Spojit výstrahy s incidenty ve službě Microsoft Sentinel
V tomto článku se dozvíte, jak propojit výstrahy s incidenty ve službě Microsoft Sentinel. Tato funkce umožňuje ručně nebo automaticky přidávat výstrahy do existujících incidentů nebo je odebírat z existujících incidentů v rámci procesů vyšetřování a v průběhu vyšetřování upřesňovat rozsah incidentů.
Důležité
Rozšíření incidentu je v současné době ve verzi PREVIEW. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.
Rozšíření rozsahu a možností incidentů
Jedna věc, kterou tato funkce umožňuje, je zahrnout výstrahy z jednoho zdroje dat do incidentů generovaných jiným zdrojem dat. Můžete například přidat výstrahy z Microsoft Defender pro cloud nebo z různých zdrojů dat třetích stran na incidenty importované do služby Microsoft Sentinel z Microsoft 365 Defender.
Tato funkce je integrovaná do nejnovější verze rozhraní API služby Microsoft Sentinel, což znamená, že je k dispozici pro konektor Logic Apps pro Microsoft Sentinel. Playbooky tak můžete použít k automatickému přidání výstrahy k incidentu, pokud jsou splněny určité podmínky.
Tuto automatizaci můžete také použít k přidání upozornění na ručně vytvořené incidenty, k vytváření vlastních korelací nebo k definování vlastních kritérií pro seskupení výstrah do incidentů při jejich vytvoření.
Omezení
Microsoft Sentinel importuje výstrahy i incidenty z Microsoft 365 Defender. Ve většině případů můžete s těmito výstrahami a incidenty zacházet jako s běžnými výstrahami a incidenty služby Microsoft Sentinel.
Výstrahy defenderu ale můžete přidávat k incidentům Defenderu (nebo je odebrat) jenom na portálu Defenderu, ne na portálu Sentinel. Pokud to zkusíte udělat ve službě Microsoft Sentinel, zobrazí se chybová zpráva. K incidentu můžete přejít na portálu Microsoft 365 Defender pomocí odkazu v incidentu služby Microsoft Sentinel. Nemějte ale obavy – všechny změny, které v incidentu provedete na portálu Microsoft 365 Defender, se synchronizují s paralelním incidentem ve službě Microsoft Sentinel, takže přidaná upozornění v incidentu na portálu Sentinel stále uvidíte.
Výstrahy Microsoft 365 Defender můžete přidat k incidentům, které nejsou v programu Defender, a výstrahy jiného programu než Defender do incidentů defenderu na portálu Microsoft Sentinel.
Incident může obsahovat maximálně 150 výstrah. Pokud se pokusíte přidat upozornění k incidentu se 150 upozorněními, zobrazí se chybová zpráva.
Přidání upozornění pomocí časové osy entity (Preview)
Časová osa entity, která je uvedena v novém prostředí incidentu (nyní ve verzi Preview), představuje všechny entity v rámci šetření konkrétního incidentu. Když vyberete entitu v seznamu, zobrazí se na bočním panelu miniaturní stránka entity.
V navigační nabídce služby Microsoft Sentinel vyberte Incidenty.
Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.
Na stránce incidentu vyberte kartu Entity .
Ze seznamu vyberte entitu.
Na bočním panelu stránky entity vyberte kartu Časová osa .
Vyberte výstrahu, která je pro otevřený incident externí. Ty jsou označeny zašedlou ikonou štítu a barevným pásmem s tečkovanými čárami představujícími závažnost. Vyberte ikonu se znaménkem plus na pravém konci tohoto upozornění.
Kliknutím na OK potvrďte přidání upozornění k incidentu. Obdržíte oznámení s potvrzením přidání upozornění k incidentu nebo vysvětlením, proč nebylo přidáno.
Přidané upozornění se teď zobrazí ve widgetu Časová osa otevřeného incidentu na kartě Přehled s ikonou barevného štítu a barevným pruhem plných čar jako u všech ostatních výstrah v incidentu.
Přidané upozornění je teď úplnou součástí incidentu a všechny entity v přidaném upozornění (které ještě nebyly součástí incidentu) se také staly součástí incidentu. Teď můžete prozkoumat časové osy těchto entit pro jejich další výstrahy, které jsou teď způsobilé k přidání do incidentu.
Odebrání upozornění z incidentu
Výstrahy, které byly přidány k incidentu – ručně nebo automaticky – je možné z incidentu také odebrat.
V navigační nabídce služby Microsoft Sentinel vyberte Incidenty.
Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.
Na kartě Přehled ve widgetu Časová osa incidentu vyberte tři tečky vedle výstrahy, kterou chcete z incidentu odebrat. V místní nabídce vyberte Odebrat upozornění.
Přidání upozornění pomocí grafu šetření
Graf šetření je vizuální a intuitivní nástroj, který prezentuje souvislosti a vzory a umožňuje analytikům klást správné otázky a sledovat potenciální zákazníky. Můžete ho použít k přidání výstrah do incidentů a jejich odebrání z incidentů, a rozšířit tak nebo zúžit rozsah vyšetřování.
V navigační nabídce služby Microsoft Sentinel vyberte Incidenty.
Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte tlačítko Akce a v místní nabídce zvolte Prozkoumat . Tím se otevře graf šetření.
Najeďte myší na libovolnou entitu, aby se na její straně zobrazil seznam dotazů pro zkoumání . Vyberte Související výstrahy.
Související výstrahy se zobrazí jako propojené s entitou pomocí tečkovaných čar.
Najeďte myší na jedno ze souvisejících upozornění, dokud se nabídka nezobrazí vedle sebe. Vyberte Přidat upozornění k incidentu (Preview).
Výstraha se přidá k incidentu a pro všechny účely je součástí incidentu spolu se všemi jeho entitami a podrobnostmi. Uvidíte dvě vizuální znázornění:
Čára, která ji spojuje s entitou v grafu šetření, se změnila z tečkované na plnou a do grafu byla přidána připojení k entitě v přidaném upozornění.
Výstraha se teď zobrazí na časové ose tohoto incidentu společně s výstrahami, které už tam byly.
Zvláštní situace
Při přidávání upozornění k incidentu se v závislosti na okolnostech může zobrazit výzva k potvrzení vaší žádosti nebo k výběru mezi různými možnostmi. Následuje několik příkladů těchto situací, volby, které budete muset udělat, a jejich důsledky.
Upozornění, které chcete přidat, už patří jinému incidentu.
V takovém případě se zobrazí zpráva s oznámením, že výstraha je součástí jiného incidentu nebo incidentů, a dotaz, jestli chcete pokračovat. Pokud chcete přidat upozornění, vyberte OK , nebo vyberte Zrušit , pokud chcete nechat vše beze stavu.
Přidáním výstrahy k tomuto incidentu se neodebere z žádného jiného incidentu. Výstrahy můžou souviset s více než jedním incidentem. Pokud chcete, můžete výstrahu z ostatních incidentů odebrat ručně pomocí odkazů ve výše uvedené výzvě ke zprávě.
Upozornění, které chcete přidat, patří k jinému incidentu a je to jediné upozornění v druhém incidentu.
To se liší od výše uvedeného případu, protože pokud je výstraha v druhém incidentu samotná, sledování v tomto incidentu by mohlo učinit druhý incident irelevantní. Takže v tomto případě uvidíte toto dialogové okno:
Zachováním jiného incidentu zachováte druhý incident tak, jak je, a zároveň k tomuto incidentu přidáte upozornění.
Zavřít jiný incident přidá výstrahu k tomuto incidentu a druhý incident zavře. Přidá důvod ukončení "Undetermined" a komentář "Výstraha byla přidána k jinému incidentu" s číslem otevřeného incidentu.
Zrušení ponechá status quo. Neprovádí žádné změny otevřeného incidentu ani žádného jiného odkazovaného incidentu.
Kterou z těchto možností zvolíte, závisí na vašich konkrétních potřebách; nedoporučujeme jednu volbu před druhou.
Přidání nebo odebrání upozornění pomocí playbooků
Přidání a odebrání upozornění na incidenty je také k dispozici jako akce Logic Apps v konektoru služby Microsoft Sentinel, a proto v playboocích služby Microsoft Sentinel. Jako parametry musíte zadat ID ARM incidentu a ID výstrahy systému a obě tato id najdete ve schématu playbooku pro upozornění i aktivační události incidentu.
Microsoft Sentinel do galerie šablon dodává ukázkovou šablonu playbooku, která ukazuje, jak s touto funkcí pracovat:
Tady je postup použití akce Přidat upozornění k incidentu (Preview) v tomto playbooku jako příklad, jak ji můžete použít jinde:
Přidání nebo odebrání upozornění pomocí rozhraní API
Abyste mohli tuto funkci používat, nejste omezeni na portál. Je také přístupný prostřednictvím rozhraní API služby Microsoft Sentinel prostřednictvím skupiny operací Incident relations . Umožňuje získat, vytvořit, aktualizovat a odstranit vztahy mezi výstrahami a incidenty.
Vytvoření relace
K incidentu přidáte upozornění tak, že mezi nimi vytvoříte relaci. Pomocí následujícího koncového bodu přidejte výstrahu k existujícímu incidentu. Po provedení této žádosti se výstraha připojí k incidentu a bude viditelná v seznamu výstrah v incidentu na portálu.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Text požadavku vypadá takto:
{
"properties": {
"relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}"
}
}
Odstranění relace
Výstrahu z incidentu odeberete odstraněním vztahu mezi nimi. Pomocí následujícího koncového bodu odeberte výstrahu z existujícího incidentu. Po provedení této žádosti už výstraha nebude připojená k incidentu ani se v incidentu nebude zobrazovat.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Vypsat vztahy upozornění
Pomocí tohoto koncového bodu a požadavku můžete také zobrazit seznam všech výstrah souvisejících s konkrétním incidentem:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview
Konkrétní kódy chyb
Obecná dokumentace k rozhraní API uvádí očekávané kódy odpovědí pro výše uvedené operace Create, Delete a List. Kódy chyb jsou zde uvedeny pouze jako obecná kategorie. Tady jsou možné konkrétní kódy chyb a zprávy uvedené v kategorii "Jiné stavové kódy":
| Kód | Zpráva |
|---|---|
| 400 – Chybný požadavek | Nepodařilo se vytvořit relaci. V incidentu {incidentIdentifier} už existuje jiný typ relace s názvem {relationName}. |
| 400 – Chybný požadavek | Nepodařilo se vytvořit relaci. Výstraha {systemAlertId} už v incidentu {incidentIdentifier} existuje. |
| 400 – Chybný požadavek | Nepodařilo se vytvořit relaci. Související prostředky a incidenty by měly patřit do stejného pracovního prostoru. |
| 400 – Chybný požadavek | Nepodařilo se vytvořit relaci. Microsoft 365 Defender výstrahy nelze přidat do incidentů Microsoft 365 Defender. |
| 400 – Chybný požadavek | Nepodařilo se odstranit relaci. Microsoft 365 Defender výstrahy nelze z Microsoft 365 Defender incidentů odebrat. |
| 404 – Nenalezeno | Prostředek {systemAlertId} neexistuje. |
| 404 – Nenalezeno | Incident neexistuje. |
| 409 – Konflikt | Nepodařilo se vytvořit relaci. Relace s názvem {relationName} již existuje v incidentu {incidentIdentifier} na jinou výstrahu {systemAlertId}. |
Další kroky
V tomto článku jste se dozvěděli, jak přidat výstrahy k incidentům a odebrat je pomocí portálu a rozhraní API služby Microsoft Sentinel. Další informace naleznete v tématu: