Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból

  • Cikk

A Microsoft Sentinelhez csatlakoztatott biztonsági megoldásokban (például Microsoft Defender for Cloud Apps és Microsoft Defender for Identity) aktivált riasztások nem hoznak létre automatikusan incidenseket a Microsoft Sentinelben. Alapértelmezés szerint amikor Microsoft-megoldást csatlakoztat a Microsoft Sentinelhez, a szolgáltatásban létrehozott riasztások nyers adatokként lesznek tárolva a Microsoft Sentinel-munkaterület SecurityAlert táblájában. Ezután használhatja ezeket az adatokat, mint bármely más nyers adatot, amelyet a Microsoft Sentinelbe betölt.

Egyszerűen konfigurálhatja a Microsoft Sentinelt, hogy automatikusan hozzon létre incidenseket minden alkalommal, amikor egy riasztás aktiválódik egy csatlakoztatott Microsoft biztonsági megoldásban, az ebben a cikkben található utasításokat követve.

Előfeltételek

A biztonsági megoldás csatlakoztatásához telepítse a megfelelő megoldást a Microsoft Sentinel content hubjáról , és állítsa be az adatösszekötőt. További információ: A Microsoft Sentinel beépített tartalmainak ésa Microsoft Sentinel-adatösszekötők felderítése és kezelése.

A Microsoft Security incidenslétrehozás elemzési szabályainak használata

A Microsoft Sentinelben elérhető szabálysablonokkal kiválaszthatja, hogy mely csatlakoztatott Microsoft-biztonsági megoldások hozzák létre automatikusan a Microsoft Sentinel-incidenseket. A szabályokat úgy is szerkesztheti, hogy konkrétabb beállításokat határozzon meg annak szűrésére, hogy a Microsoft biztonsági megoldása által létrehozott riasztások közül melynek kell incidenseket létrehoznia a Microsoft Sentinelben. Dönthet például úgy, hogy a Microsoft Sentinel-incidenseket automatikusan csak a magas súlyosságú Microsoft Defender felhőbeli riasztásokból hozza létre.

  1. A Microsoft Sentinel Azure Portal válassza az Elemzés lehetőséget.

  2. Válassza a Szabálysablonok lapot az összes elemzési szabálysablon megtekintéséhez. További szabálysablonokat a Microsoft Sentinel Tartalomközpontjában talál.

    Szabálysablonok

  3. Válassza ki a használni kívánt Microsoft biztonsági elemzési szabálysablont, és válassza a Szabály létrehozása lehetőséget.

    Biztonsági elemzési szabály

  4. Módosíthatja a szabály részleteit, és kiválaszthatja, hogy szűrje az incidenseket létrehozó riasztásokat a riasztás súlyossága vagy a riasztás nevének szövege alapján.

    Ha például a Microsoft biztonsági szolgáltatás mezőjében a Microsoft Defender a Felhőhöz lehetőséget választja, és a Szűrés súlyosság szerint mezőben a Magas lehetőséget választja, akkor csak a nagy súlyosságú biztonsági riasztások hoznak létre incidenseket automatikusan a Microsoft Sentinelben.

    Szabály létrehozása varázsló

  5. Létrehozhat egy új Microsoft biztonsági szabályt is, amely szűri a különböző Microsoft biztonsági szolgáltatások riasztásait a +Létrehozás és a Microsoft incidenslétrehozási szabályának kiválasztásával.

    Incidenslétrehozási szabály

    Microsoft biztonsági szolgáltatástípusonként több Microsoft Security Analytics-szabályt is létrehozhat. Ez nem hoz létre ismétlődő incidenseket, mivel minden szabály szűrőként van használva. Még ha egy riasztás több Microsoft Security-elemzési szabálynak is megfelel, csak egy Microsoft Sentinel-incidenst hoz létre.

Incidensek automatikus létrehozásának engedélyezése a kapcsolat során

Amikor csatlakoztat egy Microsoft biztonsági megoldást, megadhatja, hogy a biztonsági megoldás riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben.

  1. Microsoft biztonsági megoldás adatforrásának csatlakoztatása.

    Biztonsági incidensek létrehozása

  2. Az Incidensek létrehozása területen válassza az Engedélyezés lehetőséget az alapértelmezett elemzési szabály engedélyezéséhez, amely automatikusan létrehozza az incidenseket a csatlakoztatott biztonsági szolgáltatásban létrehozott riasztásokból. Ezután szerkesztheti ezt a szabályt az Elemzés , majd az Aktív szabályok területen.

Következő lépések