Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen

Mit Microsoft Azure Sentinel in Zusammenhang stehende Warnungen, die in Microsoft-Sicherheitslösungen ausgelöst werden, wie Microsoft Defender for Cloud Apps und Microsoft Defender for Identity, erstellen nicht automatisch Incidents in Microsoft Azure Sentinel. Bei der Verbindung einer Microsoft-Lösung mit Microsoft Azure Sentinel werden alle in diesem Dienst generierten Warnungen standardmäßig als Rohdaten in Microsoft Azure Sentinel in der SecurityAlert-Tabelle Ihrem Microsoft Azure Sentinel-Arbeitsbereich gespeichert. Sie können diese Daten dann wie alle anderen Rohdaten verwenden, die Sie mit Microsoft Azure Sentinel erfassen.

Sie können Microsoft Azure Sentinel ganz einfach so konfigurieren, dass Incidents immer automatisch erstellt werden, wenn eine Warnung in einer verbundenen Microsoft-Sicherheitslösung ausgelöst wird. Befolgen Sie hierzu die Anweisungen in diesem Artikel.

Voraussetzungen

Verbinden Sie Ihre Sicherheitslösung, indem Sie die entsprechende Lösung über den Content Hub in Microsoft Sentinel installieren und den Datenconnector einrichten. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte und Microsoft Sentinel-Datenconnectors.

Verwenden von Analyseregeln zur Erstellung von Microsoft-Sicherheitsincidents

Verwenden Sie die in Microsoft Azure Sentinel integrierten Regeln, um auszuwählen, welche verbundenen Microsoft-Sicherheitslösungen automatisch Microsoft Azure Sentinel-Incidents erstellen sollen. Sie können mithilfe der Regeln auch spezifischere Filteroptionen definieren und somit festlegen, welche der durch die Microsoft-Sicherheitslösung generierten Warnungen automatisch Incidents in Microsoft Azure Sentinel erstellen sollen. Zum Beispiel können Sie entscheiden, dass Microsoft Sentinel-Incidents nur aus Microsoft Defender for Cloud-Warnungen mit hohem Schweregrad automatisch erstellt werden.

1. Wählen Sie im Azure-Portal unter „Microsoft Azure Sentinel“ die Option Analytics aus.

2. Wählen Sie die Registerkarte Regelvorlagen aus, um alle Analyseregelvorlagen anzuzeigen. Weitere Regelvorlagen finden Sie im Inhaltshub in Microsoft Sentinel.

   

3. Wählen Sie die gewünschte Regelvorlage für Microsoft-Sicherheitsanalysen aus, und klicken Sie auf Regel erstellen.

   

4. Sie können die Regeldetails ändern und die Warnungen, die Incidents erstellen, nach dem Schweregrad der Warnung oder nach Text im Namen der Warnung filtern.

   Wenn Sie beispielsweise Microsoft Defender for Cloud im Feld Microsoft-Sicherheitsdienst und anschließend Hoch im Feld Filtern nach Schweregrad auswählen, erzeugen nur Sicherheitswarnungen mit hohem Schweregrad automatisch Vorfälle in Microsoft Azure Sentinel.

   

5. Sie können ebenso eine neue Microsoft-Sicherheitsregel erstellen, mit der Warnungen von verschiedenen Microsoft-Sicherheitsdiensten gefiltert werden, indem Sie auf +Erstellen klicken und Regel zum Erstellen eines Microsoft-Incidents auswählen.

   

   Sie können mehr als eine Microsoft-Sicherheitsanalyseregel pro Microsoft-Sicherheitsdiensttyp erstellen. Dadurch werden keine doppelten Incidents erstellt, da jede Regel als Filter verwendet wird. Auch wenn eine Warnung mit mehr als einer Microsoft-Sicherheitsanalyseregel übereinstimmt, wird nur ein Microsoft Azure Sentinel-Incident erstellt.

Automatisches Aktivieren der Incidentgenerierung während der Verbindung

Wenn Sie eine Verbindung mit einer Microsoft-Sicherheitslösung herstellen, können Sie auswählen, ob die Warnungen aus der Sicherheitslösung automatisch Incidents in Microsoft Azure Sentinel generieren sollen.

1. Verbinden Sie eine Microsoft-Sicherheitslösungsdatenquelle.

   

2. Wählen Sie unter Create incidents (Incidents erstellen) die Option Aktivieren aus, um die Standardanalyseregel zu aktivieren, die automatisch Incidents aus im verbundenen Sicherheitsdienst generierten Warnungen erstellt. Anschließend können Sie diese Regel unter Analytics und dann unter Aktive Regeln bearbeiten.

Nächste Schritte

• Für den Einstieg in Microsoft Azure Sentinel benötigen Sie ein Microsoft Azure-Abonnement. Wenn Sie nicht über ein Abonnement verfügen, können Sie sich für ein kostenloses Testabonnementregistrieren.
• Hier erfahren Sie, wie Sie ein Onboarding Ihrer Daten in Microsoft Azure Sentinel durchführen und Einblicke in Daten und potenzielle Bedrohungen erhalten.