Zuordnen von Warnungen zu Vorfällen in Microsoft Sentinel
In diesem Artikel erfahren Sie, wie Sie Warnungen Ihren Vorfällen in Microsoft Sentinel zuordnen können. Mit diesem Feature können Sie im Rahmen Ihrer Untersuchungen Warnungen manuell oder automatisch zu vorhandenen Vorfällen hinzufügen oder von diesen entfernen und so den Umfang des Vorfalls im Verlauf der Untersuchung eingrenzen.
Wichtig
Die Vorfallerweiterung befindet sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Erweitern des Umfangs und Informationsgehalts Ihrer Vorfälle
Mit diesem Feature können Sie u. a. Warnungen aus einer Datenquelle in Vorfälle einbeziehen, die von einer anderen Datenquelle generiert wurden. So können Sie beispielsweise Warnungen aus Microsoft Defender for Cloud oder aus verschiedenen Datenquellen von Drittanbietern zu Vorfällen hinzufügen, die aus Microsoft Defender XDR in Microsoft Sentinel importiert wurden.
Dieses Feature ist in die neueste Version der Microsoft Sentinel-API integriert, d. h. es ist für den Logic Apps-Connector für Microsoft Sentinel verfügbar. Sie können also Playbooks verwenden, um einem Vorfall automatisch eine Warnung hinzuzufügen, wenn bestimmte Bedingungen erfüllt sind.
Sie können diese Automatisierung auch verwenden, um manuell erstellten Vorfällen Warnungen hinzuzufügen, um benutzerdefinierte Korrelationen zu erstellen oder um benutzerdefinierte Kriterien für die Gruppierung von Warnungen in Vorfälle zu definieren, sobald diese erstellt werden.
Begrenzungen
Microsoft Sentinel importiert sowohl Warnungen als auch Vorfälle aus Microsoft Defender XDR. In den meisten Fällen können Sie diese Warnungen und Vorfälle wie normale Microsoft Sentinel-Warnungen und -Vorfälle behandeln.
Sie können jedoch nur im Defender-Portal Warnungen zu Defender-Vorfällen hinzufügen (oder sie entfernen), nicht im Sentinel-Portal. Wenn Sie dies in Microsoft Sentinel versuchen, erhalten Sie eine Fehlermeldung. Sie können über den Link im Microsoft Sentinel-Vorfall zum Vorfall im Microsoft Defender-Portal gelangen. Aber keine Sorge: alle Änderungen, die Sie im Microsoft Defender-Portal am Vorfall vornehmen, werden mit dem parallelen Vorfall in Microsoft Sentinel synchronisiert, sodass Sie die hinzugefügten Warnungen im Vorfall im Sentinel-Portal weiterhin sehen.
Sie können im Microsoft Sentinel-Portal Microsoft Defender XDR-Warnungen zu nicht von Defender ausgelösten Vorfällen und nicht von Defender ausgelöste Warnungen zu Defender-Vorfällen hinzufügen.
Wenn Sie Microsoft Sentinel im globalen Sicherheitsbetriebsportal integriert haben, können Sie Microsoft Sentinel-Warnungen in Microsoft Sentinel nicht mehr zu Vorfällen hinzufügen oder Microsoft Sentinel-Warnungen aus Vorfällen entfernen (im Azure-Portal). Sie können dies nur im Microsoft Defender-Portal tun. Weitere Informationen finden Sie unter Funktionsunterschiede zwischen den Portalen.
Ein Vorfall kann maximal 150 Warnungen enthalten. Wenn Sie versuchen, eine Warnung einem Vorfall hinzuzufügen, der bereits 150 Warnungen enthält, erhalten Sie eine Fehlermeldung.
Hinzufügen von Warnungen mithilfe der Entitätszeitachse (Vorschau)
Die Entitätszeitachse, wie sie in der neuen Vorfallfunktion (jetzt in der Vorschau) vorgestellt wird, zeigt alle Entitäten in einer bestimmten Vorfalluntersuchung an. Wenn eine Entität in der Liste ausgewählt ist, wird eine kleine Entitätsseite in einem Seitenbereich angezeigt.
Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.
Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich „Details zum Vorfall“ die Option Alle Details anzeigen aus.
Wählen Sie auf der Vorfallseite die Registerkarte Entitäten aus.
Wählen Sie eine Entität in der Liste aus.
Wählen Sie im Seitenbereich der Entitätsseite die Karte Zeitachse aus.
Wählen Sie eine Warnung außerhalb des geöffneten Vorfalls aus. Diese werden durch ein ausgegrautes Schildsymbol und einer gepunkteten Linie als Farbband gekennzeichnet. Das Farbband stellt den Schweregrad dar. Wählen Sie das Pluszeichen am rechten Ende dieser Warnung aus.
Bestätigen Sie das Hinzufügen der Warnung zum Vorfall, indem Sie OK auswählen. Sie erhalten eine Benachrichtigung, die das Hinzufügen der Warnung zum Vorfall bestätigt oder erläutert, warum sie nicht hinzugefügt wurde.
Sie sehen, dass die hinzugefügte Warnung nun im Widget Zeitachse des geöffneten Vorfalls auf der Registerkarte Übersicht mit einem vollfarbigen Schildsymbol und einer durchgezogenen Linie als Farbband wie jede andere Warnung im Vorfall angezeigt wird.
Die hinzugefügte Warnung ist jetzt ein vollständiger Teil des Vorfalls, und alle Entitäten in der hinzugefügten Warnung (die nicht bereits Teil des Vorfalls waren) sind jetzt ebenfalls Teil des Vorfalls. Sie können jetzt die Zeitachsen dieser Entitäten im Hinblick auf ihre anderen Warnungen untersuchen, die nun zum Vorfall hinzugefügt werden können.
Entfernen einer Warnung aus einem Vorfall
Warnungen, die einem Vorfall manuell oder automatisch hinzugefügt wurden, können aus einem Vorfall auch wieder entfernt werden.
Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.
Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich „Details zum Vorfall“ die Option Alle Details anzeigen aus.
Wählen Sie auf der Registerkarte Übersicht im Widget Zeitachse für Vorfälle die drei Punkte neben einer Warnung aus, die Sie aus dem Vorfall entfernen möchten. Wählen Sie im Popupmenü Warnung entfernen aus.
Hinzufügen von Warnungen mithilfe des Untersuchungsdiagramms
Das Untersuchungsdiagramm ist ein visuelles, intuitives Tool, das Verbindungen und Muster darstellt und Ihren Analysten ermöglicht, die richtigen Fragen zu stellen und den Hinweisen zu folgen. Sie können hiermit Warnungen zu Ihren Vorfällen hinzufügen und von ihnen entfernen, um den Umfang Ihrer Untersuchung zu erweitern oder einzugrenzen.
Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.
Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Panel mit den Details des Vorfalls die Schaltfläche Aktionen und anschließend im Popupmenü Untersuchen aus. Dadurch wird das Untersuchungsdiagramm geöffnet.
Bewegen Sie den Mauszeiger über eine beliebige Entität, um die Liste der Erkundungsfragen daneben einzublenden. Wählen Sie Zugehörige Warnungen aus.
Die zugehörigen Warnungen werden mittels gestrichelter Linien als mit der Entität verbunden gezeigt.
Bewegen Sie den Mauszeiger über eine der zugehörigen Warnungen, bis sich ein Menü daneben öffnet. Wählen Sie Warnung zu Vorfall hinzufügen (Vorschau) aus.
Die Warnung wird dem Vorfall hinzugefügt und ist für alle Zwecke Teil des Vorfalls, zusammen mit allen zugehörigen Entitäten und Details. Es werden zwei visuelle Darstellungen dazu gezeigt:
Die Linie, die sie mit der Entität im Untersuchungsdiagramm verbindet, wurde von gestrichelt in durchgezogen geändert, und dem Diagramm wurden in der hinzugefügten Warnung Verbindungen mit Entitäten hinzugefügt.
Die Warnung wird nun auf der Zeitleiste dieses Vorfalls angezeigt, zusammen mit den Warnungen, die dort bereits vorhanden waren.
Besondere Situationen
Wenn Sie einem Vorfall eine Warnung hinzufügen, werden Sie möglicherweise aufgefordert, Ihre Anforderung zu bestätigen oder zwischen verschiedenen Optionen zu wählen. Im Folgenden finden Sie einige Beispiele für diese Situationen, die Entscheidungen, die Sie treffen müssen, und deren Auswirkungen.
Die Warnung, die Sie hinzufügen möchten, gehört bereits zu einem anderen Vorfall.
In diesem Fall wird eine Meldung angezeigt, die besagt, dass die Warnung Teil eines anderen Vorfalls oder anderer Vorfälle ist, und Sie werden gefragt, ob Sie fortfahren möchten. Wählen Sie OK aus, um die Warnung hinzuzufügen, oder Abbrechen, um alles so zu belassen, wie es ist.
Wenn Sie die Warnung diesem Vorfall hinzufügen, wird sie nicht aus anderen Vorfällen entfernt . Warnungen können mehreren Vorfällen zugeordnet sein. Auf Wunsch können Sie die Warnung manuell von den anderen Vorfällen entfernen, indem Sie den Links in der obigen Meldungsaufforderung folgen.
Die Warnung, die Sie hinzufügen möchten, gehört zu einem anderen Vorfall, und es ist die einzige Warnung in diesem Vorfall.
Dies unterscheidet sich vom obigen Fall, denn wenn die Warnung allein im anderen Vorfall vorkommt, könnte die Nachverfolgung in diesem Vorfall den anderen Vorfall irrelevant machen. In diesem Fall sehen Sie daher dieses Dialogfeld:
Anderen Vorfall beibehalten behält den anderen Vorfall unverändert bei, wobei die Warnung auch zu diesem hinzugefügt wird.
Anderen Vorfall schließen fügt die Warnung zu diesem Vorfall hinzu und schließt den anderen Vorfall. Dabei wird der Schließungsgrund „Unbestimmt“ und der Kommentar „Warnung wurde einem anderen Vorfall hinzugefügt“ mit der Nummer des offenen Vorfalls hinzugefügt.
Bei Wahl von Abbrechen wird der Status quo beibehalten. Es erfolgt keine Änderung des offenen Vorfalls oder eines anderen Vorfalls, auf den verwiesen wird.
Die Wahl dieser Optionen hängt von Ihren speziellen Bedürfnissen ab, weshalb wir keine bestimmte Option vorziehen.
Hinzufügen und Entfernen von Warnungen mithilfe von Playbooks
Das Hinzufügen und Entfernen von Warnungen zu Vorfällen ist auch als Logic Apps-Aktion im Microsoft Sentinel-Connector und damit in Microsoft Sentinel-Playbooks verfügbar. Sie müssen die ARM-ID des Vorfalls und die Systemalarm-ID als Parameter angeben. Beide finden Sie im Playbookschema für die Auslöser von Warnung und Vorfall.
Microsoft Sentinel stellt eine Beispielvorlage für ein Playbook im Vorlagenkatalog zur Verfügung, die Ihnen zeigt, wie Sie mit dieser Funktion arbeiten können:
Hier sehen Sie, wie die Aktion Warnung zum Vorfall hinzufügen (Vorschau) in diesem Playbook verwendet wird, als Beispiel dafür, wie Sie sie auch an anderer Stelle einsetzen können:
Hinzufügen und Entfernen von Warnungen mithilfe der API
Dieses Feature können Sie nicht nur im Portal nutzen. Es ist auch über die Microsoft Sentinel-API zugänglich, und zwar über die Vorgangsgruppe Vorfallbeziehungen. Es ermöglicht Ihnen, Beziehungen zwischen Warnungen und Vorfällen abzurufen, zu erstellen, zu aktualisieren und zu löschen.
Erstellen einer Beziehung
Sie fügen eine Warnung zu einem Vorfall hinzu, indem Sie eine Beziehung zwischen beiden erstellen. Verwenden Sie den folgenden Endpunkt, um eine Warnung zu einem bestehenden Vorfall hinzuzufügen. Nach dieser Anforderung wird die Warnung dem Vorfall hinzugefügt und ist in der Liste der Warnungen im Vorfall im Portal zu sehen.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Der Anforderungstext sieht folgendermaßen aus:
{
"properties": {
"relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}"
}
}
Löschen einer Beziehung
Sie entfernen eine Warnung aus einem Vorfall, indem Sie die Beziehung zwischen beiden löschen. Verwenden Sie den folgenden Endpunkt, um eine Warnung aus einem bestehenden Vorfall zu entfernen. Nach dieser Anforderung ist die Warnung nicht mehr mit dem Vorfall verbunden und taucht auch nicht mehr darin auf.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Auflisten von Warnungsbeziehungen
Sie können mit diesem Endpunkt und dieser Anforderung auch alle Warnungen auflisten, die sich auf einen bestimmten Vorfall beziehen:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview
Spezifische Fehlercodes
In der allgemeinen API-Dokumentation sind die erwarteten Antwortcodes für die oben genannten Vorgänge Create, Delete und List aufgeführt. Fehlercodes werden nur als allgemeine Kategorie erwähnt. Hier finden Sie die möglichen spezifischen Fehlercodes und Meldungen, die dort unter der Kategorie „Andere Statuscodes“ aufgeführt sind:
Code | `Message` |
---|---|
400 – Ungültige Anforderung | Fehler beim Erstellen einer Beziehung. Ein anderer Beziehungstyp mit dem Namen {relationName} ist bereits im Vorfall {incidentIdentifier} vorhanden. |
400 – Ungültige Anforderung | Fehler beim Erstellen einer Beziehung. Warnung {systemAlertId} ist bereits im Vorfall {incidentIdentifier} vorhanden. |
400 – Ungültige Anforderung | Fehler beim Erstellen einer Beziehung. Verwandte Ressourcen und Vorfälle sollten zum selben Arbeitsbereich gehören. |
400 – Ungültige Anforderung | Fehler beim Erstellen einer Beziehung. Microsoft Defender XDR-Warnungen können nicht zu Microsoft Defender XDR-Vorfällen hinzugefügt werden. |
400 – Ungültige Anforderung | Fehler beim Löschen der Beziehung. Microsoft Defender XDR-Warnungen können nicht aus Microsoft Defender XDR-Vorfällen entfernt werden. |
404 – Nicht gefunden | Die Ressource {systemAlertId} ist nicht vorhanden. |
404 – Nicht gefunden | Vorfall ist nicht vorhanden. |
409 – Konflikt | Fehler beim Erstellen einer Beziehung. Beziehung mit dem Namen {relationName} ist bereits im Vorfall {incidentIdentifier} für eine andere Warnung {systemAlertId} vorhanden. |
Nächste Schritte
In diesem Artikel haben Sie gelernt, wie Sie mithilfe des Microsoft Sentinel-Portals und der API Warnungen zu Vorfällen hinzufügen und wieder entfernen können. Weitere Informationen finden Sie unter