Share via

Saját incidensek manuális létrehozása a Microsoft Sentinelben

  • Cikk

Fontos

A manuális incidensek létrehozása a portál vagy a Logic Apps használatával jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A manuális incidenslétrehozás általánosan elérhető az API használatával.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

A Microsoft Sentinel biztonsági információ- és eseménykezelési (SIEM) megoldásként a biztonsági műveletek fenyegetésészlelési és választevékenységei az Ön által vizsgált és elhárított incidensekre összpontosítanak. Ezek az incidensek két fő forrásból származnak:

  • Ezek automatikusan jönnek létre, amikor az észlelési mechanizmusok azon naplókon és riasztásokon működnek, amelyeket a Microsoft Sentinel betölt a csatlakoztatott adatforrásokból.

  • Közvetlenül más csatlakoztatott Microsoft biztonsági szolgáltatásokból (például a Microsoft Defender XDR-ből) vannak betöltve, amelyek létrehozták őket.

A fenyegetési adatok azonban más forrásokból is származhatnak, amelyek nem kerülnek be a Microsoft Sentinelbe, vagy a naplókban nem rögzített eseményekről, és mégis indokolhatják a vizsgálat megnyitását. Előfordulhat például, hogy egy alkalmazott észlel egy ismeretlen személyt, aki gyanús tevékenységet folytat a szervezet információs eszközeivel kapcsolatban. Ez az alkalmazott meghívhatja vagy e-mailben elküldheti a biztonsági műveleti központot (SOC) a tevékenység jelentéséhez.

A Microsoft Sentinel lehetővé teszi a biztonsági elemzők számára, hogy manuálisan hozzanak létre incidenseket bármilyen típusú eseményhez, függetlenül azok forrásától vagy adataitól, így nem hagyhatja ki ezeket a szokatlan típusú fenyegetéseket.

Gyakori alkalmazási helyzetek

Incidens létrehozása jelentett eseményhez

Ez a fenti bevezetőben leírt forgatókönyv.

Incidensek létrehozása külső rendszerekből származó eseményekből

Incidensek létrehozása olyan rendszerek eseményei alapján, amelyek naplói nem kerülnek be a Microsoft Sentinelbe. Egy SMS-alapú adathalászati kampány például a szervezet vállalati arculatát és témáit használhatja az alkalmazottak személyes mobileszközeinek megcélzására. Érdemes lehet kivizsgálni egy ilyen támadást, és létrehozhat egy incidenst a Microsoft Sentinelben, hogy legyen egy platformja a vizsgálat kezeléséhez, a bizonyítékok gyűjtéséhez és naplózásához, valamint a válasz- és kárenyhítési műveletek rögzítéséhez.

Incidensek létrehozása a keresési eredmények alapján

Incidensek létrehozása a vadásztevékenységek megfigyelt eredményei alapján. Ha például egy adott vizsgálat kontextusában (vagy önállóan) fenyegetéskeresést folytat, egy teljesen független fenyegetésre utaló bizonyítékra bukkanhat, amely a saját különálló vizsgálatát teszi szükségessé.

Incidens manuális létrehozása

Az incidensek manuális létrehozásának három módja van:

Miután a Microsoft Sentinelt a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjára telepítette, a manuálisan létrehozott incidensek nem lesznek szinkronizálva az egyesített platformmal, bár továbbra is megtekinthetők és kezelhetők a Microsoft Sentinelben az Azure Portalon, valamint a Logic Appsen és az API-n keresztül.

Incidens létrehozása az Azure Portal használatával

  1. Válassza ki a Microsoft Sentinelt , és válassza ki a munkaterületet.

  2. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

  3. Az Incidensek lapon válassza a + Incidens létrehozása (előzetes verzió) lehetőséget a gombsávon.

    Képernyőkép a fő incidens képernyőjéről, amely a gombot lenyomva manuálisan hoz létre egy új incidenst.

    Az Incidens létrehozása (előzetes verzió) panel a képernyő jobb oldalán nyílik meg.

    Képernyőkép a manuális incidenslétrehozás panelről, az összes mező üres.

  4. Ennek megfelelően töltse ki a panelen lévő mezőket.

    • Cím

      • Adja meg az incidenshez választott címet. Az incidens ezzel a címmel jelenik meg az üzenetsorban.
      • Szükséges. Korlátlan hosszúságú szabad szöveg. A rendszer levágja a szóközöket.

    • Leírás

      • Adjon meg leíró információkat az incidensről, beleértve az olyan részleteket is, mint az incidens eredete, az érintett entitások, a más eseményekhez való viszony, a tájékoztatás és így tovább.
      • Opcionális. Legfeljebb 5000 karakter hosszúságú szabad szöveg.

    • Súlyosság

      • Válasszon súlyosságot a legördülő listából. Minden Microsoft Sentinel által támogatott súlyosság elérhető.
      • Szükséges. Alapértelmezés szerint "Közepes".

    • Állapot

      • Válasszon egy állapotot a legördülő listából. Minden Microsoft Sentinel által támogatott állapot elérhető.
      • Szükséges. Alapértelmezés szerint "Új".
      • Létrehozhat egy "zárt" állapotú incidenst, majd manuálisan megnyitva módosíthatja, és másik állapotot választhat. Ha a legördülő menüben a "bezárva" lehetőséget választja, aktiválja a besorolási ok mezőit, hogy meg tudja adni az incidens bezárásának okát, és megjegyzéseket fűzhet hozzá. Képernyőkép egy incidens bezárásának besorolási ok mezőiről.

    • Tulajdonos

      • Válasszon a bérlőben elérhető felhasználók vagy csoportok közül. Kezdjen el beírni egy nevet a felhasználók és csoportok kereséséhez. Jelölje ki a mezőt (kattintson vagy koppintson) a javaslatok listájának megjelenítéséhez. A lista tetején válassza a "hozzárendelés hozzám" lehetőséget az incidens saját magának való hozzárendeléséhez.
      • Opcionális.

    • Címkék

      • Címkék használatával osztályozhatja az incidenseket, és szűrheti és megkeresheti őket az üzenetsorban.
      • Címkék létrehozásához kattintson a pluszjel ikonra, írja be a szöveget a párbeszédpanelen, és válassza az OK gombot. Az automatikus kiegészítés a munkaterületen az előző két hétben használt címkéket fogja javasolni.
      • Opcionális. Szabad szöveg.

  5. Válassza a Panel alján található Létrehozás lehetőséget. Néhány másodperc elteltével az incidens létrejön, és megjelenik az incidensek várólistájában.

    Ha "Lezárt" állapotú incidenst rendel hozzá, az csak akkor jelenik meg az üzenetsorban, ha az állapotszűrőt úgy módosítja, hogy a lezárt incidenseket is megjelenítse. A szűrő alapértelmezés szerint úgy van beállítva, hogy csak "Új" vagy "Aktív" állapotú incidenseket jelenítsen meg.

Válassza ki az incidenst az üzenetsorban a teljes részletek megtekintéséhez, könyvjelzők hozzáadásához, tulajdonosának és állapotának módosításához stb.

Ha valamilyen okból meggondolja magát az incidens létrehozása után, törölheti azt az üzenetsor-rácsból vagy magából az incidensből.

Incidens létrehozása az Azure Logic Apps használatával

Az incidens létrehozása Logic Apps-műveletként is elérhető a Microsoft Sentinel-összekötőben, és így a Microsoft Sentinel forgatókönyvekben is.

Az incidens létrehozása (előzetes verzió) művelet az incidensindító forgatókönyvsémában található.

Képernyőkép a Microsoft Sentinel-összekötő incidenslogika-alkalmazásműveletének létrehozásáról.

A paramétereket az alábbiak szerint kell megadnia:

  • Válassza ki az előfizetés, az erőforráscsoport és a munkaterület nevét a megfelelő legördülő listából.

  • A fennmaradó mezőkért tekintse meg a fenti magyarázatokat (az Incidens létrehozása az Azure Portal használatával) című témakört.

    Képernyőkép incidensműveleti paraméterek létrehozásáról a Microsoft Sentinel-összekötőben.

A Microsoft Sentinel néhány minta forgatókönyvsablont biztosít, amelyek bemutatják, hogyan használhatja ezt a képességet:

  • Incidens létrehozása a Microsoft Form használatával
  • Incidens létrehozása megosztott levelezési postaládából

Ezeket a forgatókönyvsablonok gyűjteményében találja a Microsoft Sentinel Automation oldalán.

Incidens létrehozása a Microsoft Sentinel API használatával

Az Incidensek műveletcsoport lehetővé teszi nem csak az incidensek létrehozását, hanem frissítését (szerkesztését), lekérését (lekérését), listázását és törlését is.

Incidenst a következő végpont használatával hozhat létre. A kérést követően az incidens látható lesz a portál incidenssorában.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Íme egy példa a kérelem törzsének megjelenésére:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Jegyzetek

  • A manuálisan létrehozott incidensek nem tartalmaznak entitásokat vagy riasztásokat. Ezért az incidensoldal Riasztások lapja üres marad, amíg a meglévő riasztásokat nem kapcsolja össze az incidenssel.

    Az Entitások lap is üres marad, mivel az entitások közvetlenül a manuálisan létrehozott incidensekhez való hozzáadása jelenleg nem támogatott. (Ha egy riasztást az incidenshez kapcsol, a riasztásból származó entitások megjelennek az incidensben.)

  • A manuálisan létrehozott incidensek sem fognak terméknevet megjeleníteni az üzenetsorban.

  • Az incidensek üzenetsora alapértelmezés szerint szűrve jelenik meg, hogy csak az "Új" vagy "Aktív" állapotú incidensek jelenjenek meg. Ha "Lezárt" állapotú incidenst hoz létre, az nem jelenik meg az üzenetsorban, amíg az állapotszűrőt nem módosítja a lezárt incidensek megjelenítésére.

Következő lépések

További információkért lásd: