Riasztások összekapcsolása incidensekkel a Microsoft Sentinelben

  • Cikk

Ez a cikk bemutatja, hogyan kapcsolhatja össze a riasztásokat a Microsoft Sentinelben történt incidensekkel. Ez a funkció lehetővé teszi, hogy manuálisan vagy automatikusan riasztásokat adjon hozzá a meglévő incidensekhez, vagy eltávolítsa őket a vizsgálati folyamatok részeként, pontosítva az incidens hatókörét a vizsgálat során.

Fontos

Az incidensbővítés jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az incidensek hatókörének és hatáskörének bővítése

Ez a funkció lehetővé teszi, hogy egy adatforrásból származó riasztásokat is belefoglaljon egy másik adatforrás által generált incidensekbe. Hozzáadhat például riasztásokat Felhőhöz készült Microsoft Defender vagy különböző külső adatforrásokból a Microsoft Sentinelbe a Microsoft Defender XDR-ből importált incidensekhez.

Ez a funkció a Microsoft Sentinel API legújabb verziójába van beépítve, ami azt jelenti, hogy elérhető a Microsoft Sentinel Logic Apps-összekötőjéhez. Így forgatókönyvek használatával automatikusan riasztást adhat hozzá egy incidenshez, ha bizonyos feltételek teljesülnek.

Ezzel az automatizálással riasztásokat adhat hozzá a manuálisan létrehozott incidensekhez, egyéni korrelációkat hozhat létre, vagy egyéni kritériumokat határozhat meg a riasztások incidensekbe való csoportosításához a létrehozásukkor.

Korlátozások

  • A Microsoft Sentinel riasztásokat és incidenseket is importál a Microsoft Defender XDR-ből. Ezeket a riasztásokat és incidenseket többnyire úgy kezelheti, mint a szokásos Microsoft Sentinel-riasztásokat és incidenseket.

    A Defender-incidensekhez azonban csak Defender-riasztásokat adhat hozzá (vagy távolíthatja el őket) a Defender portálon, a Sentinel portálon nem. Ha ezt a Microsoft Sentinelben próbálja meg elvégezni, hibaüzenet jelenik meg. Az incidenst a Microsoft Defender portálon a Microsoft Sentinel-incidensben található hivatkozás használatával módosíthatja. Ne aggódjon azonban – a Microsoft Defender portálon az incidensen végzett módosítások szinkronizálva lesznek a Microsoft Sentinel párhuzamos incidensével, így továbbra is megjelennek a hozzáadott riasztások az incidensben a Sentinel portálon.

    A Microsoft Sentinel portálon hozzáadhat Microsoft Defender XDR-riasztásokat a nem Defender-incidensekhez és a nem Defender-riasztásokhoz a Defender-incidensekhez.

  • Ha a Microsoft Sentinelt az egyesített biztonsági üzemeltetési portálra előkészítette, a Microsoft Sentinelben (az Azure Portalon) már nem adhat hozzá Microsoft Sentinel-riasztásokat az incidensekhez, és nem távolíthatja el a Microsoft Sentinel-riasztásokat az incidensekből. Ezt csak a Microsoft Defender portálon teheti meg. További információt a portálok közötti képességbeli különbségek című témakörben talál.

  • Egy incidens legfeljebb 150 riasztást tartalmazhat. Ha egy 150 riasztást tartalmazó incidenshez próbál riasztást hozzáadni, hibaüzenet jelenik meg.

Riasztások hozzáadása az entitás ütemtervével (előzetes verzió)

Az entitás idővonala az új incidensi felületen (most előzetes verzióban) egy adott incidensvizsgálat összes entitását megjeleníti. Ha kijelöl egy entitást a listában, egy miniatűr entitáslap jelenik meg egy oldalsó panelen.

  1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

    Képernyőkép a rácson megjelenő új incidensek üzenetsoráról.

  2. Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget.

  3. Az incidensoldalon válassza az Entitások lapot.

    Képernyőkép az entitások lapról az incidensoldalon.

  4. Válasszon egy entitást a listából.

  5. Az entitásoldal oldalpaneljén válassza ki az Ütemterv kártyát.

    Képernyőkép az incidensoldal Entitások lapján található entitás-idővonal kártyáról.

  6. Válasszon ki egy, a nyitott incidensen kívüli riasztást. Ezeket egy szürkített pajzsikon és egy pontozott vonalú színsáv jelzi, amely a súlyosságot jelöli. Válassza a pluszjel ikont a riasztás jobb végén.

    Képernyőkép a külső riasztás megjelenéséről az entitás ütemtervében.

  7. Az OK gombra kattintva ellenőrizheti, hogy hozzáadja-e a riasztást az incidenshez. Kapni fog egy értesítést, amely megerősíti a riasztás hozzáadását az incidenshez, vagy elmagyarázza, hogy miért nem adták hozzá. Képernyőkép egy riasztás hozzáadásáról egy incidenshez az entitás ütemtervében.

Látni fogja, hogy a hozzáadott riasztás most megjelenik a nyitott incidens Idővonal widgetjében az Áttekintés lapon, egy teljes színű pajzs ikonnal és egy egyszínű színsávbal, mint az incidens többi riasztása.

A hozzáadott riasztás most már az incidens teljes része, és a hozzáadott riasztásban szereplő entitások (amelyek még nem tartoztak az incidenshez) szintén az incidens részévé váltak. Most már megismerheti az entitások ütemtervét az incidenshez való hozzáadásra jogosult egyéb riasztásokhoz.

Riasztás eltávolítása incidensből

Az incidenshez manuálisan vagy automatikusan hozzáadott riasztások is eltávolíthatók az incidensből.

  1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

  2. Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget.

  3. Az Áttekintés lapon, az Incidens idősor widgetében válassza ki az incidensből eltávolítani kívánt riasztás melletti három elemet. Az előugró menüben válassza a Riasztás eltávolítása lehetőséget.

    Képernyőkép arról, hogyan távolíthat el riasztást egy incidensből az incidens idővonalán.

Riasztások hozzáadása a vizsgálati gráf használatával

A vizsgálati gráf egy vizuális, intuitív eszköz, amely kapcsolatokat és mintákat mutat be, és lehetővé teszi az elemzők számára a megfelelő kérdések feltevését és az érdeklődők követését. Ezzel riasztásokat adhat hozzá az incidensekhez, és eltávolíthatja őket az incidensekből, kibővítheti vagy szűkítheti a vizsgálat hatókörét.

  1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

    Képernyőkép egy rácson megjelenő incidenssorról.

  2. Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Műveletek gombot, majd az előugró menüBen válassza a Kivizsgálás lehetőséget. Ez megnyitja a vizsgálati gráfot.

    Képernyőkép az incidensekről a vizsgálati grafikonon található riasztásokkal.

  3. Vigye az egérmutatót bármely entitás fölé a feltárási lekérdezések listájának az oldalára való megjelenítéséhez. Válassza a Kapcsolódó riasztások lehetőséget.

    Képernyőkép a riasztásfeltárási lekérdezésekről a vizsgálati grafikonon.

    A kapcsolódó riasztások pontozott vonalakon jelennek meg az entitáshoz csatlakoztatva.

    Képernyőkép a kapcsolódó riasztásokról, amelyek a vizsgálati grafikonon jelennek meg.

  4. Vigye az egérmutatót az egyik kapcsolódó riasztás fölé, amíg egy menü ki nem ugra az oldalára. Válassza a Riasztás hozzáadása incidenshez (előzetes verzió) lehetőséget.

    Képernyőkép egy incidenshez való hozzáadásáról a vizsgálati grafikonon.

  5. A riasztás hozzá lesz adva az incidenshez, és minden szempontból az incidens része, az összes entitásával és részleteivel együtt. Ennek két vizuális ábrázolása jelenik meg:

    • A vizsgálati gráf entitásához csatlakozó vonal pontozottról egyszínűre változott, és a hozzáadott riasztásban szereplő entitásokhoz való kapcsolatok hozzáadva lettek a gráfhoz.

      Képernyőkép egy incidenshez hozzáadott riasztásról.

    • A riasztás most megjelenik az incidens ütemtervében, valamint a már ott lévő riasztásokkal együtt.

      Képernyőkép egy incidens ütemtervéhez hozzáadott riasztásról.

Különleges helyzetek

Ha riasztást ad hozzá egy incidenshez, a körülményektől függően előfordulhat, hogy a rendszer megkéri, hogy erősítse meg a kérést, vagy válasszon a különböző lehetőségek közül. Az alábbiakban néhány példát mutatunk be ezekre a helyzetekre, a szükséges döntésekre és azok következményeire.

  • A hozzáadni kívánt riasztás már egy másik incidenshez tartozik.

    Ebben az esetben megjelenik egy üzenet, amely közli, hogy a riasztás egy másik incidens vagy incidens része, és megkérdezi, hogy folytatja-e. Az OK gombra kattintva hozzáadhatja a riasztást, vagy a Mégse gombra kattintva elhagyhatja a kívánt állapotot.

    Ha hozzáadja a riasztást ehhez az incidenshez , az nem távolítja el más incidensekből. A riasztások több incidenshez is kapcsolódhatnak. Ha szeretné, manuálisan is eltávolíthatja a riasztást a többi incidensből a fenti üzenetben található hivatkozás(ok) követésével.

  • A hozzáadni kívánt riasztás egy másik incidenshez tartozik, és ez az egyetlen riasztás a másik incidensben.

    Ez eltér a fenti esettől, mivel ha a riasztás egyedül van a másik incidensben, az incidens nyomon követése irrelevánssá teheti a másik incidenst. Ebben az esetben tehát a következő párbeszédpanel jelenik meg:

    Képernyőkép arról, hogy megtartja vagy bezárja-e a többi incidenst.

    • A többi incidens megtartása megőrzi a másik incidenst, miközben a riasztást is hozzáadja ehhez.

    • A többi incidens bezárása hozzáadja a riasztást ehhez az incidenshez, és bezárja a másik incidenst, hozzáadva a "Nincs meghatározva" záró okot, és a "Riasztás egy másik incidenshez lett hozzáadva" megjegyzést a nyitott incidens számával.

    • A Mégse a status quo-t hagyja el. Nem módosítja sem a nyitott incidenst, sem bármely más hivatkozott incidenst.

    Ezen lehetőségek közül melyiket választja, az adott igényektől függ; nem javasoljuk az egyik választást a másik felett.

Riasztások hozzáadása/eltávolítása forgatókönyvek használatával

Az incidensekre vonatkozó riasztások hozzáadása és eltávolítása Logic Apps-műveletekként is elérhető a Microsoft Sentinel-összekötőben, és így a Microsoft Sentinel forgatókönyvekben is. Paraméterekként meg kell adnia az incidens ARM-azonosítóját és a rendszerriasztás azonosítóját , és mindkettő megtalálható a forgatókönyv sémájában mind a riasztási, mind az incidens-eseményindítók esetében.

A Microsoft Sentinel egy minta forgatókönyvsablont biztosít a sablongyűjteményben, amely bemutatja, hogyan használhatja ezt a funkciót:

Forgatókönyvsablon képernyőképe az incidensekkel kapcsolatos riasztásokhoz.

Ebben a forgatókönyvben a Riasztás hozzáadása incidenshez (előzetes verzió) műveletet használja, példaként arra, hogyan használhatja azt máshol:

Képernyőkép arról, hogy egy forgatókönyv-művelettel riasztást ad hozzá egy incidenshez.

Riasztások hozzáadása/eltávolítása az API használatával

Ezt a funkciót nem csak a portál használhatja. A Microsoft Sentinel API-n keresztül is elérhető az Incidenskapcsolatok műveletcsoporton keresztül. Lehetővé teszi a riasztások és incidensek közötti kapcsolatok lekérését, létrehozását, frissítését és törlését.

Kapcsolat létrehozása

Riasztást adhat hozzá egy incidenshez, ha kapcsolatot hoz létre közöttük. A következő végpont használatával riasztást adhat hozzá egy meglévő incidenshez. A kérést követően a riasztás csatlakozik az incidenshez, és megjelenik az incidens riasztásainak listájában a portálon.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

A kérelem törzse így néz ki:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Kapcsolat törlése

A közöttük lévő kapcsolat törlésével eltávolíthat egy riasztást egy incidensből. A következő végpont használatával eltávolíthat egy riasztást egy meglévő incidensből. A kérést követően a riasztás már nem csatlakozik az incidenshez, és nem jelenik meg.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Riasztási kapcsolatok listázása

Az adott incidenshez kapcsolódó összes riasztást az alábbi végponttal és kéréssel is listázhatja:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Konkrét hibakódok

Az általános API-dokumentáció felsorolja a fent említett létrehozási, törlési és listaműveletek várt válaszkódjait. A hibakódokat csak általános kategóriaként említi meg a rendszer. Íme a lehetséges konkrét hibakódok és üzenetek az "Egyéb állapotkódok" kategóriában:

Kód Üzenet
400 Hibás kérés Nem sikerült létrehozni a kapcsolatot. A(z) {relationName} nevű relációs típus már létezik a(z) {incidentIdentifier} incidensben.
400 Hibás kérés Nem sikerült létrehozni a kapcsolatot. A(z) {systemAlertId} riasztás már létezik a(z) {incidentIdentifier} incidensben.
400 Hibás kérés Nem sikerült létrehozni a kapcsolatot. A kapcsolódó erőforrásnak és incidensnek ugyanahhoz a munkaterülethez kell tartoznia.
400 Hibás kérés Nem sikerült létrehozni a kapcsolatot. A Microsoft Defender XDR-riasztások nem adhatók hozzá a Microsoft Defender XDR-incidensekhez.
400 Hibás kérés Nem sikerült törölni a kapcsolatot. A Microsoft Defender XDR-riasztások nem távolíthatók el a Microsoft Defender XDR-incidensekből.
404 Nem található A(z) {systemAlertId} erőforrás nem létezik.
404 Nem található Az incidens nem létezik.
409 Ütközés Nem sikerült létrehozni a kapcsolatot. A(z) {relationName} nevű kapcsolat már létezik a(z) {incidentIdentifier} incidensben a különböző {systemAlertId} riasztáshoz.

Következő lépések

Ebben a cikkben megtanulta, hogyan adhat hozzá riasztásokat az incidensekhez, és hogyan távolíthatja el őket a Microsoft Sentinel portál és API használatával. További információkért lásd: