Zuordnen von Warnungen zu Vorfällen in Microsoft Sentinel

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Warnungen Ihren Vorfällen in Microsoft Sentinel zuordnen können. Mit diesem Feature können Sie im Rahmen Ihrer Untersuchungen Warnungen manuell oder automatisch zu vorhandenen Vorfällen hinzufügen oder von diesen entfernen und so den Umfang des Vorfalls im Verlauf der Untersuchung eingrenzen.

Wichtig

Die Vorfallerweiterung befindet sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Erweitern des Umfangs und Informationsgehalts Ihrer Vorfälle

Mit diesem Feature können Sie u. a. Warnungen aus einer Datenquelle in Vorfälle einbeziehen, die von einer anderen Datenquelle generiert wurden. Sie können z. B. Warnungen von Microsoft Defender für Cloud oder aus verschiedenen Datenquellen von Drittanbietern zu Vorfällen hinzufügen, die aus Microsoft Defender XDR in Microsoft Sentinel importiert wurden.

Dieses Feature ist in die neueste Version der Microsoft Sentinel-API integriert, d. h. es ist für den Logic Apps-Connector für Microsoft Sentinel verfügbar. Sie können also Playbooks verwenden, um einem Vorfall automatisch eine Warnung hinzuzufügen, wenn bestimmte Bedingungen erfüllt sind.

Sie können diese Automatisierung auch verwenden, um manuell erstellten Vorfällen Warnungen hinzuzufügen, um benutzerdefinierte Korrelationen zu erstellen oder um benutzerdefinierte Kriterien für die Gruppierung von Warnungen in Vorfälle zu definieren, sobald diese erstellt werden.

Begrenzungen

  • Microsoft Sentinel importiert warnungen und Vorfälle aus Microsoft Defender XDR. In den meisten Fällen können Sie diese Warnungen und Vorfälle wie normale Microsoft Sentinel-Warnungen und -Vorfälle behandeln.

    Sie können jedoch nur im Defender-Portal Warnungen zu Defender-Vorfällen hinzufügen (oder sie entfernen), nicht im Sentinel-Portal. Wenn Sie dies in Microsoft Sentinel versuchen, erhalten Sie eine Fehlermeldung. Sie können mit dem Link im Microsoft Sentinel-Vorfall zum Vorfall im Microsoft Defender-Portal pivotieren. Keine Sorge – alle Änderungen, die Sie am Vorfall im Microsoft Defender-Portal vornehmen, werden mit dem parallelen Vorfall in Microsoft Sentinel synchronisiert , sodass die hinzugefügten Warnungen weiterhin im Sentinel-Portal angezeigt werden.

    Sie können Microsoft Defender XDR-Warnungen zu Nicht-Defender-Vorfällen und Nicht-Defender-Warnungen zu Defender-Vorfällen im Microsoft Sentinel-Portal hinzufügen.

  • Ein Vorfall kann maximal 150 Warnungen enthalten. Wenn Sie versuchen, eine Warnung einem Vorfall hinzuzufügen, der bereits 150 Warnungen enthält, erhalten Sie eine Fehlermeldung.

Hinzufügen von Warnungen mithilfe der Entitätszeitachse (Vorschau)

Die Entitätszeitachse, wie sie in der neuen Vorfallfunktion (jetzt in der Vorschau) vorgestellt wird, zeigt alle Entitäten in einer bestimmten Vorfalluntersuchung an. Wenn eine Entität in der Liste ausgewählt ist, wird eine kleine Entitätsseite in einem Seitenbereich angezeigt.

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

    Screenshot of new incidents queue displayed in a grid.

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich „Details zum Vorfall“ die Option Alle Details anzeigen aus.

  3. Wählen Sie auf der Vorfallseite die Registerkarte Entitäten aus.

    Screenshot of entities tab in incident page.

  4. Wählen Sie eine Entität in der Liste aus.

  5. Wählen Sie im Seitenbereich der Entitätsseite die Karte Zeitachse aus.

    Screenshot of entity timeline card in entities tab of incident page.

  6. Wählen Sie eine Warnung außerhalb des geöffneten Vorfalls aus. Diese werden durch ein ausgegrautes Schildsymbol und einer gepunkteten Linie als Farbband gekennzeichnet. Das Farbband stellt den Schweregrad dar. Wählen Sie das Pluszeichen am rechten Ende dieser Warnung aus.

    Screenshot of appearance of external alert in entity timeline.

  7. Bestätigen Sie das Hinzufügen der Warnung zum Vorfall, indem Sie OK auswählen. Sie erhalten eine Benachrichtigung, die das Hinzufügen der Warnung zum Vorfall bestätigt oder erläutert, warum sie nicht hinzugefügt wurde. Screenshot of adding an alert to an incident in the entity timeline.

Sie sehen, dass die hinzugefügte Warnung nun im Widget Zeitachse des geöffneten Vorfalls auf der Registerkarte Übersicht mit einem vollfarbigen Schildsymbol und einer durchgezogenen Linie als Farbband wie jede andere Warnung im Vorfall angezeigt wird.

Die hinzugefügte Warnung ist jetzt ein vollständiger Teil des Vorfalls, und alle Entitäten in der hinzugefügten Warnung (die nicht bereits Teil des Vorfalls waren) sind jetzt ebenfalls Teil des Vorfalls. Sie können jetzt die Zeitachsen dieser Entitäten im Hinblick auf ihre anderen Warnungen untersuchen, die nun zum Vorfall hinzugefügt werden können.

Entfernen einer Warnung aus einem Vorfall

Warnungen, die einem Vorfall manuell oder automatisch hinzugefügt wurden, können aus einem Vorfall auch wieder entfernt werden.

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Bereich „Details zum Vorfall“ die Option Alle Details anzeigen aus.

  3. Wählen Sie auf der Registerkarte Übersicht im Widget Zeitachse für Vorfälle die drei Punkte neben einer Warnung aus, die Sie aus dem Vorfall entfernen möchten. Wählen Sie im Popupmenü Warnung entfernen aus.

    Screenshot showing how to remove an alert from an incident in the incident timeline.

Hinzufügen von Warnungen mithilfe des Untersuchungsdiagramms

Das Untersuchungsdiagramm ist ein visuelles, intuitives Tool, das Verbindungen und Muster darstellt und Ihren Analysten ermöglicht, die richtigen Fragen zu stellen und den Hinweisen zu folgen. Sie können hiermit Warnungen zu Ihren Vorfällen hinzufügen und von ihnen entfernen, um den Umfang Ihrer Untersuchung zu erweitern oder einzugrenzen.

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

    Screenshot of incidents queue displayed in a grid.

  2. Wählen Sie einen Vorfall aus, der untersucht werden soll. Wählen Sie im Panel mit den Details des Vorfalls die Schaltfläche Aktionen und anschließend im Popupmenü Untersuchen aus. Dadurch wird das Untersuchungsdiagramm geöffnet.

    Screenshot of incidents with alerts in investigation graph.

  3. Bewegen Sie den Mauszeiger über eine beliebige Entität, um die Liste der Erkundungsfragen daneben einzublenden. Wählen Sie Zugehörige Warnungen aus.

    Screenshot of alert exploration queries in investigation graph.

    Die zugehörigen Warnungen werden mittels gestrichelter Linien als mit der Entität verbunden gezeigt.

    Screenshot of related alerts appearing in investigation graph.

  4. Bewegen Sie den Mauszeiger über eine der zugehörigen Warnungen, bis sich ein Menü daneben öffnet. Wählen Sie Warnung zu Vorfall hinzufügen (Vorschau) aus.

    Screenshot of adding an alert to an incident in the investigation graph.

  5. Die Warnung wird dem Vorfall hinzugefügt und ist für alle Zwecke Teil des Vorfalls, zusammen mit allen zugehörigen Entitäten und Details. Es werden zwei visuelle Darstellungen dazu gezeigt:

    • Die Linie, die sie mit der Entität im Untersuchungsdiagramm verbindet, wurde von gestrichelt in durchgezogen geändert, und dem Diagramm wurden in der hinzugefügten Warnung Verbindungen mit Entitäten hinzugefügt.

      Screenshot showing an alert added to an incident.

    • Die Warnung wird nun auf der Zeitleiste dieses Vorfalls angezeigt, zusammen mit den Warnungen, die dort bereits vorhanden waren.

      Screenshot showing an alert added to an incident's timeline.

Besondere Situationen

Wenn Sie einem Vorfall eine Warnung hinzufügen, werden Sie möglicherweise aufgefordert, Ihre Anforderung zu bestätigen oder zwischen verschiedenen Optionen zu wählen. Im Folgenden finden Sie einige Beispiele für diese Situationen, die Entscheidungen, die Sie treffen müssen, und deren Auswirkungen.

  • Die Warnung, die Sie hinzufügen möchten, gehört bereits zu einem anderen Vorfall.

    In diesem Fall wird eine Meldung angezeigt, die besagt, dass die Warnung Teil eines anderen Vorfalls oder anderer Vorfälle ist, und Sie werden gefragt, ob Sie fortfahren möchten. Wählen Sie OK aus, um die Warnung hinzuzufügen, oder Abbrechen, um alles so zu belassen, wie es ist.

    Wenn Sie die Warnung diesem Vorfall hinzufügen, wird sie nicht aus anderen Vorfällen entfernt . Warnungen können mehreren Vorfällen zugeordnet sein. Auf Wunsch können Sie die Warnung manuell von den anderen Vorfällen entfernen, indem Sie den Links in der obigen Meldungsaufforderung folgen.

  • Die Warnung, die Sie hinzufügen möchten, gehört zu einem anderen Vorfall, und es ist die einzige Warnung in diesem Vorfall.

    Dies unterscheidet sich vom obigen Fall, denn wenn die Warnung allein im anderen Vorfall vorkommt, könnte die Nachverfolgung in diesem Vorfall den anderen Vorfall irrelevant machen. In diesem Fall sehen Sie daher dieses Dialogfeld:

    Screenshot asking whether to keep or close other incident.

    • Anderen Vorfall beibehalten behält den anderen Vorfall unverändert bei, wobei die Warnung auch zu diesem hinzugefügt wird.

    • Anderen Vorfall schließen fügt die Warnung zu diesem Vorfall hinzu und schließt den anderen Vorfall. Dabei wird der Schließungsgrund „Unbestimmt“ und der Kommentar „Warnung wurde einem anderen Vorfall hinzugefügt“ mit der Nummer des offenen Vorfalls hinzugefügt.

    • Bei Wahl von Abbrechen wird der Status quo beibehalten. Es erfolgt keine Änderung des offenen Vorfalls oder eines anderen Vorfalls, auf den verwiesen wird.

    Die Wahl dieser Optionen hängt von Ihren speziellen Bedürfnissen ab, weshalb wir keine bestimmte Option vorziehen.

Hinzufügen und Entfernen von Warnungen mithilfe von Playbooks

Das Hinzufügen und Entfernen von Warnungen zu Vorfällen ist auch als Logic Apps-Aktion im Microsoft Sentinel-Connector und damit in Microsoft Sentinel-Playbooks verfügbar. Sie müssen die ARM-ID des Vorfalls und die Systemalarm-ID als Parameter angeben. Beide finden Sie im Playbookschema für die Auslöser von Warnung und Vorfall.

Microsoft Sentinel stellt eine Beispielvorlage für ein Playbook im Vorlagenkatalog zur Verfügung, die Ihnen zeigt, wie Sie mit dieser Funktion arbeiten können:

Screenshot of playbook template for relating alerts to incidents.

Hier sehen Sie, wie die Aktion Warnung zum Vorfall hinzufügen (Vorschau) in diesem Playbook verwendet wird, als Beispiel dafür, wie Sie sie auch an anderer Stelle einsetzen können:

Screenshot of adding an alert to an incident using a playbook action.

Hinzufügen und Entfernen von Warnungen mithilfe der API

Dieses Feature können Sie nicht nur im Portal nutzen. Es ist auch über die Microsoft Sentinel-API zugänglich, und zwar über die Vorgangsgruppe Vorfallbeziehungen. Es ermöglicht Ihnen, Beziehungen zwischen Warnungen und Vorfällen abzurufen, zu erstellen, zu aktualisieren und zu löschen.

Erstellen einer Beziehung

Sie fügen eine Warnung zu einem Vorfall hinzu, indem Sie eine Beziehung zwischen beiden erstellen. Verwenden Sie den folgenden Endpunkt, um eine Warnung zu einem bestehenden Vorfall hinzuzufügen. Nach dieser Anforderung wird die Warnung dem Vorfall hinzugefügt und ist in der Liste der Warnungen im Vorfall im Portal zu sehen.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Der Anforderungstext sieht folgendermaßen aus:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Löschen einer Beziehung

Sie entfernen eine Warnung aus einem Vorfall, indem Sie die Beziehung zwischen beiden löschen. Verwenden Sie den folgenden Endpunkt, um eine Warnung aus einem bestehenden Vorfall zu entfernen. Nach dieser Anforderung ist die Warnung nicht mehr mit dem Vorfall verbunden und taucht auch nicht mehr darin auf.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Auflisten von Warnungsbeziehungen

Sie können mit diesem Endpunkt und dieser Anforderung auch alle Warnungen auflisten, die sich auf einen bestimmten Vorfall beziehen:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Spezifische Fehlercodes

In der allgemeinen API-Dokumentation sind die erwarteten Antwortcodes für die oben genannten Vorgänge Create, Delete und List aufgeführt. Fehlercodes werden nur als allgemeine Kategorie erwähnt. Hier finden Sie die möglichen spezifischen Fehlercodes und Meldungen, die dort unter der Kategorie „Andere Statuscodes“ aufgeführt sind:

Code `Message`
400 – Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Ein anderer Beziehungstyp mit dem Namen {relationName} ist bereits im Vorfall {incidentIdentifier} vorhanden.
400 – Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Warnung {systemAlertId} ist bereits im Vorfall {incidentIdentifier} vorhanden.
400 – Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Verwandte Ressourcen und Vorfälle sollten zum selben Arbeitsbereich gehören.
400 – Ungültige Anforderung Fehler beim Erstellen einer Beziehung. Microsoft Defender XDR-Warnungen können nicht zu Microsoft Defender XDR-Vorfällen hinzugefügt werden.
400 – Ungültige Anforderung Fehler beim Löschen der Beziehung. Microsoft Defender XDR-Warnungen können nicht aus Microsoft Defender XDR-Vorfällen entfernt werden.
404 – Nicht gefunden Die Ressource {systemAlertId} ist nicht vorhanden.
404 – Nicht gefunden Vorfall ist nicht vorhanden.
409 – Konflikt Fehler beim Erstellen einer Beziehung. Beziehung mit dem Namen {relationName} ist bereits im Vorfall {incidentIdentifier} für eine andere Warnung {systemAlertId} vorhanden.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie mithilfe des Microsoft Sentinel-Portals und der API Warnungen zu Vorfällen hinzufügen und wieder entfernen können. Weitere Informationen finden Sie unter