Ruční vytváření vlastních incidentů v Microsoft Sentinel v Azure Portal

Důležité

Ruční vytvoření incidentu pomocí portálu nebo Logic Apps je v současné době ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Ruční vytvoření incidentu je obecně dostupné pomocí rozhraní API.

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování Microsoft Sentinel Azure Portal pro větší zabezpečení.

Díky Microsoft Sentinel jako řešení pro správu bezpečnostních informací a událostí (SIEM) se aktivity detekce hrozeb a reakce vašich operací zabezpečení soustředí na incidenty, které vyšetřujete a opravujete. Tyto incidenty mají dva hlavní zdroje:

• Vygenerují se automaticky, když mechanismy detekce pracují s protokoly a výstrahami, které Microsoft Sentinel ingestují z připojených zdrojů dat.

• Ingestují se přímo z jiných připojených služeb zabezpečení Microsoftu (například Microsoft Defender XDR), které je vytvořily.

Data o hrozbách však můžou pocházet také z jiných zdrojů, které nejsou ingestované do Microsoft Sentinel, nebo z událostí, které nejsou zaznamenány v žádném protokolu, a přesto můžou ospravedlnit zahájení šetření. Zaměstnanec si například může všimnout nerozpoznané osoby, která se zabývá podezřelými aktivitami souvisejícími s informačními prostředky vaší organizace. Tento zaměstnanec může zavolat nebo poslat e-mail do Centra operací zabezpečení (SOC) a nahlásit aktivitu.

Microsoft Sentinel v Azure Portal umožňuje analytikům zabezpečení ručně vytvářet incidenty pro jakýkoli typ události bez ohledu na zdroj nebo data, takže si nenechte ujít zkoumání těchto neobvyklých typů hrozeb.

Běžné případy použití

Vytvoření incidentu pro nahlášenou událost

Toto je scénář popsaný v úvodu výše.

Vytváření incidentů z událostí z externích systémů

Vytváření incidentů na základě událostí ze systémů, jejichž protokoly nejsou ingestované do Microsoft Sentinel. Například phishingová kampaň založená na SMS může používat firemní branding a motivy vaší organizace k cílení na osobní mobilní zařízení zaměstnanců. Můžete chtít takový útok prozkoumat a vytvořit incident v Microsoft Sentinel, abyste měli platformu pro správu vyšetřování, shromažďování a protokolování důkazů a zaznamenání reakcí a akcí pro zmírnění rizik.

Vytváření incidentů na základě výsledků vyhledávání

Vytváření incidentů na základě pozorovaných výsledků aktivit proaktivního vyhledávání Například při vyhledávání hrozeb v kontextu konkrétního vyšetřování (nebo na vlastní pěst) můžete narazit na důkazy o zcela nesouvisející hrozbě, která vyžaduje vlastní samostatné šetření.

Ruční vytvoření incidentu

Existují tři způsoby ručního vytvoření incidentu:

• Vytvoření incidentu pomocí Azure Portal
• Vytvořte incident pomocí Azure Logic Apps pomocí triggeru incidentu Microsoft Sentinel.
• Vytvořte incident pomocí rozhraní API Microsoft Sentinel prostřednictvím skupiny operací Incidenty. Umožňuje získávat, vytvářet, aktualizovat a odstraňovat incidenty.

Po onboardingu Microsoft Sentinel na portál Microsoft Defender se ručně vytvořené incidenty nesynchronují s portálem Defender, i když je stále možné zobrazit a spravovat v Microsoft Sentinel v Azure Portal a prostřednictvím Logic Apps a rozhraní API.

Oprávnění

K ručnímu vytvoření incidentu se vyžadují následující role a oprávnění.

Metoda	Požadovaná role
Azure Portal a rozhraní API	Jedna z následujících možností: Microsoft Sentinel Respondér Přispěvatel Microsoft Sentinel
Azure Logic Apps	Jedna z výše uvedených možností a navíc: Microsoft Sentinel operátor playbooku pro použití existujícího playbooku Přispěvatel aplikace logiky pro vytvoření nového playbooku

Přečtěte si další informace o rolích v Microsoft Sentinel.

Vytvoření incidentu pomocí Azure Portal

1. Vyberte Microsoft Sentinel a zvolte pracovní prostor.

2. V navigační nabídce Microsoft Sentinel vyberte Incidenty.

3. Na stránce Incidenty na panelu tlačítek vyberte + Vytvořit incident (Preview).

   

   Na pravé straně obrazovky se otevře panel Vytvořit incident (Preview ).

   

4. Odpovídajícím způsobem vyplňte pole na panelu.

   • Title

     • Zadejte název incidentu podle svého výběru. Incident se zobrazí ve frontě s tímto názvem.
     • Požadované. Volný text neomezené délky. Mezery se oříznou.

   • Popis

     • Zadejte popisné informace o incidentu, včetně podrobností, jako je původ incidentu, všechny zúčastněné entity, vztah k jiným událostem, kdo byl informován atd.
     • Volitelný parametr Volný text o velikosti až 5 000 znaků

   • Závažnosti

     • V rozevíracím seznamu zvolte závažnost. K dispozici jsou všechny Microsoft Sentinel podporované závažnosti.
     • Požadované. Výchozí hodnota je Střední.

   • Stav

     • Zvolte stav z rozevíracího seznamu. K dispozici jsou všechny podporované stavy Microsoft Sentinel.
     • Požadované. Výchozí hodnota je Nová.
     • Můžete vytvořit incident se stavem "uzavřeno" a potom ho ručně otevřít, abyste mohli provést změny a zvolit jiný stav. Když v rozevíracím seznamu zvolíte "uzavřeno", aktivuje se pole důvodu klasifikace , abyste mohli zvolit důvod pro uzavření incidentu a přidat komentáře.

   • Vlastník

     • Vyberte si z dostupných uživatelů nebo skupin ve vašem tenantovi. Začněte psát jméno a vyhledejte uživatele a skupiny. Výběrem pole (kliknutím nebo klepnutím) zobrazíte seznam návrhů. Pokud chcete incident přiřadit sami sobě, vyberte v horní části seznamu možnost Přiřadit ke mně.
     • Volitelný parametr

   • Značky

     • Pomocí značek klasifikujte incidenty a vyfiltrujte a vyhledejte je ve frontě.
     • Značky můžete vytvořit tak, že vyberete ikonu znaménka plus, do dialogového okna zadáte text a vyberete OK. Automatické dokončování navrhne značky použité v pracovním prostoru během předchozích dvou týdnů.
     • Volitelný parametr Volný text.

5. V dolní části panelu vyberte Vytvořit . Po několika sekundách se incident vytvoří a zobrazí se ve frontě incidentů.

   Pokud incidentu přiřadíte stav Uzavřeno, nezobrazí se ve frontě, dokud nezměníte filtr stavu tak, aby zobrazoval také uzavřené incidenty. Filtr je ve výchozím nastavení nastavený tak, aby zobrazoval pouze incidenty se stavem "Nový" nebo "Aktivní".

Výběrem incidentu ve frontě zobrazíte jeho úplné podrobnosti, přidáte záložky, změníte vlastníka a stav atd.

Pokud z nějakého důvodu změníte názor na vytvoření incidentu, můžete ho odstranit z mřížky fronty nebo ze samotného incidentu. Pokud chcete odstranit incident, musíte mít roli přispěvatele Microsoft Sentinel.

Vytvoření incidentu pomocí Azure Logic Apps

Vytvoření incidentu je také k dispozici jako akce Logic Apps v konektoru Microsoft Sentinel a tedy v playbookech Microsoft Sentinel.

Akci Vytvořit incident (Preview) najdete ve schématu playbooku pro trigger incidentu.

Potřebujete zadat parametry, jak je popsáno níže:

• Z příslušných rozevíracích seznamu vyberte předplatné, skupinu prostředků a název pracovního prostoru .

• Zbývající pole najdete ve vysvětleních výše (v části Vytvoření incidentu pomocí Azure Portal).

  

Microsoft Sentinel obsahuje ukázkové šablony playbooků, které vám ukážou, jak s touto funkcí pracovat:

• Vytvoření incidentu pomocí Microsoft Form
• Vytvoření incidentu ze sdílené e-mailové doručené pošty

Najdete je v galerii šablon playbooků na stránce Microsoft Sentinel Automation.

Vytvoření incidentu pomocí rozhraní MICROSOFT SENTINEL API

Skupina operací Incidenty umožňuje nejen vytvářet incidenty , ale také je aktualizovat (upravit),získat (načíst),vypsat a odstranit .

Incident vytvoříte pomocí následujícího koncového bodu. Po provedení této žádosti se incident zobrazí ve frontě incidentů na portálu.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Tady je příklad toho, jak může tělo požadavku vypadat:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Poznámky

• Incidenty vytvořené ručně neobsahují žádné entity ani výstrahy. Proto karta Výstrahy na stránce incidentu zůstane prázdná, dokud s incidentem nesouvisíte se stávajícími výstrahami.

  Karta Entity také zůstane prázdná, protože přidávání entit přímo do ručně vytvořených incidentů se v současné době nepodporuje. (Pokud k tomuto incidentu připojíte výstrahu, zobrazí se v incidentu entity z výstrahy.)

• Ručně vytvořené incidenty také nezobrazí žádný název produktu ve frontě.

• Fronta incidentů je ve výchozím nastavení filtrovaná tak, aby zobrazovala pouze incidenty se stavem "Nový" nebo "Aktivní". Pokud vytvoříte incident se stavem Uzavřeno, nezobrazí se ve frontě, dokud nezměníte filtr stavu tak, aby zobrazoval také uzavřené incidenty.

Další kroky

Další informace najdete tady:

• Propojit výstrahy s incidenty v Microsoft Sentinel
• Odstranění incidentů v Microsoft Sentinel
• Navigace, posouzení a správa incidentů Microsoft Sentinel
• Podrobné zkoumání incidentů Microsoft Sentinel