Correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel
Questo articolo illustra come correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel. Questa funzionalità consente di aggiungere manualmente o automaticamente avvisi o rimuoverli da eventi imprevisti esistenti come parte dei processi di indagine, affinando l'ambito dell'evento imprevisto durante l'esecuzione dell'indagine.
Importante
L'espansione degli eventi imprevisti è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Espandere l'ambito e la potenza degli eventi imprevisti
Una cosa che questa funzionalità consente di eseguire è includere avvisi provenienti da un'origine dati in eventi imprevisti generati da un'altra origine dati. Ad esempio, è possibile aggiungere avvisi da Microsoft Defender per il cloud o da varie origini dati di terze parti, agli eventi imprevisti importati in Microsoft Sentinel da Microsoft Defender XDR.
Questa funzionalità è integrata nella versione più recente dell'API di Microsoft Sentinel, il che significa che è disponibile per il connettore app per la logica per Microsoft Sentinel. È quindi possibile usare i playbook per aggiungere automaticamente un avviso a un evento imprevisto se vengono soddisfatte determinate condizioni.
È anche possibile usare questa automazione per aggiungere avvisi a eventi imprevisti creati manualmente, per creare correlazioni personalizzate o per definire criteri personalizzati per raggruppare gli avvisi in eventi imprevisti al momento della creazione.
Limiti
Microsoft Sentinel importa sia avvisi che eventi imprevisti da Microsoft Defender XDR. Nella maggior parte dei casi, è possibile gestire questi avvisi e eventi imprevisti, ad esempio gli avvisi e gli eventi imprevisti normali di Microsoft Sentinel.
Tuttavia, è possibile aggiungere avvisi di Defender solo agli eventi imprevisti di Defender (o rimuoverli) nel portale di Defender, non nel portale di Sentinel. Se si tenta di eseguire questa operazione in Microsoft Sentinel, verrà visualizzato un messaggio di errore. È possibile passare all'evento imprevisto nel portale di Microsoft Defender usando il collegamento nell'evento imprevisto di Microsoft Sentinel. Tuttavia, le modifiche apportate all'evento imprevisto nel portale di Microsoft Defender vengono sincronizzate con l'evento imprevisto parallelo in Microsoft Sentinel, quindi gli avvisi aggiunti verranno comunque visualizzati nel portale di Sentinel.
È possibile aggiungere avvisi XDR di Microsoft Defender a eventi imprevisti non Defender e avvisi non Defender agli eventi imprevisti di Defender nel portale di Microsoft Sentinel.
Se è stato eseguito l'onboarding di Microsoft Sentinel nel portale delle operazioni di sicurezza unificato, non è più possibile aggiungere avvisi di Microsoft Sentinel agli eventi imprevisti o rimuovere gli avvisi di Microsoft Sentinel dagli eventi imprevisti in Microsoft Sentinel (nel portale di Azure). Questa operazione può essere eseguita solo nel portale di Microsoft Defender. Per altre informazioni, vedere Differenze di funzionalità tra i portali.
Un evento imprevisto può contenere un massimo di 150 avvisi. Se si tenta di aggiungere un avviso a un evento imprevisto con 150 avvisi, verrà visualizzato un messaggio di errore.
Aggiungere avvisi usando la sequenza temporale dell'entità (anteprima)
La sequenza temporale dell'entità, come illustrato nella nuova esperienza degli eventi imprevisti (ora in anteprima), presenta tutte le entità in una particolare indagine sugli eventi imprevisti. Quando viene selezionata un'entità nell'elenco, viene visualizzata una pagina di entità in miniatura in un pannello laterale.
Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.
Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare Visualizza dettagli completi.
Nella pagina evento imprevisto selezionare la scheda Entità .
Seleziona un'entità nell'elenco.
Nel pannello laterale della pagina dell'entità selezionare la scheda Sequenza temporale .
Selezionare un avviso esterno all'evento imprevisto aperto. Questi sono indicati da un'icona di schermata in grigio e da una fascia di colore linea tratteggiata che rappresenta la gravità. Selezionare l'icona del segno più alla fine destra dell'avviso.
Confermare l'aggiunta dell'avviso all'evento imprevisto selezionando OK. Si riceverà una notifica che conferma l'aggiunta dell'avviso all'evento imprevisto o spiega il motivo per cui non è stato aggiunto.
Si noterà che l'avviso aggiunto viene ora visualizzato nel widget Sequenza temporale dell'evento imprevisto aperto nella scheda Panoramica, con un'icona di schermata a colori completi e una banda di colori a tinta unita come qualsiasi altro avviso nell'evento imprevisto.
L'avviso aggiunto è ora una parte completa dell'evento imprevisto e anche tutte le entità nell'avviso aggiunto (che non fanno già parte dell'evento imprevisto) fanno parte dell'evento imprevisto. È ora possibile esplorare le sequenze temporali delle entità per gli altri avvisi che sono ora idonei per essere aggiunti all'evento imprevisto.
Rimuovere un avviso da un evento imprevisto
Gli avvisi aggiunti a un evento imprevisto, manualmente o automaticamente, possono anche essere rimossi da un evento imprevisto.
Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.
Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare Visualizza dettagli completi.
Nella scheda Panoramica, nel widget Sequenza temporale eventi imprevisti, selezionare i tre puntini accanto a un avviso che si vuole rimuovere dall'evento imprevisto. Dal menu a comparsa selezionare Rimuovi avviso.
Aggiungere avvisi usando il grafico di indagine
Il grafico di indagine è uno strumento visivo e intuitivo che presenta connessioni e modelli e consente agli analisti di porre le domande giuste e seguire i lead. È possibile usarlo per aggiungere e rimuovere avvisi dagli eventi imprevisti, ampliare o restringere l'ambito dell'indagine.
Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.
Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare il pulsante Azioni e scegliere Analizza dal menu a comparsa. Verrà aperto il grafico di indagine.
Passare il puntatore del mouse su qualsiasi entità per visualizzare l'elenco delle query di esplorazione. Selezionare Avvisi correlati.
Gli avvisi correlati verranno visualizzati connessi all'entità tramite linee tratteggiate.
Passare il puntatore del mouse su uno degli avvisi correlati fino a quando un menu non viene visualizzato sul lato. Selezionare Aggiungi avviso all'evento imprevisto (anteprima).
L'avviso viene aggiunto all'evento imprevisto e per tutti gli scopi fa parte dell'evento imprevisto, insieme a tutte le relative entità e dettagli. Verranno visualizzate due rappresentazioni visive di questo tipo:
La linea che la collega all'entità nel grafico di indagine è stata modificata da punteggiata a solida e le connessioni alle entità nell'avviso aggiunto sono state aggiunte al grafico.
L'avviso viene ora visualizzato nella sequenza temporale di questo evento imprevisto, insieme agli avvisi già presenti.
Situazioni speciali
Quando si aggiunge un avviso a un evento imprevisto, a seconda delle circostanze, potrebbe essere richiesto di confermare la richiesta o di scegliere tra diverse opzioni. Di seguito sono riportati alcuni esempi di queste situazioni, le scelte da effettuare e le relative implicazioni.
L'avviso da aggiungere appartiene già a un altro evento imprevisto.
In questo caso verrà visualizzato un messaggio che informa che l'avviso fa parte di un altro evento imprevisto o di eventi imprevisti e chiede se si vuole procedere. Selezionare OK per aggiungere l'avviso o Annulla per lasciare le cose così come erano.
L'aggiunta dell'avviso a questo evento imprevisto non lo rimuoverà da altri eventi imprevisti. Gli avvisi possono essere correlati a più eventi imprevisti. Se si vuole, è possibile rimuovere manualmente l'avviso dagli altri eventi imprevisti seguendo i collegamenti nella richiesta di messaggio precedente.
L'avviso da aggiungere appartiene a un altro evento imprevisto ed è l'unico avviso nell'altro evento imprevisto.
Questo è diverso dal caso precedente, poiché se l'avviso è solo nell'altro evento imprevisto, il rilevamento in questo evento imprevisto potrebbe rendere irrilevante l'altro evento imprevisto. In questo caso verrà visualizzata questa finestra di dialogo:
Mantenere l'altro evento imprevisto così come è, aggiungendo anche l'avviso a questo.
Chiudere l'altro evento imprevisto aggiunge l'avviso a questo evento imprevisto e chiude l'altro evento imprevisto, aggiungendo il motivo di chiusura "Undetermined" e il commento "L'avviso è stato aggiunto a un altro evento imprevisto" con il numero dell'evento imprevisto aperto.
L'annullamento lascia lo status quo. Non apporta modifiche all'evento imprevisto aperto o a qualsiasi altro evento imprevisto a cui si fa riferimento.
Quale di queste opzioni si sceglie dipende dalle esigenze specifiche; non consigliamo una scelta rispetto all'altra.
Aggiungere/rimuovere avvisi con playbook
L'aggiunta e la rimozione di avvisi agli eventi imprevisti sono disponibili anche come azioni di App per la logica nel connettore Microsoft Sentinel e quindi nei playbook di Microsoft Sentinel. È necessario specificare l'ID ARM dell'evento imprevisto e l'ID avviso di sistema come parametri ed è possibile trovarli entrambi nello schema del playbook sia per i trigger di avviso che per gli eventi imprevisti.
Microsoft Sentinel fornisce un modello di playbook di esempio nella raccolta di modelli, che illustra come usare questa funzionalità:
Ecco come viene usata l'azione Aggiungi avviso all'evento imprevisto (anteprima) in questo playbook, ad esempio come è possibile usarlo altrove:
Aggiungere/rimuovere avvisi usando l'API
Questa funzionalità non è limitata al portale. È anche accessibile tramite l'API di Microsoft Sentinel tramite il gruppo di operazioni Relazioni tra eventi imprevisti . Consente di ottenere, creare, aggiornare ed eliminare relazioni tra avvisi ed eventi imprevisti.
Creare una relazione
Si aggiunge un avviso a un evento imprevisto creando una relazione tra di esse. Usare l'endpoint seguente per aggiungere un avviso a un evento imprevisto esistente. Dopo aver effettuato questa richiesta, l'avviso unisce l'evento imprevisto e sarà visibile nell'elenco degli avvisi nell'evento imprevisto nel portale.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Il corpo della richiesta ha un aspetto simile al seguente:
{
"properties": {
"relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}"
}
}
Eliminazione di una relazione
È possibile rimuovere un avviso da un evento imprevisto eliminando la relazione tra di esse. Usare l'endpoint seguente per rimuovere un avviso da un evento imprevisto esistente. Dopo aver effettuato questa richiesta, l'avviso non verrà più connesso o visualizzato nell'evento imprevisto.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Elencare le relazioni di avviso
È anche possibile elencare tutti gli avvisi correlati a un evento imprevisto specifico, con questo endpoint e la richiesta:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview
Codici di errore specifici
La documentazione generale dell'API elenca i codici di risposta previsti per le operazioni di creazione, eliminazione ed elenco indicate in precedenza. I codici di errore sono indicati solo come categoria generale. Ecco i possibili codici di errore e messaggi specifici elencati nella categoria "Altri codici di stato":
Codice | Messaggio |
---|---|
400 - Richiesta non valida | Impossibile creare una relazione. Esiste già un tipo di relazione diverso con nome {relationName} nell'evento imprevisto {incidentIdentifier}. |
400 - Richiesta non valida | Impossibile creare una relazione. L'avviso {systemAlertId} esiste già nell'evento imprevisto {incidentIdentifier}. |
400 - Richiesta non valida | Impossibile creare una relazione. La risorsa correlata e l'evento imprevisto devono appartenere alla stessa area di lavoro. |
400 - Richiesta non valida | Impossibile creare una relazione. Gli avvisi XDR di Microsoft Defender non possono essere aggiunti agli eventi imprevisti di Microsoft Defender XDR. |
400 - Richiesta non valida | Impossibile eliminare la relazione. Gli avvisi XDR di Microsoft Defender non possono essere rimossi dagli eventi imprevisti di Microsoft Defender XDR. |
404 - Non trovato | La risorsa '{systemAlertId}' non esiste. |
404 - Non trovato | L'evento imprevisto non esiste. |
409 - Conflitto | Impossibile creare una relazione. La relazione con il nome {relationName} esiste già nell'evento imprevisto {incidentIdentifier} con un avviso diverso {systemAlertId}. |
Passaggi successivi
In questo articolo si è appreso come aggiungere avvisi agli eventi imprevisti e rimuoverli usando il portale e l'API di Microsoft Sentinel. Per altre informazioni, vedi: