Freigeben über

Verknüpfen von Warnungen mit Vorfällen in Microsoft Sentinel im Azure-Portal

  • Gilt für:: Microsoft Sentinel in the Azure portal

In diesem Artikel erfahren Sie, wie Sie Warnungen mit Ihren Vorfällen in Microsoft Sentinel verknüpfen. Mit diesem Feature können Sie Benachrichtigungen manuell oder automatisch hinzufügen oder aus vorhandenen Vorfällen im Azure-Portal als Teil Ihrer Untersuchungsprozesse entfernen und den Vorfallumfang verfeinern, während die Untersuchung erfolgt.

Von Bedeutung

Die Vorfallerweiterung befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.

Erweitern des Umfangs und Informationsgehalts Ihrer Vorfälle

Dieses Feature ermöglicht es Ihnen, Warnungen aus einer Datenquelle in Vorfälle einzuschließen, die von einer anderen Datenquelle generiert werden. Sie können z. B. Warnungen von Microsoft Defender für Cloud oder aus verschiedenen Datenquellen von Drittanbietern zu Vorfällen hinzufügen, die aus Microsoft Defender XDR in Microsoft Sentinel importiert wurden.

Dieses Feature ist in die neueste Version der Microsoft Sentinel-API integriert, was bedeutet, dass es für den Logic Apps-Connector für Microsoft Sentinel verfügbar ist. So können Sie Playbooks verwenden, um automatisch eine Warnung zu einem Vorfall hinzuzufügen, wenn bestimmte Bedingungen erfüllt sind.

Sie können diese Automatisierung auch verwenden, um Benachrichtigungen zu manuell erstellten Vorfällen hinzuzufügen, benutzerdefinierte Korrelationen zu erstellen oder benutzerdefinierte Kriterien zum Gruppieren von Warnungen in Vorfälle zu definieren, wenn sie erstellt werden.

Einschränkungen

  • Nach dem Onboarding von Microsoft Sentinel im Defender-Portal wird das Hinzufügen oder Entfernen von Microsoft Sentinel-Warnungen zu oder von Vorfällen nur im Defender-Portal unterstützt. Um eine Warnung aus einem Vorfall im Defender-Portal zu entfernen, müssen Sie die Warnung einem anderen Vorfall hinzufügen. Weitere Informationen finden Sie unter Verstehen, wie Warnungen korreliert werden und Vorfälle im Defender-Portal zusammengeführt werden.

  • Beim Arbeiten im Azure-Portal importiert Microsoft Sentinel sowohl Warnungen als auch Vorfälle aus Microsoft Defender XDR in einem Arbeitsbereich, der nicht in das Defender-Portal integriert ist. In den meisten Fällen können Sie diese Warnungen und Vorfälle wie normale Microsoft Sentinel-Warnungen und Vorfälle behandeln.

    Sie können z. B. Microsoft Defender XDR-Warnungen zu oder aus Nicht-Defender-Vorfällen hinzufügen oder entfernen und Nicht-Defender-Warnungen zu Defender-Vorfällen direkt aus Microsoft Sentinel im Azure-Portal hinzufügen oder entfernen.

    Sie können Defender-Warnungen jedoch nur mit Defender-Vorfällen im Defender-Portal verwalten. Pivotieren Sie im Azure-Portal mithilfe des Links im Vorfall im Defender-Portal zum Vorfall. Änderungen, die im Defender-Portal vorgenommen wurden, werden mit dem Azure-Portal synchronisiert , sodass die Änderung in beiden Portalen weiterhin angezeigt wird.

  • Ein Vorfall kann maximal 150 Warnungen enthalten. Wenn Sie versuchen, einem Vorfall eine Warnung mit 150 Benachrichtigungen hinzuzufügen, wird eine Fehlermeldung angezeigt.

Warnungen mithilfe der Entitätszeitachse hinzufügen (Vorschau)

Die Entitätszeitachse, wie sie in der neuen Vorfallfunktion (jetzt in der Vorschau) vorgestellt wird, zeigt alle Entitäten in einer bestimmten Vorfalluntersuchung an. Wenn eine Entität in der Liste ausgewählt ist, wird eine Miniaturenentitätsseite in einem Seitenbereich angezeigt.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü "Vorfälle" aus.

    Screenshot: in einem Raster angezeigte neue Warteschlange für Vorfälle

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich "Vorfalldetails" die Option "Vollständige Details anzeigen" aus.

  3. Wählen Sie auf der Seite "Vorfall" die Registerkarte " Entitäten " aus.

    Screenshot der Registerkarte

  4. Wählen Sie eine Entität in der Liste aus.

  5. Wählen Sie im Seitenbereich der Entitätsseite die Karte Zeitachse aus.

    Screenshot: Karte mit der Entitätszeitachse auf der Registerkarte „Entitäten“ der Vorfallseite

  6. Wählen Sie einen Alarm außerhalb des aktuellen Vorfalls aus. Diese werden durch ein abgeblendetes Schildsymbol und ein gepunktetes Linienfarbband angezeigt, das den Schweregrad darstellt. Wählen Sie das Pluszeichensymbol am rechten Ende dieser Warnung aus.

    Screenshot: Darstellung einer externen Warnung in der Entitätszeitachse

  7. Bestätigen Sie das Hinzufügen der Warnung zum Vorfall, indem Sie "OK" auswählen. Sie erhalten eine Benachrichtigung, die das Hinzufügen der Warnung zum Vorfall bestätigt oder erklärt, warum sie nicht hinzugefügt wurde. Screenshot: Hinzufügen einer Warnung zu einem Vorfall in der Entitätszeitachse

Sie werden sehen, dass die hinzugefügte Benachrichtigung jetzt im Widget "Zeitachse des geöffneten Vorfalls" auf der Registerkarte " Übersicht " mit einem vollfarbigen Schildsymbol und einem vollfarbigen Farbband wie jeder anderen Warnung im Vorfall angezeigt wird.

Die hinzugefügte Warnung ist jetzt ein vollständiger Bestandteil des Vorfalls, und alle Entitäten in der hinzugefügten Warnung (die noch nicht Teil des Vorfalls waren) sind ebenfalls Teil des Vorfalls. Sie können jetzt die Zeitachsen dieser Entitäten im Hinblick auf ihre anderen Warnungen untersuchen, die nun zum Vorfall hinzugefügt werden können.

Entfernen einer Warnung aus einem Vorfall

Warnungen, die einem Vorfall – manuell oder automatisch – hinzugefügt wurden, können auch aus einem Vorfall entfernt werden.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü "Vorfälle" aus.

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich "Vorfalldetails" die Option "Vollständige Details anzeigen" aus.

  3. Wählen Sie auf der Registerkarte " Übersicht " im Widget "Vorfallzeitachse " die drei Punkte neben einer Warnung aus, die Sie aus dem Vorfall entfernen möchten. Wählen Sie im Popupmenü " Benachrichtigung entfernen" aus.

    Screenshot, der zeigt, wie Sie eine Warnung aus einem Vorfall in der Vorfallzeitachse entfernen.

Hinzufügen von Warnungen mithilfe des Untersuchungsdiagramms

Das Untersuchungsdiagramm ist ein visuelles, intuitives Tool, das Verbindungen und Muster darstellt und Es Ihren Analysten ermöglicht, die richtigen Fragen zu stellen und Leads zu folgen. Sie können sie verwenden, um Benachrichtigungen hinzuzufügen und sie aus Ihren Vorfällen zu entfernen, den Umfang Ihrer Untersuchung zu erweitern oder einzuschränken.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü "Vorfälle" aus.

    Screenshot: in einem Raster angezeigte Warteschlange für Vorfälle

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich "Vorfalldetails" die Schaltfläche "Aktionen " und dann im Popupmenü " Untersuchen" aus. Dadurch wird das Untersuchungsdiagramm geöffnet.

    Screenshot von Vorfällen mit Warnungen im Untersuchungsdiagramm.

  3. Bewegen Sie den Mauszeiger über eine beliebige Entität, um die Liste der Erkundungsfragen daneben einzublenden. Wählen Sie verwandte Warnungen aus.

    Screenshot: Abfragen zur Erkundung von Benachrichtigungen im Untersuchungsdiagramm

    Die zugehörigen Warnungen werden mittels gestrichelter Linien als mit der Entität verbunden gezeigt.

    Screenshot verwandter Warnungen, die im Untersuchungsdiagramm angezeigt werden.

  4. Zeigen Sie mit der Maus auf eine der zugehörigen Warnungen, bis ein Menü daneben erscheint. Wählen Sie " Warnung zu Vorfall hinzufügen" (Vorschau) aus.

    Screenshot des Hinzufügens einer Warnung zu einem Vorfall im Untersuchungsdiagramm.

  5. Die Warnung wird dem Vorfall hinzugefügt und ist für alle Zwecke Teil des Vorfalls, zusammen mit allen Entitäten und Details. Hier sehen Sie zwei visuelle Darstellungen:

    • Die Linie, die sie mit der Entität im Untersuchungsdiagramm verbindet, wurde von gestrichelt in durchgezogen geändert, und dem Diagramm wurden in der hinzugefügten Warnung Verbindungen mit Entitäten hinzugefügt.

      Screenshot einer Warnung, die einem Vorfall hinzugefügt wurde.

    • Die Warnung erscheint jetzt in der Zeitachse des Vorfalls, zusammen mit den Warnungen, die bereits vorhanden waren.

      Screenshot eines Alarms, der der Zeitleiste eines Vorfalls hinzugefügt wurde.

Sondersituationen

Wenn Sie einem Vorfall eine Warnung hinzufügen, werden Sie je nach den Umständen möglicherweise aufgefordert, Ihre Anfrage zu bestätigen oder zwischen verschiedenen Optionen zu wählen. Im Folgenden finden Sie einige Beispiele für diese Situationen, die Auswahlmöglichkeiten, die Sie treffen müssen, und deren Auswirkungen.

  • Die Warnung, die Sie hinzufügen möchten, gehört bereits zu einem anderen Vorfall.

    In diesem Fall wird eine Meldung angezeigt, die Ihnen mitteilt, dass die Warnung Teil eines anderen Vorfalls oder eines anderen Vorfalls ist, und sie werden gefragt, ob Sie fortfahren möchten. Wählen Sie "OK" aus, um die Benachrichtigung hinzuzufügen, oder "Abbrechen", um alles unverändert zu lassen.

    Durch das Hinzufügen dieser Warnung zu diesem Vorfall wird sie nicht von anderen Vorfällen entfernt. Warnungen können mit mehreren Vorfällen zusammenhängen. Wenn Sie möchten, können Sie die Warnung manuell aus den anderen Vorfällen entfernen, indem Sie den(n) Links in der oben angezeigten Meldung folgen.

  • Die Warnung, die Sie hinzufügen möchten, gehört zu einem anderen Vorfall, und es ist die einzige Warnung im anderen Vorfall.

    Dies unterscheidet sich von dem oben genannten Fall, da, wenn sich die Warnung allein im anderen Vorfall befindet, die Nachverfolgung in diesem Vorfall dazu führen könnte, dass der andere Vorfall irrelevant ist. In diesem Fall wird also dieses Dialogfeld angezeigt:

    Screenshot, der fragt, ob ein anderer Vorfall beibehalten oder geschlossen werden soll.

    • Anderen Vorfall beibehalten behält den anderen Vorfall unverändert bei, wobei die Warnung auch zu diesem hinzugefügt wird.

    • Anderen Vorfall schließen fügt die Warnung zu diesem Vorfall hinzu und schließt den anderen Vorfall. Dabei wird der Schließungsgrund „Unbestimmt“ und der Kommentar „Warnung wurde einem anderen Vorfall hinzugefügt“ mit der Nummer des offenen Vorfalls hinzugefügt.

    • Bei Wahl von Abbrechen wird der Status quo beibehalten. Es erfolgt keine Änderung des offenen Vorfalls oder eines anderen Vorfalls, auf den verwiesen wird.

    Welche dieser Optionen Sie auswählen, hängt von Ihren speziellen Anforderungen ab; wir empfehlen keine Auswahl gegenüber dem anderen.

Warnungen hinzufügen oder entfernen mit Hilfe von Playbooks

Das Hinzufügen und Entfernen von Warnungen zu Vorfällen steht auch als Logic Apps-Aktionen im Microsoft Sentinel-Connector und daher in Microsoft Sentinel-Playbooks zur Verfügung. Sie müssen die ARM-ID des Vorfalls und die System-Alarm-ID als Parameter angeben, und Sie können sie sowohl im Playbook-Schema für die Alarm- als auch die Vorfallauslöser finden.

Microsoft Sentinel stellt eine Beispiel-Playbook-Vorlage im Vorlagenkatalog bereit, die Ihnen zeigt, wie Sie mit dieser Funktion arbeiten:

Screenshot der Playbook-Vorlage zur Verknüpfung von Alarmen mit Vorfällen.

Hier erfahren Sie, wie die Aktion " Warnung zu Vorfall hinzufügen" (Vorschau) in diesem Playbook verwendet wird, z. B. wie Sie sie an anderer Stelle verwenden können:

Screenshot des Hinzufügens einer Warnung zu einem Vorfall mithilfe einer Playbook-Aktion.

Hinzufügen/Entfernen von Warnungen mithilfe der API

Sie sind nicht auf das Portal beschränkt, um dieses Feature zu verwenden. Es ist auch über die Microsoft Sentinel-API mit Hilfe der Operationengruppe für Vorfallbeziehungen zugänglich. Es ermöglicht Ihnen, Beziehungen zwischen Warnungen und Vorfällen abzurufen, zu erstellen, zu aktualisieren und zu löschen.

Erstellen einer Beziehung

Sie fügen einem Vorfall eine Warnung hinzu, indem Sie eine Beziehung zwischen ihnen erstellen. Verwenden Sie den folgenden Endpunkt, um einem vorhandenen Vorfall eine Warnung hinzuzufügen. Nachdem diese Anforderung gestellt wurde, tritt die Warnung dem Vorfall bei und wird in der Liste der Warnungen im Vorfall im Portal angezeigt.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Der Anforderungstext sieht wie folgt aus:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Beziehung löschen

Sie entfernen eine Warnung aus einem Vorfall, indem Sie die Beziehung zwischen ihnen löschen. Verwenden Sie den folgenden Endpunkt, um eine Warnung aus einem vorhandenen Vorfall zu entfernen. Nachdem diese Anforderung gestellt wurde, wird die Warnung nicht mehr mit dem Vorfall verbunden oder im Vorfall angezeigt.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Auflisten von Warnungsbeziehungen

Sie können auch alle Warnungen auflisten, die sich auf einen bestimmten Vorfall beziehen, mit diesem Endpunkt und dieser Anforderung:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Spezifische Fehlercodes

In der allgemeinen API-Dokumentation werden die erwarteten Antwortcodes für die oben genannten Vorgänge "Erstellen", " Löschen" und "Listen " aufgeführt. Fehlercodes werden nur dort als allgemeine Kategorie erwähnt. Hier sind die möglichen spezifischen Fehlercodes und Meldungen, die dort unter der Kategorie "Andere Statuscodes" aufgeführt sind:

Programmcode Nachricht
400 Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Im Vorfall "{incidentIdentifier}" ist bereits ein anderer Beziehungstyp mit dem Namen "{relationName}" vorhanden.
400 Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Warnung "{systemAlertId}" ist bereits im Vorfall "{incidentIdentifier}" vorhanden.
400 Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Verwandte Ressourcen und Vorfälle sollten zum gleichen Arbeitsbereich gehören.
400 Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Microsoft Defender XDR-Warnungen können nicht zu Microsoft Defender XDR-Vorfällen hinzugefügt werden.
400 Ungültige Anforderung Fehler beim Löschen der Beziehung. Microsoft Defender XDR-Warnungen können nicht aus Microsoft Defender XDR-Vorfällen entfernt werden.
404 Nicht gefunden Die Ressource '{systemAlertId}' ist nicht vorhanden.
404 Nicht gefunden Der Vorfall existiert nicht.
409 Konflikt Fehler beim Erstellen einer Beziehung. Die Beziehung mit dem Namen "{relationName}" ist bereits im Vorfall "{incidentIdentifier}" zu einer anderen Warnung "{systemAlertId}" vorhanden.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Vorfällen Warnungen hinzufügen und mithilfe des Microsoft Sentinel-Portals und der API entfernen. Weitere Informationen finden Sie unter: