Menghubungkan peringatan dengan insiden di Microsoft Sentinel

  • Artikel

Artikel ini menunjukkan kepada Anda cara menghubungkan peringatan dengan insiden Anda di Microsoft Sentinel. Fitur ini memungkinkan Anda menambahkan peringatan ke, atau menghapus peringatan dari, insiden yang ada secara manual atau otomatis sebagai bagian dari proses investigasi Anda, menyempurnakan cakupan insiden saat investigasi dibuka.

Penting

Perluasan insiden saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Meluaskan cakupan dan kekuatan insiden Anda

Fitur ini memungkinkan Anda menyertakan peringatan dari satu sumber data dalam insiden yang dihasilkan oleh sumber data lain. Misalnya, Anda dapat menambahkan pemberitahuan dari Microsoft Defender untuk Cloud, atau dari berbagai sumber data pihak ketiga, ke insiden yang diimpor ke Microsoft Sentinel dari Pertahanan Microsoft XDR.

Fitur ini dibangun ke dalam versi terbaru dari API Microsoft Sentinel, yang berarti tersedia untuk konektor Logic Apps untuk Microsoft Sentinel. Jadi, Anda dapat menggunakan playbook untuk secara otomatis menambahkan peringatan ke insiden jika kondisi tertentu terpenuhi.

Anda juga dapat menggunakan otomatisasi ini untuk menambahkan pemberitahuan ke insiden yang dibuat secara manual, untuk membuat korelasi kustom, atau untuk menentukan kriteria kustom untuk mengelompokkan pemberitahuan ke dalam insiden saat dibuat.

Batasan

  • Microsoft Azure Sentinel mengimpor pemberitahuan dan insiden dari Microsoft Defender XDR. Untuk sebagian besar, Anda dapat memperlakukan peringatan dan insiden ini seperti peringatan dan insiden Microsoft Sentinel biasa.

    Tetapi, Anda hanya dapat menambahkan peringatan Defender ke insiden Defender (atau menghapusnya) di portal Defender, bukan di portal Sentinel. Jika Anda mencoba melakukan ini di Microsoft Sentinel, Anda akan mendapatkan pesan kesalahan. Anda dapat melakukan pivot ke insiden di Portal Pertahanan Microsoft menggunakan tautan dalam insiden Microsoft Azure Sentinel. Namun, jangan khawatir - setiap perubahan yang Anda buat pada insiden di Portal Pertahanan Microsoft disinkronkan dengan insiden paralel di Microsoft Azure Sentinel, sehingga Anda masih akan melihat pemberitahuan tambahan dalam insiden di portal Sentinel.

    Anda dapat menambahkan pemberitahuan Microsoft Defender XDR ke insiden non-Defender, dan pemberitahuan non-Defender ke insiden Defender, di portal Microsoft Azure Sentinel.

  • Jika Anda melakukan onboarding Microsoft Azure Sentinel ke portal operasi keamanan terpadu, Anda tidak dapat lagi menambahkan pemberitahuan Microsoft Azure Sentinel ke insiden, atau menghapus pemberitahuan Microsoft Azure Sentinel dari insiden, di Microsoft Azure Sentinel (di portal Azure). Anda hanya dapat melakukan ini di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Perbedaan kemampuan antar portal.

  • Insiden dapat berisi maksimal 150 peringatan. Jika Anda mencoba menambahkan peringatan ke insiden dengan 150 peringatan di dalamnya, Anda akan mendapatkan pesan kesalahan.

Menambahkan pemberitahuan menggunakan garis waktu entitas (Pratinjau)

Garis waktu entitas, seperti yang ditampilkan dalam pengalaman insiden baru (sekarang dalam Pratinjau), menyajikan semua entitas dalam penyelidikan insiden tertentu. Saat entitas dalam daftar dipilih, halaman entitas miniatur ditampilkan di panel samping.

  1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

    Cuplikan layar antrean insiden baru ditampilkan dalam kisi.

  2. Pilih insiden untuk diselidiki. Di panel detail insiden, pilih Lihat detail lengkap.

  3. Di halaman insiden, pilih tab Entitas .

    Cuplikan layar tab entitas di halaman insiden.

  4. Pilih entitas dari daftar.

  5. Di panel sisi halaman entitas, pilih Kartu garis waktu .

    Cuplikan layar kartu garis waktu entitas di tab entitas halaman insiden.

  6. Pilih pemberitahuan eksternal untuk insiden terbuka. Ini ditunjukkan oleh ikon perisai abu-abu dan pita warna garis putus-putus yang mewakili tingkat keparahan. Pilih ikon tanda plus di ujung kanan pemberitahuan tersebut.

    Cuplikan layar tampilan pemberitahuan eksternal di garis waktu entitas.

  7. Konfirmasikan penambahan pemberitahuan ke insiden dengan memilih OK. Anda akan menerima pemberitahuan yang mengonfirmasi penambahan pemberitahuan ke insiden, atau menjelaskan mengapa pemberitahuan tersebut tidak ditambahkan. Cuplikan layar menambahkan pemberitahuan ke insiden di garis waktu entitas.

Anda akan melihat bahwa pemberitahuan yang ditambahkan sekarang muncul di widget Garis Waktu insiden terbuka di tab Gambaran Umum, dengan ikon perisai warna penuh dan pita warna solid-line seperti pemberitahuan lainnya dalam insiden tersebut.

Pemberitahuan yang ditambahkan sekarang menjadi bagian penuh dari insiden, dan entitas apa pun dalam pemberitahuan tambahan (yang belum menjadi bagian dari insiden) juga telah menjadi bagian dari insiden. Anda sekarang dapat menjelajahi garis waktu entitas tersebut untuk pemberitahuan lain yang sekarang memenuhi syarat untuk ditambahkan ke insiden tersebut.

Menghapus pemberitahuan dari insiden

Pemberitahuan yang ditambahkan ke insiden—secara manual atau otomatis—juga dapat dihapus dari insiden.

  1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

  2. Pilih insiden untuk diselidiki. Di panel detail insiden, pilih Lihat detail lengkap.

  3. Di tab Gambaran Umum , di widget Garis waktu insiden, pilih tiga titik di samping pemberitahuan yang ingin Anda hapus dari insiden. Dari menu pop-up, pilih Hapus pemberitahuan.

    Cuplikan layar memperlihatkan cara menghapus pemberitahuan dari insiden di garis waktu insiden.

Menambahkan peringatan menggunakan grafik investigasi

Grafik investigasi adalah alat visual dan intuitif yang menyajikan koneksi dan pola serta memungkinkan analis Anda mengajukan pertanyaan yang tepat dan mengikuti petunjuk. Anda dapat menggunakannya untuk menambahkan peringatan dan menghapusnya dari insiden Anda, memperluas atau mempersempit cakupan investigasi Anda.

  1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

    Cuplikan layar antrean insiden yang ditampilkan dalam kisi.

  2. Pilih insiden untuk diselidiki. Di panel detail insiden, pilih tombol Tindakan dan pilih Selidiki dari menu pop-up. Hal ini akan membuka grafik investigasi.

    Cuplikan layar insiden dengan peringatan dalam grafik investigasi.

  3. Arahkan kursor ke entitas mana pun untuk menampilkan daftar kueri eksplorasi ke sisi entitas. Pilih Peringatan terkait.

    Cuplikan layar kueri eksplorasi peringatan dalam grafik investigasi.

    Peringatan terkait akan muncul terhubung ke entitas dengan garis putus-putus.

    Cuplikan layar peringatan terkait yang muncul dalam grafik investigasi.

  4. Arahkan kursor ke salah satu peringatan terkait hingga menu muncul di sampingnya. Pilih Tambahkan peringatan ke insiden (Pratinjau).

    Cuplikan layar penambahan peringatan ke insiden dalam grafik investigasi.

  5. Peringatan ditambahkan ke insiden, dan untuk semua tujuan merupakan bagian dari insiden, bersama dengan semua entitas dan detailnya. Anda akan melihat dua representasi visual dari hal ini:

    • Garis yang menghubungkannya ke entitas dalam grafik investigasi telah berubah dari putus-putus menjadi utuh, dan koneksi ke entitas dalam peringatan yang ditambahkan telah ditambahkan ke grafik.

      Cuplikan layar yang menampilkan peringatan ditambahkan ke insiden.

    • Peringatan sekarang muncul di garis waktu insiden ini, bersama dengan peringatan yang sudah ada di sana.

      Cuplikan layar yang menampilkan peringatan ditambahkan ke garis waktu insiden.

Situasi khusus

Saat menambahkan peringatan ke insiden, bergantung pada situasinya, Anda mungkin diminta untuk mengonfirmasi permintaan Anda atau untuk memilih di antara opsi yang berbeda. Berikut ini adalah beberapa contoh situasi ini, pilihan yang akan diminta untuk Anda buat, dan implikasinya.

  • Peringatan yang ingin Anda tambahkan sudah menjadi milik insiden lain.

    Dalam kasus ini Anda akan melihat pesan yang memberi tahu Anda bahwa peringatan tersebut merupakan bagian dari insiden atau insiden lain, dan menanyakan apakah Anda ingin melanjutkan. Pilih OK untuk menambahkan peringatan atau Batal untuk membiarkan semuanya apa adanya.

    Menambahkan peringatan ke insiden ini tidak akan menghapusnya dari insiden lainnya. Peringatan dapat dikaitkan dengan lebih dari satu insiden. Jika perlu, Anda dapat menghapus peringatan secara manual dari insiden lain dengan mengikuti tautan pada permintaan pesan di atas.

  • Peringatan yang ingin Anda tambahkan sudah menjadi milik insiden lain, dan ini satu-satunya peringatan di insiden lain.

    Hal ini berbeda dengan kasus di atas, karena jika peringatan sendirian di insiden lain, melacaknya di insiden ini dapat membuat insiden lain tidak relevan. Jadi dalam kasus ini, Anda akan melihat dialog ini:

    Cuplikan layar yang menanyakan apakah akan mempertahankan atau menutup insiden lain.

    • Simpan insiden lain mempertahankan insiden lain apa adanya, sambil menambahkan peringatan ke insiden ini.

    • Tutup insiden lain menambahkan peringatan ke insiden ini dan menutup insiden lain, menambahkan alasan penutupan "Belum ditentukan" dan komentar "Peringatan ditambahkan ke insiden lain" dengan nomor insiden terbuka.

    • Batal meninggalkan status quo. Hal ini tidak membuat perubahan pada insiden terbuka atau insiden referensi lainnya.

    Opsi mana yang Anda pilih bergantung pada kebutuhan khusus Anda; kami tidak merekomendasikan satu pilihan di atas yang lain.

Menambahkan/menghapus peringatan menggunakan playbook

Menambahkan dan menghapus peringatan untuk insiden juga tersedia sebagai tindakan Logic Apps di konektor Microsoft Sentinel, dan juga di playbook Microsoft Sentinel. Anda perlu menyediakan ID ARM insiden dan ID peringatan sistem sebagai parameter, dan Anda dapat menemukannya di skema playbook untuk pemicu peringatan dan insiden.

Microsoft Sentinel menyediakan contoh template playbook di galeri template, yang menunjukkan cara menggunakan kemampuan ini:

Cuplikan layar templat playbook untuk mengaitkan peringatan dengan insiden.

Berikut cara tindakan Tambahkan peringatan ke insiden (Pratinjau) digunakan dalam playbook ini, sebagai contoh cara Anda dapat menggunakannya di tempat lain:

Cuplikan layar penambahan peringatan ke insiden menggunakan tindakan playbook.

Menambahkan/menghapus peringatan menggunakan API

Anda tidak terbatas pada portal untuk menggunakan fitur ini. Fitur ini juga dapat diakses melalui API Microsoft Sentinel, melalui grup operasi Hubungan insiden. Fitur ini memungkinkan Anda mendapatkan, membuat, memperbarui, dan menghapus hubungan antara peringatan dan insiden.

Buat hubungan

Anda menambahkan peringatan ke insiden dengan membuat hubungan di antara keduanya. Gunakan titik akhir berikut untuk menambahkan peringatan ke insiden yang ada. Setelah permintaan ini dibuat, peringatan bergabung dengan insiden dan akan terlihat dalam daftar peringatan dalam insiden di portal.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Isi permintaan terlihat seperti ini:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Menghapus hubungan

Anda menghapus peringatan dari insiden dengan menghapus hubungan di antara keduanya. Gunakan titik akhir berikut untuk menghapus peringatan dari insiden yang ada. Setelah permintaan ini dibuat, peringatan tidak akan lagi terhubung atau muncul dalam insiden tersebut.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Mencantumkan hubungan peringatan

Anda juga dapat mencantumkan semua peringatan yang terkait dengan insiden tertentu, dengan titik akhir dan permintaan ini:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Kode galat tertentu

Dokumentasi API umum mencantumkan kode respons yang diharapkan untuk operasi Buat, Hapus, dan Cantumkan yang disebutkan di atas. Kode galat hanya disebutkan di sana sebagai kategori umum. Berikut adalah kemungkinan kode galat dan pesan tertentu yang tercantum di sana di bawah kategori "Kode Status Lainnya":

Kode Pesan
400 Permintaan Buruk Gagal membuat relasi. Jenis relasi yang berbeda dengan nama {relationName} sudah ada dalam insiden {incidentIdentifier}.
400 Permintaan Buruk Gagal membuat relasi. Peringatan {systemAlertId} sudah ada di insiden {incidentIdentifier}.
400 Permintaan Buruk Gagal membuat relasi. Sumber daya dan insiden terkait harus berada di ruang kerja yang sama.
400 Permintaan Buruk Gagal membuat relasi. Pemberitahuan XDR Pertahanan Microsoft tidak dapat ditambahkan ke insiden Microsoft Defender XDR.
400 Permintaan Buruk Gagal menghapus relasi. Pemberitahuan XDR Pertahanan Microsoft tidak dapat dihapus dari insiden Microsoft Defender XDR.
404 Tidak ditemukan Sumber daya '{systemAlertId}' tidak ada.
404 Tidak ditemukan Insiden tidak ada.
409 Konflik Gagal membuat relasi. Relasi dengan nama {relationName} sudah ada di insiden {incidentIdentifier} ke peringatan {systemAlertId} yang berbeda.

Langkah berikutnya

Di artikel ini, Anda mempelajari cara menambahkan peringatan ke insiden dan menghapusnya menggunakan portal dan API Microsoft Sentinel. Untuk informasi selengkapnya, lihat: