Sdílet prostřednictvím

Související výstrahy s incidenty v Microsoft Sentinelu

  • Článek

V tomto článku se dozvíte, jak propojit výstrahy s vašimi incidenty ve službě Microsoft Sentinel. Tato funkce umožňuje ručně nebo automaticky přidávat výstrahy nebo je odebírat z existujících incidentů v rámci procesů vyšetřování a upřesňovat rozsah incidentů při prošetření.

Důležité

Rozšíření incidentu je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Rozšíření rozsahu a výkonu incidentů

Jednou z věcí, kterou tato funkce umožňuje, je zahrnout výstrahy z jednoho zdroje dat v incidentech generovaných jiným zdrojem dat. Můžete například přidat upozornění z programu Microsoft Defender for Cloud nebo z různých zdrojů dat třetích stran na incidenty importované do Microsoft Sentinelu z XDR v programu Microsoft Defender.

Tato funkce je integrovaná do nejnovější verze rozhraní API služby Microsoft Sentinel, což znamená, že je k dispozici konektoru Logic Apps pro Microsoft Sentinel. Playbooky tak můžete použít k automatickému přidání výstrahy k incidentu, pokud jsou splněny určité podmínky.

Pomocí této automatizace můžete také přidávat výstrahy do ručně vytvořených incidentů, vytvářet vlastní korelace nebo definovat vlastní kritéria pro seskupení výstrah do incidentů při jejich vytváření.

Omezení

  • Microsoft Sentinel importuje výstrahy i incidenty z XDR v programu Microsoft Defender. Ve většině případů můžete s těmito výstrahami a incidenty zacházet jako s běžnými upozorněními a incidenty služby Microsoft Sentinel.

    Výstrahy Defenderu ale můžete přidávat jenom do incidentů Defenderu (nebo je odebrat) na portálu Defender, ne na portálu Sentinel. Pokud to zkusíte v Microsoft Sentinelu, zobrazí se chybová zpráva. K incidentu můžete přejít na portálu Microsoft Defenderu pomocí odkazu v incidentu Microsoft Sentinelu. Nedělejte si starosti, ale žádné změny, které v incidentu provedete na portálu Microsoft Defenderu, se synchronizují s paralelním incidentem v Microsoft Sentinelu, takže na portálu Sentinel se stále zobrazí přidaná upozornění.

    Na portálu Microsoft Sentinel můžete přidat upozornění XDR v programu Microsoft Defender na incidenty, které nejsou v programu Defender, a výstrahy jiných než Defenderu.

  • Pokud jste microsoft Sentinel nasadili na jednotný portál operací zabezpečení, už nemůžete přidávat výstrahy Služby Microsoft Sentinel k incidentům ani z incidentů odebírat výstrahy Služby Microsoft Sentinel (na webu Azure Portal). Můžete to udělat jenom na portálu Microsoft Defenderu. Další informace najdete v tématu Rozdíly mezi možnostmi mezi portály.

  • Incident může obsahovat maximálně 150 výstrah. Pokud se pokusíte přidat výstrahu k incidentu s 150 upozorněními, zobrazí se chybová zpráva.

Přidání upozornění pomocí časové osy entity (Preview)

Časová osa entit, jak je uvedeno v novém prostředí incidentů (nyní ve verzi Preview), představuje všechny entity v konkrétním šetření incidentu. Když je vybrána entita v seznamu, zobrazí se na bočním panelu miniaturní stránka entity.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

    Snímek obrazovky s novou frontou incidentů zobrazenou v mřížce

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.

  3. Na stránce incidentu vyberte kartu Entity .

    Snímek obrazovky s kartou Entity na stránce incidentu

  4. Ze seznamu vyberte entitu.

  5. Na bočním panelu stránky entity vyberte kartu Časová osa .

    Snímek obrazovky s kartou časové osy entity na kartě Entity na stránce incidentu

  6. Vyberte externí výstrahu otevřeného incidentu. Ty jsou označené ikonou stínění šedě a barevným pruhem tečkované čáry představující závažnost. Na pravém konci výstrahy vyberte ikonu znaménka plus.

    Snímek obrazovky s vzhledem externího upozornění na časové ose entity

  7. Kliknutím na tlačítko OK potvrďte přidání výstrahy k incidentu. Zobrazí se oznámení s potvrzením přidání výstrahy k incidentu nebo vysvětlením, proč se nepřidali. Snímek obrazovky s přidáním výstrahy k incidentu na časové ose entity

Uvidíte, že přidaná výstraha se teď zobrazí ve widgetu časová osa otevřeného incidentu na kartě Přehled s ikonou celobarevného štítu a barevným pásem plných čar, jako jsou všechny ostatní výstrahy v incidentu.

Přidaná výstraha je teď úplnou součástí incidentu a všechny entity v přidaném upozornění (které ještě nebyly součástí incidentu) se také staly součástí incidentu. Teď můžete prozkoumat časové osy těchto entit pro jejich další výstrahy, které jsou teď způsobilé k přidání do incidentu.

Odebrání výstrahy z incidentu

Výstrahy přidané do incidentu (ručně nebo automaticky) je možné odebrat i z incidentu.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti.

  3. Na kartě Přehled ve widgetu Časová osa incidentu vyberte tři tečky vedle výstrahy, kterou chcete z incidentu odebrat. V místní nabídce vyberte Odebrat upozornění.

    Snímek obrazovky znázorňující, jak odebrat výstrahu z incidentu na časové ose incidentu

Přidání upozornění pomocí grafu šetření

Graf šetření je vizuální a intuitivní nástroj, který prezentuje propojení a vzory a umožňuje analytikům klást správné otázky a sledovat potenciální zákazníky. Můžete ho použít k přidání výstrah a jejich odebrání z incidentů, rozšíření nebo zúžení rozsahu vyšetřování.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.

    Snímek obrazovky s frontou incidentů zobrazenou v mřížce

  2. Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte tlačítko Akce a v místní nabídce zvolte Prozkoumat . Tím se otevře graf šetření.

    Snímek obrazovky s incidenty s upozorněními v grafu šetření

  3. Najeďte myší na libovolnou entitu a zobrazte seznam průzkumných dotazů na jeho straně. Vyberte Související výstrahy.

    Snímek obrazovky s dotazy pro zkoumání výstrah v grafu šetření

    Související výstrahy se zobrazí propojené s entitou tečkovanými čárami.

    Snímek obrazovky se souvisejícími výstrahami zobrazenými v grafu šetření

  4. Najeďte myší na jednu ze souvisejících upozornění, dokud se nabídka nezobrazí na jeho straně. Vyberte Přidat výstrahu k incidentu (Preview).

    Snímek obrazovky s přidáním výstrahy k incidentu v grafu šetření

  5. Výstraha se přidá do incidentu a pro všechny účely je součástí incidentu spolu se všemi jejími entitami a podrobnostmi. Zobrazí se dvě vizuální reprezentace:

    • Čára, která ji připojuje k entitě v grafu šetření, se změnila z tečkované na plnou a připojení k entitě v přidaném upozornění se přidala do grafu.

      Snímek obrazovky znázorňující výstrahu přidanou do incidentu

    • Výstraha se teď zobrazí na časové ose tohoto incidentu společně s výstrahami, které tam už byly.

      Snímek obrazovky znázorňující výstrahu přidanou na časovou osu incidentu

Zvláštní situace

Při přidávání výstrahy k incidentu můžete být v závislosti na okolnostech požádáni o potvrzení vaší žádosti nebo o volbu mezi různými možnostmi. Níže jsou uvedeny některé příklady těchto situací, volby, které budete požádáni, aby a jejich důsledky.

  • Výstraha, kterou chcete přidat, už patří do jiného incidentu.

    V takovém případě se zobrazí zpráva s oznámením, že výstraha je součástí jiného incidentu nebo incidentů, a zeptá se, jestli chcete pokračovat. Výběrem ok přidáte upozornění nebo zrušíte tak, že necháte věci tak, jak byly.

    Přidání výstrahy do tohoto incidentu ho neodebere z jiných incidentů. Výstrahy můžou souviset s více incidenty. Pokud chcete, můžete výstrahu odebrat ručně z ostatních incidentů pomocí odkazů uvedených výše ve zprávě.

  • Výstraha, kterou chcete přidat, patří do jiného incidentu a je to jediná výstraha v druhém incidentu.

    To se liší od výše uvedeného případu, protože pokud je výstraha sama v druhém incidentu, může sledování v tomto incidentu znamenat, že druhý incident bude irelevantní. V tomto případě se zobrazí toto dialogové okno:

    Snímek obrazovky s dotazem, jestli chcete zachovat nebo zavřít jiný incident

    • Při přidávání výstrahy do tohoto incidentu zachováte druhý incident stejně, jak je.

    • Zavření jiného incidentu přidá výstrahu k tomuto incidentu a druhý incident zavře, přidá závěrečnou příčinu "Nedevidováno" a komentář "Výstraha byla přidána k jinému incidentu" s číslem otevřeného incidentu.

    • Zrušení ponechá stav quo. Neprovádí žádné změny otevřeného incidentu ani jiného odkazovaného incidentu.

    Které z těchto možností zvolíte, závisí na vašich konkrétních potřebách; nedoporučujeme jednu volbu oproti druhé.

Přidání nebo odebrání upozornění pomocí playbooků

Přidání a odebrání výstrah do incidentů jsou také dostupné jako akce Logic Apps v konektoru Microsoft Sentinelu, a proto v playbookech Microsoft Sentinelu. Jako parametry potřebujete zadat ID ARM incidentu a ID upozornění systému a můžete je najít ve schématu playbooku pro triggery výstrahy i incidentů.

Microsoft Sentinel poskytuje ukázkovou šablonu playbooku v galerii šablon, která ukazuje, jak pracovat s touto funkcí:

Snímek obrazovky se šablonou playbooku pro související výstrahy s incidenty

Tady je postup, jak se v tomto playbooku používá akce Přidat výstrahu k incidentu (Preview ), například jak ji můžete použít jinde:

Snímek obrazovky s přidáním výstrahy k incidentu pomocí akce playbooku

Přidání nebo odebrání upozornění pomocí rozhraní API

Abyste mohli tuto funkci používat, nejste omezeni na portál. Je také přístupná prostřednictvím rozhraní API služby Microsoft Sentinel prostřednictvím skupiny operací vztahů s incidenty. Umožňuje získat, vytvořit, aktualizovat a odstranit vztahy mezi výstrahami a incidenty.

Vytvoření vztahu

K incidentu přidáte upozornění vytvořením relace mezi nimi. Pomocí následujícího koncového bodu přidejte výstrahu k existujícímu incidentu. Po provedení této žádosti se výstraha připojí k incidentu a zobrazí se v seznamu výstrah v incidentu na portálu.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Text požadavku vypadá takto:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Odstranění relace

Výstrahu z incidentu odeberete odstraněním vztahu mezi nimi. Pomocí následujícího koncového bodu odeberte výstrahu z existujícího incidentu. Po provedení této žádosti se výstraha už nebude připojovat k incidentu ani se k němu nebude zobrazovat.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Výpis vztahů s upozorněními

Pomocí tohoto koncového bodu a požadavku můžete také zobrazit seznam všech výstrah, které souvisejí s konkrétním incidentem:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Konkrétní kódy chyb

Obecná dokumentace k rozhraní API uvádí očekávané kódy odpovědí pro operace vytvoření, odstranění a výpisu uvedené výše. Kódy chyb jsou zde zmíněny pouze jako obecná kategorie. Tady jsou možné konkrétní kódy chyb a zprávy uvedené v kategorii "Jiné stavové kódy":

Kód Zpráva
400 – Chybný požadavek Nepodařilo se vytvořit relaci. V incidentu {incidentIdentifier} již existuje jiný typ relace s názvem {relationName}.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Výstraha {systemAlertId} již v incidentu {incidentIdentifier} existuje.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Související prostředek a incident by měly patřit do stejného pracovního prostoru.
400 – Chybný požadavek Nepodařilo se vytvořit relaci. Výstrahy XDR v programu Microsoft Defender nelze přidat do incidentů XDR v programu Microsoft Defender.
400 – Chybný požadavek Odstranění relace se nezdařilo. Výstrahy XDR v programu Microsoft Defender nelze odebrat z incidentů XDR v programu Microsoft Defender.
404 – Nenalezeno Prostředek {systemAlertId} neexistuje.
404 – Nenalezeno Incident neexistuje.
409 – Konflikt Nepodařilo se vytvořit relaci. Vztah s názvem {relationName} již v incidentu {incidentIdentifier} existuje s jiným upozorněním {systemAlertId}.

Další kroky

V tomto článku jste zjistili, jak přidat výstrahy k incidentům a odebrat je pomocí portálu a rozhraní API služby Microsoft Sentinel. Další informace naleznete v tématu: