在 Azure 门户 中处理Microsoft Sentinel中的事件任务

本文介绍 SOC 分析师如何使用事件任务来管理Azure 门户Microsoft Sentinel中的事件处理工作流。

事件任务 通常由自动化规则或由高级分析师或 SOC 经理设置的 playbook 自动创建，但低层分析师可以直接在事件中手动创建自己的任务。

可以在事件详细信息页上查看需要为特定事件执行的任务列表，并将它们标记为完成。

不同角色的用例

本文介绍适用于 SOC 分析师的以下方案：

• 查看和关注事件任务
• 手动向事件添加临时任务

以下链接中的其他文章介绍了更多适用于 SOC 经理、高级分析师和自动化工程师的方案：

• 使用事件任务操作查看自动化规则
• 使用自动化规则向事件添加任务
• 使用 playbook 向事件添加任务

先决条件

创建自动化规则以及查看和编辑事件需要Microsoft Sentinel响应者角色，这两者都是添加、查看和编辑任务所必需的。

查看和关注事件任务

1. 在“事件”页中，从列表中选择事件，然后在详细信息面板中选择“任务”下的“查看完整详细信息”，或在详细信息面板底部选择“查看完整详细信息”。

   

2. 如果选择输入完整详细信息页，请从顶部横幅中选择 “任务 ”。

   

3. “ 事件任务” 面板将在你位于主事件页面或事件详细信息页) (屏幕的右侧打开。 你将看到为此事件定义的任务列表，以及创建该事件的方式或创建者 - 无论是手动还是自动化规则或 playbook。

   

4. 具有说明的任务将使用展开箭头进行标记。 展开任务以查看其完整说明。

   

5. 通过在任务名称旁边标记圆圈来标记任务完成。 圆圈中将显示检查标记，任务文本将灰显。请参阅上面的屏幕截图中的“重置用户密码”示例。

手动向事件添加临时任务

还可以将自己的任务当场添加到事件的任务列表中。 此任务仅适用于打开的事件。 如果你的调查将你引向了新的方向，并且你想到了需要检查的新事物，这将有所帮助。 将它们添加为任务可确保你不会忘记执行这些任务，并且将记录你执行的操作，其他分析师和经理可以从中受益。

1. 从“事件任务”面板顶部选择“+ 添加任务”。

   

2. 输入任务的 “标题” 和 “说明” （如果选择）。

   

3. 完成后，选择“ 保存 ”。

   

4. 查看任务列表底部的新任务。 请注意，手动创建的任务在左边框上具有不同的颜色带，并且你的姓名在任务标题和说明下显示为 “创建者： ”。

   

后续步骤

• 详细了解 事件任务。
• 了解如何 调查事件。
• 了解如何使用 自动化规则 或 playbook 自动将任务添加到事件组，以及 何时使用哪些任务。
• 了解如何 跟踪任务。
• 详细了解 自动化规则 以及如何 创建这些规则。
• 详细了解 playbook 以及如何 创建它们。