladat létrehozója által adott rövid név. |
Incidensfeladatok megtekintése a SecurityIncident táblában
Az Incidensfeladatok munkafüzeten kívül naplózhatja a tevékenységtevékenységeket a Naplók SecurityIncident táblájának lekérdezésével. A cikk további része bemutatja, hogyan teheti ezt meg, valamint hogyan olvashatja és értelmezheti a lekérdezés eredményeit a tevékenységtevékenység adatainak lekéréséhez.
A Naplók lapon adja meg a következő lekérdezést a lekérdezési ablakban, és futtassa. Ez a lekérdezés az összes olyan incidenst visszaadja, amely rendelkezik hozzárendelt tevékenységekkel.
SecurityIncident | where array_length( Tasks) > 0A lekérdezéshez tetszőleges számú utasítást adhat hozzá az eredmények szűréséhez és szűkítéséhez. Az eredmények megtekintésének és megértésének bemutatásához utasításokat fogunk hozzáadni az eredmények szűréséhez, hogy csak egyetlen incidens feladatait láthassuk, és egy utasítást
projectis hozzáadunk, hogy csak azokat a mezőket láthassuk, amelyek hasznosak lesznek a céljainkhoz, sok zsúfoltság nélkül.További információ: Kusto lekérdezésnyelv áttekintés.
SecurityIncident | where array_length( Tasks) > 0 | where IncidentNumber == "405211" | sort by LastModifiedTime desc | project IncidentName, Title, LastModifiedTime, TasksTekintsük meg az incidens legutóbbi rekordját, és keressük meg a hozzá társított feladatok listáját.
Válassza ki a lekérdezési eredmények felső sora melletti kiterjesztőt (amely csökkenő recency sorrendben lett rendezve).
A Feladatok mező az incidensben szereplő összes tevékenység aktuális állapotának tömbje. Válassza ki a kibontót a tömb egyes elemeinek a saját sorában való megtekintéséhez.
Most már láthatja, hogy ebben az incidensben két feladat van. Mindegyiket egy bővíthető tömb jeleníti meg. Válassza ki egyetlen tevékenység kibontóját az adatainak megtekintéséhez.
Itt láthatja a tömb első tevékenységének részleteit ("0" a feladat indexpozíciója a tömbben). A címmező a tevékenység nevét jeleníti meg az incidensben látható módon.
A listához hozzáadott feladatok megtekintése
Adjunk hozzá egy feladatot az incidenshez, majd visszatérünk ide, futtassuk újra a lekérdezést, és lássuk az eredmények változásait.
Az Incidensek lapon adja meg az incidens azonosítóját a Keresősávon.
Nyissa meg az incidens részletei oldalt, és válassza a Feladatok lehetőséget az eszköztáron.
Adjon hozzá egy új feladatot, adja neki a "Ez a feladat tesztfeladat!" nevet, majd válassza a Mentés lehetőséget. Az alábbi utolsó feladat az, amellyel a végén el kell végeznie:
Most térjünk vissza a Naplók lapra, és futtassuk újra a lekérdezést.
Az eredményekben látni fogja, hogy a táblában új rekord található ugyanahhoz az incidenshez (jegyezze fel az időbélyegeket). Bontsa ki a rekordot, és láthatja, hogy míg a korábban látott rekordnak két feladata volt a Feladatok tömbben, az újnak három feladata van. A legújabb feladat az imént hozzáadott feladat, ahogy a címe is látható.
Tevékenységek állapotváltozásának megtekintése
Most, ha visszatérünk az új tevékenységhez az incidens részletei lapon, és befejezettként jelöljük meg, majd visszatérünk a Naplókhoz, és újrafuttatjuk a lekérdezést, egy újabb új rekord jelenik meg ugyanahhoz az incidenshez, ezúttal a tevékenység új állapota Befejezve állapotúként jelenik meg.
Tevékenységek törlésének megtekintése
Térjünk vissza a feladatlistára az incidens részletei lapon, és töröljük a korábban hozzáadott feladatot.
Amikor visszatérünk a Naplókhoz, és ismét futtatjuk a lekérdezést, egy újabb rekord jelenik meg, csak ezúttal a tevékenységünk állapota – a "Ez a tevékenység tesztfeladat!" – törlődik.
Ha azonban a feladat egyszer megjelent a tömbben (törölt állapottal), a Továbbiakban nem jelenik meg a Feladatok tömbben az incidens új rekordjaiban a SecurityIncident táblában. A meglévő rekordok, a fent látottakhoz hasonlóan, továbbra is megőrzik azt a bizonyítékot, hogy ez a feladat már létezett.
Lezárt incidenshez tartozó aktív tevékenységek megtekintése
Az alábbi lekérdezéssel megállapíthatja, hogy egy incidens lezárult-e, de nem minden hozzárendelt feladat fejeződött be. Ez a tudás segíthet annak ellenőrzésében, hogy a vizsgálat során fennmaradó laza végeket lezárták-e – minden érintett felet értesítettek, minden megjegyzést beírtak, minden választ ellenőriztek stb.
SecurityIncident
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where Status == 'Closed'
| mv-expand Tasks
| evaluate bag_unpack(Tasks)
| summarize arg_max(lastModifiedTimeUtc, *) by taskId
| where status !in ('Completed', 'Deleted')
| project TaskTitle = ['title'], TaskStatus = ['status'], createdTimeUtc, lastModifiedTimeUtc = column_ifexists("lastModifiedTimeUtc", datetime(null)), TaskCreator = ['createdBy'].name, lastModifiedBy, IncidentNumber, IncidentOwner = Owner.userPrincipalName
| sort by lastModifiedTimeUtc desc
Az előző példákban használt alábbi elemekről további információt a Kusto dokumentációjában talál:
A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.
Egyéb erőforrások:
Következő lépések
- További információ az incidensfeladatokról.
- Ismerje meg, hogyan vizsgálhatja meg az incidenseket.
- Megtudhatja, hogyan adhat hozzá feladatokat incidenscsoportokhoz automatikusan automatizálási szabályok vagy forgatókönyvek használatával, és hogy mikor melyiket használja.
- További információ az automatizálási szabályokról és azok létrehozásáról.
- További információ a forgatókönyvekről és azok létrehozásáról.