Související výstrahy s incidenty v Microsoft Sentinelu

  • Článek

V tomto článku se dozvíte, jak propojit výstrahy s vašimi incidenty ve službě Microsoft Sentinel. Tato funkce umožňuje ručně nebo automaticky přidávat výstrahy nebo je odebírat z existujících incidentů v rámci procesů vyšetřování a upřesňovat rozsah incidentů při prošetření.

Důležité

Rozšíření incidentu je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Rozšíření rozsahu a výkonu incidentů

Jednou z věcí, kterou tato funkce umožňuje, je zahrnout výstrahy z jednoho zdroje dat v incidentech generovaných jiným zdrojem dat. Můžete například přidat upozornění z programu Microsoft Defender for Cloud nebo z různých zdrojů dat třetích stran na incidenty importované do Microsoft Sentinelu z XDR v programu Microsoft Defender.

Tato funkce je integrovaná do nejnovější verze rozhraní API služby Microsoft Sentinel, což znamená, že je k dispozici konektoru Logic Apps pro Microsoft Sentinel. Playbooky tak můžete použít k automatickému přidání výstrahy k incidentu, pokud jsou splněny určité podmínky.

Pomocí této automatizace můžete také přidávat výstrahy do ručně vytvořených incidentů, vytvářet vlastní korelace nebo definovat vlastní kritéria pro seskupení výstrah do incidentů při jejich vytváření.

Omezení

  • Microsoft Sentinel importuje výstrahy i incidenty z XDR v programu Microsoft Defender. Ve většině případů můžete s těmito výstrahami a incidenty zacházet jako s běžnými upozorněními a incidenty služby Microsoft Sentinel.

    Výstrahy Defenderu ale můžete přidávat jenom do incidentů Defenderu (nebo je odebrat) na portálu Defender, ne na portálu Sentinel. Pokud to zkusíte v Microsoft Sentinelu, zobrazí se chybová zpráva. K incidentu můžete přejít na portálu Microsoft Defenderu pomocí odkazu v incidentu Microsoft Sentinelu. Nedělejte si starosti, ale žádné změny, které v incidentu provedete na portálu Microsoft Defenderu, se synchronizují s paralelním incidentem v Microsoft Sentinelu, takže na portálu Sentinel se stále zobrazí přidaná upozornění.

    Na portálu Microsoft Sentinel můžete přidat upozornění XDR v programu Microsoft Defender na incidenty, které nejsou v programu Defender, a výstrahy jiných než Defenderu.

  • Incident může obsahovat maximálně 150 výstrah. Pokud se pokusíte přidat výstrahu k incidentu s 150 upozorněními, zobrazí se chybová zpráva.

Přidání upozornění pomocí časové osy entity (Preview)

Časová osa entit, jak je uvedeno v novém prostředí incidentů (nyní ve verzi Preview), představuje všechny entity v konkrétním šetření incidentu. Když je vybrána entita v seznamu, zobrazí se na bočním panelu miniaturní stránka entity.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

    Screenshot of new incidents queue displayed in a grid.

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.

  3. Na stránce incidentu vyberte kartu Entity .

    Screenshot of entities tab in incident page.

  4. Ze seznamu vyberte entitu.

  5. Na bočním panelu stránky entity vyberte kartu Časová osa .

    Screenshot of entity timeline card in entities tab of incident page.

  6. Vyberte externí výstrahu otevřeného incidentu. Ty jsou označené ikonou stínění šedě a barevným pruhem tečkované čáry představující závažnost. Na pravém konci výstrahy vyberte ikonu znaménka plus.

    Screenshot of appearance of external alert in entity timeline.

  7. Kliknutím na tlačítko OK potvrďte přidání výstrahy k incidentu. Zobrazí se oznámení s potvrzením přidání výstrahy k incidentu nebo vysvětlením, proč se nepřidali. Screenshot of adding an alert to an incident in the entity timeline.

Uvidíte, že přidaná výstraha se teď zobrazí ve widgetu časová osa otevřeného incidentu na kartě Přehled s ikonou celobarevného štítu a barevným pásem plných čar, jako jsou všechny ostatní výstrahy v incidentu.

Přidaná výstraha je teď úplnou součástí incidentu a všechny entity v přidaném upozornění (které ještě nebyly součástí incidentu) se také staly součástí incidentu. Teď můžete prozkoumat časové osy těchto entit pro jejich další výstrahy, které jsou teď způsobilé k přidání do incidentu.

Odebrání výstrahy z incidentu

Výstrahy přidané do incidentu (ručně nebo automaticky) je možné odebrat i z incidentu.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.

  3. Na kartě Přehled ve widgetu Časová osa incidentu vyberte tři tečky vedle výstrahy, kterou chcete z incidentu odebrat. V místní nabídce vyberte Odebrat upozornění.

    Screenshot showing how to remove an alert from an incident in the incident timeline.

Přidání upozornění pomocí grafu šetření

Graf šetření je vizuální a intuitivní nástroj, který prezentuje propojení a vzory a umožňuje analytikům klást správné otázky a sledovat potenciální zákazníky. Můžete ho použít k přidání výstrah a jejich odebrání z incidentů, rozšíření nebo zúžení rozsahu vyšetřování.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

    Screenshot of incidents queue displayed in a grid.

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte tlačítko Akce a v místní nabídce zvolte Prozkoumat . Tím se otevře graf šetření.

    Screenshot of incidents with alerts in investigation graph.

  3. Najeďte myší na libovolnou entitu a zobrazte seznam průzkumných dotazů na jeho straně. Vyberte Související výstrahy.

    Screenshot of alert exploration queries in investigation graph.

    Související výstrahy se zobrazí propojené s entitou tečkovanými čárami.

    Screenshot of related alerts appearing in investigation graph.

  4. Najeďte myší na jednu ze souvisejících upozornění, dokud se nabídka nezobrazí na jeho straně. Vyberte Přidat výstrahu k incidentu (Preview).

    Screenshot of adding an alert to an incident in the investigation graph.

  5. Výstraha se přidá do incidentu a pro všechny účely je součástí incidentu spolu se všemi jejími entitami a podrobnostmi. Zobrazí se dvě vizuální reprezentace:

    • Čára, která ji připojuje k entitě v grafu šetření, se změnila z tečkované na plnou a připojení k entitě v přidaném upozornění se přidala do grafu.

      Screenshot showing an alert added to an incident.

    • Výstraha se teď zobrazí na časové ose tohoto incidentu společně s výstrahami, které tam už byly.

      Screenshot showing an alert added to an incident's timeline.

Zvláštní situace

Při přidávání výstrahy k incidentu můžete být v závislosti na okolnostech požádáni o potvrzení vaší žádosti nebo o volbu mezi různými možnostmi. Níže jsou uvedeny některé příklady těchto situací, volby, které budete požádáni, aby a jejich důsledky.

  • Výstraha, kterou chcete přidat, už patří do jiného incidentu.

    V takovém případě se zobrazí zpráva s oznámením, že výstraha je součástí jiného incidentu nebo incidentů, a zeptá se, jestli chcete pokračovat. Výběrem ok přidáte upozornění nebo zrušíte tak, že necháte věci tak, jak byly.

    Přidání výstrahy do tohoto incidentu ho neodebere z jiných incidentů. Výstrahy můžou souviset s více incidenty. Pokud chcete, můžete výstrahu odebrat ručně z ostatních incidentů pomocí odkazů uvedených výše ve zprávě.

  • Výstraha, kterou chcete přidat, patří do jiného incidentu a je to jediná výstraha v druhém incidentu.

    To se liší od výše uvedeného případu, protože pokud je výstraha sama v druhém incidentu, může sledování v tomto incidentu znamenat, že druhý incident bude irelevantní. V tomto případě se zobrazí toto dialogové okno:

    Screenshot asking whether to keep or close other incident.

    • Při přidávání výstrahy do tohoto incidentu zachováte druhý incident stejně, jak je.

    • Zavření jiného incidentu přidá výstrahu k tomuto incidentu a druhý incident zavře, přidá závěrečnou příčinu "Nedevidováno" a komentář "Výstraha byla přidána k jinému incidentu" s číslem otevřeného incidentu.

    • Zrušení ponechá stav quo. Neprovádí žádné změny otevřeného incidentu ani jiného odkazovaného incidentu.

    Které z těchto možností zvolíte, závisí na vašich konkrétních potřebách; nedoporučujeme jednu volbu oproti druhé.

Přidání nebo odebrání upozornění pomocí playbooků

Přidání a odebrání výstrah do incidentů jsou také dostupné jako akce Logic Apps v konektoru Microsoft Sentinelu, a proto v playbookech Microsoft Sentinelu. Jako parametry potřebujete zadat ID ARM incidentu a ID upozornění systému a můžete je najít ve schématu playbooku pro triggery výstrahy i incidentů.

Microsoft Sentinel poskytuje ukázkovou šablonu playbooku v galerii šablon, která ukazuje, jak pracovat s touto funkcí:

Screenshot of playbook template for relating alerts to incidents.

Tady je postup, jak se v tomto playbooku používá akce Přidat výstrahu k incidentu (Preview ), například jak ji můžete použít jinde:

Screenshot of adding an alert to an incident using a playbook action.

Přidání nebo odebrání upozornění pomocí rozhraní API

Abyste mohli tuto funkci používat, nejste omezeni na portál. Je také přístupná prostřednictvím rozhraní API služby Microsoft Sentinel prostřednictvím skupiny operací vztahů s incidenty. Umožňuje získat, vytvořit, aktualizovat a odstranit vztahy mezi výstrahami a incidenty.

Vytvoření vztahu

K incidentu přidáte upozornění vytvořením relace mezi nimi. Pomocí následujícího koncového bodu přidejte výstrahu k existujícímu incidentu. Po provedení této žádosti se výstraha připojí k incidentu a zobrazí se v seznamu výstrah v incidentu na portálu.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Text požadavku vypadá takto:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Odstranění relace

Výstrahu z incidentu odeberete odstraněním vztahu mezi nimi. Pomocí následujícího koncového bodu odeberte výstrahu z existujícího incidentu. Po provedení této žádosti se výstraha už nebude připojovat k incidentu ani se k němu nebude zobrazovat.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Výpis vztahů s upozorněními

Pomocí tohoto koncového bodu a požadavku můžete také zobrazit seznam všech výstrah, které souvisejí s konkrétním incidentem:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Konkrétní kódy chyb

Obecná dokumentace k rozhraní API uvádí očekávané kódy odpovědí pro operace vytvoření, odstranění a výpisu uvedené výše. Kódy chyb jsou zde zmíněny pouze jako obecná kategorie. Tady jsou možné konkrétní kódy chyb a zprávy uvedené v kategorii "Jiné stavové kódy":

Kód Message
400 – Chybný požadavek Nepodařilo se vytvořit relaci. V incidentu {incidentIdentifier} již existuje jiný typ relace s názvem {relationName}.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Výstraha {systemAlertId} již v incidentu {incidentIdentifier} existuje.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Související prostředek a incident by měly patřit do stejného pracovního prostoru.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Výstrahy XDR v programu Microsoft Defender nelze přidat do incidentů XDR v programu Microsoft Defender.
400 – Chybný požadavek Odstranění relace se nezdařilo. Výstrahy XDR v programu Microsoft Defender nelze odebrat z incidentů XDR v programu Microsoft Defender.
404 – Nenalezeno Prostředek {systemAlertId} neexistuje.
404 – Nenalezeno Incident neexistuje.
409 – Konflikt Nepodařilo se vytvořit relaci. Vztah s názvem {relationName} již v incidentu {incidentIdentifier} existuje s jiným upozorněním {systemAlertId}.

Další kroky

V tomto článku jste zjistili, jak přidat výstrahy k incidentům a odebrat je pomocí portálu a rozhraní API služby Microsoft Sentinel. Další informace naleznete v tématu: