Manuelles Erstellen eigener Vorfälle in Microsoft Sentinel im Azure-Portal

Wichtig

Die manuelle Erstellung von Incidents über das Portal oder Logic Apps befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.

Die manuelle Erstellung von Incidents ist über die API allgemein verfügbar.

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.

Mit Microsoft Sentinel als SIEM-Lösung (Security Information and Event Management) konzentrieren sich die Bedrohungserkennungs- und Reaktionsaktivitäten Ihrer Sicherheitsvorgänge auf Incidents, die Sie untersuchen und beheben. Diese Vorfälle haben zwei Hauptquellen:

• Sie werden automatisch generiert, wenn Erkennungsmechanismen mit den Protokollen und Warnungen arbeiten, die Microsoft Sentinel aus den verbundenen Datenquellen erfasst.

• Sie werden direkt von anderen verbundenen Microsoft-Sicherheitsdiensten (z. B. Microsoft Defender XDR) erfasst, die sie erstellt haben.

Bedrohungsdaten können jedoch auch aus anderen Quellen stammen, die nicht in Microsoft Sentinel erfasst wurden, oder Ereignisse, die nicht in einem Protokoll aufgezeichnet wurden, und können dennoch die Einleitung einer Untersuchung rechtfertigen. Beispielsweise kann ein Mitarbeiter feststellen, dass eine unbekannte Person verdächtige Aktivitäten im Zusammenhang mit den Informationsressourcen Ihrer organization hat. Dieser Mitarbeiter kann das Security Operations Center (SOC) anrufen oder per E-Mail senden, um die Aktivität zu melden.

Microsoft Sentinel in der Azure-Portal ermöglicht es Ihren Sicherheitsanalysten, Incidents für jede Art von Ereignis manuell zu erstellen, unabhängig von der Quelle oder den Daten, sodass Sie die Untersuchung dieser ungewöhnlichen Arten von Bedrohungen nicht verpassen.

Allgemeine Anwendungsfälle

Erstellen eines Incidents für ein gemeldetes Ereignis

Dies ist das Szenario, das in der obigen Einführung beschrieben wird.

Erstellen von Incidents aus Ereignissen aus externen Systemen

Erstellen Sie Incidents basierend auf Ereignissen von Systemen, deren Protokolle nicht in Microsoft Sentinel erfasst werden. Beispielsweise kann eine SMS-basierte Phishingkampagne das Unternehmensbranding und die Designs Ihres organization verwenden, um die persönlichen mobilen Geräte ihrer Mitarbeiter zu erreichen. Möglicherweise möchten Sie einen solchen Angriff untersuchen und einen Incident in Microsoft Sentinel erstellen, damit Sie über eine Plattform zum Verwalten Ihrer Untersuchung, zum Sammeln und Protokollieren von Beweisen und zum Aufzeichnen Ihrer Reaktions- und Entschärfungsaktionen verfügen.

Erstellen von Incidents basierend auf Huntingergebnissen

Erstellen Sie Incidents basierend auf den beobachteten Ergebnissen von Huntingaktivitäten. Beispielsweise können Sie bei der Bedrohungssuche im Kontext einer bestimmten Untersuchung (oder auf eigene Faust) auf Beweise für eine völlig unzusammenhängende Bedrohung stoßen, die eine eigene separate Untersuchung rechtfertigen.

Manuelles Erstellen eines Incidents

Es gibt drei Möglichkeiten, einen Incident manuell zu erstellen:

• Erstellen eines Incidents mithilfe des Azure-Portal
• Erstellen Sie einen Incident mit Azure Logic Apps mithilfe des triggers Microsoft Sentinel Incident.
• Erstellen Sie einen Incident mithilfe der Microsoft Sentinel-API über die Vorgangsgruppe Incidents. Damit können Sie Incidents abrufen, erstellen, aktualisieren und löschen.

Nach dem Onboarding Microsoft Sentinel in das Microsoft Defender-Portal werden manuell erstellte Incidents nicht mit dem Defender-Portal synchronisiert, obwohl sie weiterhin in Microsoft Sentinel im Azure-Portal und über Logic Apps und die API angezeigt und verwaltet werden können.

Berechtigungen

Die folgenden Rollen und Berechtigungen sind erforderlich, um einen Incident manuell zu erstellen.

Methode	Erforderliche Rolle
Azure-Portal und API	Eine der folgenden Varianten: Microsoft Sentinel Responder Microsoft Sentinel Mitwirkender
Azure Logic Apps	Eine der oben genannten, plus: Microsoft Sentinel Playbookoperators, um ein vorhandenes Playbook zu verwenden Logik-App-Mitwirkender zum Erstellen eines neuen Playbooks

Erfahren Sie mehr über Rollen in Microsoft Sentinel.

Erstellen eines Incidents mithilfe des Azure-Portal

1. Wählen Sie Microsoft Sentinel und dann Ihren Arbeitsbereich aus.

2. Wählen Sie im Microsoft Sentinel Navigationsmenü Incidents aus.

3. Wählen Sie auf der Seite Incidents in der Schaltflächenleiste + Incident erstellen (Vorschau) aus.

   

   Der Bereich Incident erstellen (Vorschau) wird auf der rechten Seite des Bildschirms geöffnet.

   

4. Füllen Sie die Felder im Bereich entsprechend aus.

   • Title

     • Geben Sie einen Titel Ihrer Wahl für den Incident ein. Der Incident wird in der Warteschlange mit diesem Titel angezeigt.
     • Erforderlich. Freitext von unbegrenzter Länge. Leerzeichen werden gekürzt.

   • Beschreibung

     • Geben Sie beschreibende Informationen zum Vorfall ein, einschließlich Details wie den Ursprung des Vorfalls, alle beteiligten Entitäten, Bezug zu anderen Ereignissen, wer informiert wurde usw.
     • Optional. Freitext bis zu 5.000 Zeichen.

   • Schweregrad

     • Wählen Sie in der Dropdownliste einen Schweregrad aus. Alle Microsoft Sentinel unterstützten Schweregrade sind verfügbar.
     • Erforderlich. Der Standardwert ist "Mittel".

   • Status

     • Wählen Sie in der Dropdownliste einen status aus. Alle Microsoft Sentinel unterstützten Status sind verfügbar.
     • Erforderlich. Der Standardwert ist "Neu".
     • Sie können einen Incident mit der status "geschlossen" erstellen und ihn anschließend manuell öffnen, um Änderungen vorzunehmen und eine andere status auszuwählen. Wenn Sie in der Dropdownliste "geschlossen" auswählen, werden Die Felder für den Klassifizierungsgrund aktiviert, damit Sie einen Grund für das Schließen des Incidents auswählen und Kommentare hinzufügen können.

   • Owner

     • Wählen Sie aus den verfügbaren Benutzern oder Gruppen in Ihrem Mandanten aus. Beginnen Sie mit der Eingabe eines Namens, um nach Benutzern und Gruppen zu suchen. Wählen Sie das Feld aus (klicken oder tippen), um eine Liste mit Vorschlägen anzuzeigen. Wählen Sie oben in der Liste "Mir zuweisen" aus, um den Incident sich selbst zuzuweisen.
     • Optional.

   • Tags

     • Verwenden Sie Tags, um Incidents zu klassifizieren und sie in der Warteschlange zu filtern und zu finden.
     • Erstellen Sie Tags, indem Sie das Pluszeichensymbol auswählen, Text in das Dialogfeld eingeben und OK auswählen. Die automatische Vervollständigung schlägt Tags vor, die in den vorherigen zwei Wochen innerhalb des Arbeitsbereichs verwendet wurden.
     • Optional. Freitext.

5. Wählen Sie unten im Bereich Erstellen aus. Nach einigen Sekunden wird der Incident erstellt und in der Incidentwarteschlange angezeigt.

   Wenn Sie einem Incident den status "Closed" zuweisen, wird er erst in der Warteschlange angezeigt, wenn Sie den status Filter so ändern, dass auch geschlossene Incidents angezeigt werden. Der Filter ist standardmäßig so festgelegt, dass nur Incidents mit der status "Neu" oder "Aktiv" angezeigt werden.

Wählen Sie den Incident in der Warteschlange aus, um die vollständigen Details anzuzeigen, Lesezeichen hinzuzufügen, den Besitzer und die status zu ändern und vieles mehr.

Wenn Sie nach der Erstellung des Incidents aus irgendeinem Grund Ihre Meinung ändern, können Sie ihn aus dem Warteschlangenraster oder innerhalb des Incidents selbst löschen. Sie müssen über die Rolle Microsoft Sentinel Mitwirkender verfügen, um einen Incident löschen zu können.

Erstellen eines Incidents mithilfe von Azure Logic Apps

Das Erstellen eines Incidents ist auch als Logic Apps-Aktion im Microsoft Sentinel-Connector und somit in Microsoft Sentinel Playbooks verfügbar.

Sie finden die Aktion Incident erstellen (Vorschau) im Playbookschema für den Incidenttrigger.

Sie müssen Parameter wie unten beschrieben angeben:

• Wählen Sie ihr Abonnement, Ihre Ressourcengruppe und ihren Arbeitsbereichsnamen in den jeweiligen Dropdownlisten aus.

• Die restlichen Felder finden Sie in den obigen Erläuterungen (unter Erstellen eines Incidents mithilfe des Azure-Portal).

  

Microsoft Sentinel stellt einige Beispiel-Playbookvorlagen bereit, die Ihnen zeigen, wie Sie mit dieser Funktion arbeiten:

• Erstellen eines Incidents mit Microsoft Form
• Erstellen eines Incidents aus dem Posteingang für freigegebene E-Mails

Sie finden sie im Katalog mit Playbookvorlagen auf der Seite Microsoft Sentinel Automation.

Erstellen eines Incidents mithilfe der Microsoft Sentinel-API

Mit der Vorgangsgruppe Incidents können Sie Incidents nicht nur erstellen, sondern auch aktualisieren (bearbeiten),abrufen (abrufen),auflisten und löschen .

Sie erstellen einen Incident mithilfe des folgenden Endpunkts. Nachdem diese Anforderung gestellt wurde, wird der Incident in der Incidentwarteschlange im Portal angezeigt.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Hier sehen Sie ein Beispiel dafür, wie ein Anforderungstext aussehen könnte:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Hinweise

• Manuell erstellte Incidents enthalten keine Entitäten oder Warnungen. Daher bleibt die Registerkarte Warnungen auf der Incidentseite leer, bis Sie vorhandene Warnungen mit Ihrem Incident verknüpfen.

  Die Registerkarte Entitäten bleibt ebenfalls leer, da das direkte Hinzufügen von Entitäten zu manuell erstellten Vorfällen derzeit nicht unterstützt wird. (Wenn Sie eine Warnung mit diesem Vorfall verknüpfen, werden Entitäten aus der Warnung im Incident angezeigt.)

• Manuell erstellte Incidents zeigen auch keinen Produktnamen in der Warteschlange an.

• Die Incidentwarteschlange wird standardmäßig so gefiltert, dass nur Incidents mit der status "Neu" oder "Aktiv" angezeigt werden. Wenn Sie einen Incident mit dem status "Closed" erstellen, wird er erst in der Warteschlange angezeigt, wenn Sie den status Filter so ändern, dass auch geschlossene Incidents angezeigt werden.

Nächste Schritte

Weitere Informationen finden Sie unter:

• Verknüpfen von Warnungen mit Incidents in Microsoft Sentinel
• Löschen von Incidents in Microsoft Sentinel
• Navigieren, Selektieren und Verwalten Microsoft Sentinel Incidents
• Untersuchen Microsoft Sentinel Incidents im Detail