Utilizando Tarefas no Sentinel e Criando Automação

Disponivel em preview pelo progama CCP a alguns meses e agora disponivel para todos os usuarios (GA), o recurso de Tasks no Sentinel é um recuros muito importante e esperado (Use tasks to manage incidents in Microsoft Sentinel | Microsoft Learn).

Porque é um recurso importante

Já havia sido introduzido no sentinel a algum tempo o recurso de comentários, mas ele não permitia um controle do que precisaria ser realizado em uma sequencia e servia para cada operador ou analista informar o que foi realizado ou descoberto.

O recurso de tasks permite que os analistas e operadores de SOC indiquem uma sequencia, passos bem definidos e estejam claramente identificados.

A tela abaixo demonstra bem como esse é simples e útil. 

Veja que já tenho uma tarefa padrão via automação que abordarei mais tarde, mas já criei uma tarefa de exemplo e a adição de tasks é simples permitindo edição com bullets ou listas numeradas.

As tarefas não permitem a atribuição a terceiros, já que o analista responsavel pela triagem irá direcionar o incidente a outro operador ou analista especialista que irá liderar a investigação.

Automatizando Tasks

No exemplo que utilizei veja que a primeira tarefa foi criada pela automação que inclui o nome do responsavel e cria uma tarefa basica apenas como exemplo.

Isso é feito no Sentinel em Automações (Automation) com todos os incidentes que são gerados no meu ambiente de demonstração:

O meu fluxo de automação inclui uma tarefa que foi a vista anteriormente na interface dos incidentes. Eu posso criar quantas tarefas precisar com o botão "Add action" que fica logo abaixo e assim deixar os incidentes sempre com a lista basica de ações para um incidente.

Pergunta tipica: Mas cada incidente tem tarefas padronizadas, por exemplo DLP validar o conteudo e o owner da informação conforme a politica ABC e assim por diante.

Resposta: No meu exemplo não utilizo filtros, mas você poderá utilizar a condição "Analytic rule name" para indicar quais tipos de incidentes o fluxo de automação se aplicará e assim incluir as tarefas expecificas de determinado incidente. No meu ambiente tenho uma automação padrão que é a acima e uma outra automação para regras analiticas especificas como indicadores de IOC onde insiro tasks quando aquele incidente acontece.

Conclusão

Com este recurso agora é possivel ter uma clara indicação de como tratar o incidente de forma organizada e validar visualmente os passos já efetuados e o que está pendente. 

Isso irá ajudar muito na resolução e acompanhamento dos incidentes, principalmente aqueles que demoram um tempo consideravel ou tem uma série de tarefas concomitantes ao longo da analise.