Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból
A Microsoft Sentinelhez csatlakoztatott biztonsági megoldásokban (például Microsoft Defender for Cloud Apps és Microsoft Defender for Identity) aktivált riasztások nem hoznak létre automatikusan incidenseket a Microsoft Sentinelben. Alapértelmezés szerint amikor Microsoft-megoldást csatlakoztat a Microsoft Sentinelhez, a szolgáltatásban létrehozott riasztások nyers adatokként lesznek tárolva a Microsoft Sentinel-munkaterület SecurityAlert táblájában. Ezután használhatja ezeket az adatokat, mint bármely más nyers adatot, amelyet a Microsoft Sentinelbe betölt.
Egyszerűen konfigurálhatja a Microsoft Sentinelt, hogy automatikusan hozzon létre incidenseket minden alkalommal, amikor egy riasztás aktiválódik egy csatlakoztatott Microsoft biztonsági megoldásban, az ebben a cikkben található utasításokat követve.
Előfeltételek
A biztonsági megoldás csatlakoztatásához telepítse a megfelelő megoldást a Microsoft Sentinel content hubjáról , és állítsa be az adatösszekötőt. További információ: A Microsoft Sentinel beépített tartalmainak ésa Microsoft Sentinel-adatösszekötők felderítése és kezelése.
A Microsoft Security incidenslétrehozás elemzési szabályainak használata
A Microsoft Sentinelben elérhető szabálysablonokkal kiválaszthatja, hogy mely csatlakoztatott Microsoft-biztonsági megoldások hozzák létre automatikusan a Microsoft Sentinel-incidenseket. A szabályokat úgy is szerkesztheti, hogy konkrétabb beállításokat határozzon meg annak szűrésére, hogy a Microsoft biztonsági megoldása által létrehozott riasztások közül melynek kell incidenseket létrehoznia a Microsoft Sentinelben. Dönthet például úgy, hogy a Microsoft Sentinel-incidenseket automatikusan csak a magas súlyosságú Microsoft Defender felhőbeli riasztásokból hozza létre.
A Microsoft Sentinel Azure Portal válassza az Elemzés lehetőséget.
Válassza a Szabálysablonok lapot az összes elemzési szabálysablon megtekintéséhez. További szabálysablonokat a Microsoft Sentinel Tartalomközpontjában talál.
Válassza ki a használni kívánt Microsoft biztonsági elemzési szabálysablont, és válassza a Szabály létrehozása lehetőséget.
Módosíthatja a szabály részleteit, és kiválaszthatja, hogy szűrje az incidenseket létrehozó riasztásokat a riasztás súlyossága vagy a riasztás nevének szövege alapján.
Ha például a Microsoft biztonsági szolgáltatás mezőjében a Microsoft Defender a Felhőhöz lehetőséget választja, és a Szűrés súlyosság szerint mezőben a Magas lehetőséget választja, akkor csak a nagy súlyosságú biztonsági riasztások hoznak létre incidenseket automatikusan a Microsoft Sentinelben.
Létrehozhat egy új Microsoft biztonsági szabályt is, amely szűri a különböző Microsoft biztonsági szolgáltatások riasztásait a +Létrehozás és a Microsoft incidenslétrehozási szabályának kiválasztásával.
Microsoft biztonsági szolgáltatástípusonként több Microsoft Security Analytics-szabályt is létrehozhat. Ez nem hoz létre ismétlődő incidenseket, mivel minden szabály szűrőként van használva. Még ha egy riasztás több Microsoft Security-elemzési szabálynak is megfelel, csak egy Microsoft Sentinel-incidenst hoz létre.
Incidensek automatikus létrehozásának engedélyezése a kapcsolat során
Amikor csatlakoztat egy Microsoft biztonsági megoldást, megadhatja, hogy a biztonsági megoldás riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben.
Microsoft biztonsági megoldás adatforrásának csatlakoztatása.
Az Incidensek létrehozása területen válassza az Engedélyezés lehetőséget az alapértelmezett elemzési szabály engedélyezéséhez, amely automatikusan létrehozza az incidenseket a csatlakoztatott biztonsági szolgáltatásban létrehozott riasztásokból. Ezután szerkesztheti ezt a szabályt az Elemzés , majd az Aktív szabályok területen.
Következő lépések
- A Microsoft Sentinel használatának megkezdéséhez szüksége van egy Microsoft Azure-előfizetésre. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Megtudhatja, hogyan lehet előkészíteni az adatokat a Microsoft Sentinelbe, és hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.