Waarschuwingen koppelen aan incidenten in Microsoft Sentinel

In dit artikel leest u hoe u waarschuwingen koppelt aan uw incidenten in Microsoft Sentinel. Met deze functie kunt u handmatig of automatisch waarschuwingen toevoegen aan, of verwijderen uit, bestaande incidenten als onderdeel van uw onderzoeksprocessen, waardoor het incidentbereik wordt verfijnd zodra het onderzoek zich ontvouwt.

Belangrijk

Incidentuitbreiding bevindt zich momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Het bereik en de kracht van uw incidenten uitbreiden

Eén ding dat u met deze functie kunt doen, is waarschuwingen van de ene gegevensbron opnemen in incidenten die door een andere gegevensbron worden gegenereerd. U kunt bijvoorbeeld waarschuwingen uit Microsoft Defender voor Cloud of uit verschillende gegevensbronnen van derden toevoegen aan incidenten die vanuit Microsoft Defender XDR in Microsoft Sentinel zijn geïmporteerd.

Deze functie is ingebouwd in de nieuwste versie van de Microsoft Sentinel-API. Dit betekent dat deze beschikbaar is voor de Logic Apps-connector voor Microsoft Sentinel. U kunt playbooks dus gebruiken om automatisch een waarschuwing toe te voegen aan een incident als aan bepaalde voorwaarden wordt voldaan.

U kunt deze automatisering ook gebruiken om waarschuwingen toe te voegen aan handmatig gemaakte incidenten, aangepaste correlaties te maken of aangepaste criteria te definiëren voor het groeperen van waarschuwingen in incidenten wanneer ze worden gemaakt.

Beperkingen

  • Microsoft Sentinel importeert zowel waarschuwingen als incidenten uit Microsoft Defender XDR. Voor het grootste deel kunt u deze waarschuwingen en incidenten behandelen, zoals reguliere Microsoft Sentinel-waarschuwingen en -incidenten.

    U kunt echter alleen Defender-waarschuwingen toevoegen aan Defender-incidenten (of verwijderen) in de Defender-portal, niet in de Sentinel-portal. Als u dit probeert te doen in Microsoft Sentinel, wordt er een foutbericht weergegeven. U kunt naar het incident in de Microsoft Defender-portal draaien met behulp van de koppeling in het Microsoft Sentinel-incident. Maakt u zich echter geen zorgen: eventuele wijzigingen die u aanbrengt in het incident in de Microsoft Defender-portal, worden gesynchroniseerd met het parallelle incident in Microsoft Sentinel, dus u ziet nog steeds de toegevoegde waarschuwingen in het incident in de Sentinel-portal.

    U kunt Microsoft Defender XDR-waarschuwingen toevoegen aan niet-Defender-incidenten en niet-Defender-waarschuwingen aan Defender-incidenten in de Microsoft Sentinel-portal.

  • Een incident kan maximaal 150 waarschuwingen bevatten. Als u een waarschuwing probeert toe te voegen aan een incident met 150 waarschuwingen, krijgt u een foutbericht.

Waarschuwingen toevoegen met behulp van de entiteitstijdlijn (preview)

De tijdlijn van de entiteit, zoals aanbevolen in de nieuwe incidentervaring (nu in preview), presenteert alle entiteiten in een bepaald incidentonderzoek. Wanneer een entiteit in de lijst is geselecteerd, wordt een miniatuurentiteitspagina weergegeven in een zijpaneel.

  1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

    Screenshot of new incidents queue displayed in a grid.

  2. Selecteer een incident dat u wilt onderzoeken. Selecteer volledige details weergeven in het deelvenster met incidentdetails.

  3. Selecteer op de incidentpagina het tabblad Entiteiten .

    Screenshot of entities tab in incident page.

  4. Selecteer een entiteit in de lijst.

  5. Selecteer in het zijpaneel van de entiteitspagina de tijdlijnkaart .

    Screenshot of entity timeline card in entities tab of incident page.

  6. Selecteer een waarschuwing buiten het geopende incident. Deze worden aangegeven door een grijs schildpictogram en een stippellijnkleurband die de ernst vertegenwoordigt. Selecteer het plustekenpictogram aan de rechterkant van die waarschuwing.

    Screenshot of appearance of external alert in entity timeline.

  7. Bevestig het toevoegen van de waarschuwing aan het incident door OK te selecteren. U ontvangt een melding waarin het toevoegen van de waarschuwing aan het incident wordt bevestigd of wordt uitgelegd waarom deze niet is toegevoegd. Screenshot of adding an alert to an incident in the entity timeline.

U ziet dat de toegevoegde waarschuwing nu wordt weergegeven in de tijdlijnwidget van het geopende incident op het tabblad Overzicht, met een pictogram met een volledig kleurenschild en een effen kleurband zoals elke andere waarschuwing in het incident.

De toegevoegde waarschuwing is nu een volledig onderdeel van het incident en alle entiteiten in de toegevoegde waarschuwing (die nog niet deel uitmaken van het incident) maken ook deel uit van het incident. U kunt nu de tijdlijnen van die entiteiten verkennen voor hun andere waarschuwingen die nu in aanmerking komen om aan het incident te worden toegevoegd.

Een waarschuwing verwijderen uit een incident

Waarschuwingen die zijn toegevoegd aan een incident, handmatig of automatisch, kunnen ook worden verwijderd uit een incident.

  1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer een incident dat u wilt onderzoeken. Selecteer volledige details weergeven in het deelvenster met incidentdetails.

  3. Selecteer op het tabblad Overzicht in de widget Tijdlijn voor incidenten de drie puntjes naast een waarschuwing die u uit het incident wilt verwijderen. Selecteer waarschuwing verwijderen in het snelmenu.

    Screenshot showing how to remove an alert from an incident in the incident timeline.

Waarschuwingen toevoegen met behulp van de onderzoeksgrafiek

De onderzoeksgrafiek is een visueel, intuïtief hulpprogramma dat verbindingen en patronen presenteert en uw analisten in staat stelt om de juiste vragen te stellen en leads te volgen. U kunt deze gebruiken om waarschuwingen toe te voegen aan en te verwijderen uit uw incidenten, het bereik van uw onderzoek te vergroten of te beperken.

  1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

    Screenshot of incidents queue displayed in a grid.

  2. Selecteer een incident dat u wilt onderzoeken. Selecteer in het deelvenster Details van het incident de knop Acties en kies Onderzoeken in het snelmenu. Hiermee wordt de onderzoeksgrafiek geopend.

    Screenshot of incidents with alerts in investigation graph.

  3. Beweeg de muisaanwijzer over een entiteit om de lijst met verkenningsquery's aan de zijkant weer te geven. Selecteer Gerelateerde waarschuwingen.

    Screenshot of alert exploration queries in investigation graph.

    De gerelateerde waarschuwingen worden met stippellijnen verbonden met de entiteit weergegeven.

    Screenshot of related alerts appearing in investigation graph.

  4. Beweeg de muisaanwijzer over een van de gerelateerde waarschuwingen totdat een menu aan de zijkant wordt weergegeven. Selecteer Waarschuwing toevoegen aan incident (preview).

    Screenshot of adding an alert to an incident in the investigation graph.

  5. De waarschuwing wordt toegevoegd aan het incident en maakt voor alle doeleinden deel uit van het incident, samen met alle bijbehorende entiteiten en details. U ziet twee visuele weergaven hiervan:

    • De lijn die deze verbindt met de entiteit in de onderzoeksgrafiek is gewijzigd van gestippeld in ononderbroken en verbindingen met entiteiten in de toegevoegde waarschuwing zijn toegevoegd aan de grafiek.

      Screenshot showing an alert added to an incident.

    • De waarschuwing wordt nu weergegeven in de tijdlijn van dit incident, samen met de waarschuwingen die er al waren.

      Screenshot showing an alert added to an incident's timeline.

Speciale situaties

Wanneer u een waarschuwing toevoegt aan een incident, afhankelijk van de omstandigheden, wordt u mogelijk gevraagd om uw aanvraag te bevestigen of om te kiezen tussen verschillende opties. Hier volgen enkele voorbeelden van deze situaties, de keuzes die u moet maken en de gevolgen ervan.

  • De waarschuwing die u wilt toevoegen, behoort al tot een ander incident.

    In dit geval ziet u een bericht waarin wordt aangegeven dat de waarschuwing deel uitmaakt van een ander incident of een ander incident en wordt gevraagd of u wilt doorgaan. Selecteer OK om de waarschuwing toe te voegen of Annuleren om dingen te laten zoals ze waren.

    Als u de waarschuwing aan dit incident toevoegt, wordt deze niet verwijderd uit andere incidenten. Waarschuwingen kunnen betrekking hebben op meer dan één incident. Als u wilt, kunt u de waarschuwing handmatig verwijderen uit de andere incidenten door de koppeling(en) in de bovenstaande berichtprompt te volgen.

  • De waarschuwing die u wilt toevoegen, behoort tot een ander incident en is de enige waarschuwing in het andere incident.

    Dit verschilt van het bovenstaande geval, omdat als de waarschuwing alleen in het andere incident staat, het bijhouden ervan in dit incident het andere incident irrelevant kan maken. In dit geval ziet u dit dialoogvenster:

    Screenshot asking whether to keep or close other incident.

    • Als u een ander incident wilt behouden, blijft het andere incident behouden, terwijl u ook de waarschuwing aan dit incident toevoegt.

    • Sluit ander incident voegt de waarschuwing toe aan dit incident en sluit het andere incident, waarbij de afsluitreden 'Niet bepaald' wordt toegevoegd en de opmerking 'Waarschuwing is toegevoegd aan een ander incident' met het nummer van het geopende incident.

    • Annuleren verlaat de status-quo. Er worden geen wijzigingen aangebracht in het geopende incident of een ander incident waarnaar wordt verwezen.

    Welke van deze opties u kiest, is afhankelijk van uw specifieke behoeften; we raden niet aan om de ene keuze boven de andere te kiezen.

Waarschuwingen toevoegen/verwijderen met behulp van playbooks

Het toevoegen en verwijderen van waarschuwingen aan incidenten is ook beschikbaar als Logic Apps-acties in de Microsoft Sentinel-connector en daarom in Microsoft Sentinel-playbooks. U moet de ARM-id van het incident en de waarschuwings-id van het systeem opgeven als parameters. U kunt deze beide vinden in het playbookschema voor zowel de waarschuwings- als incidenttriggers.

Microsoft Sentinel levert een voorbeeldplaybooksjabloon in de sjablonengalerie, waarin wordt uitgelegd hoe u met deze mogelijkheid kunt werken:

Screenshot of playbook template for relating alerts to incidents.

Hier ziet u hoe de actie Waarschuwing toevoegen aan incident (preview) wordt gebruikt in dit playbook, bijvoorbeeld voor hoe u deze elders kunt gebruiken:

Screenshot of adding an alert to an incident using a playbook action.

Waarschuwingen toevoegen/verwijderen met behulp van de API

U bent niet beperkt tot de portal om deze functie te gebruiken. Het is ook toegankelijk via de Microsoft Sentinel-API, via de bewerkingsgroep Incidentrelaties . Hiermee kunt u relaties tussen waarschuwingen en incidenten ophalen, maken, bijwerken en verwijderen.

Een relatie maken

U voegt een waarschuwing toe aan een incident door een relatie tussen deze incidenten te maken. Gebruik het volgende eindpunt om een waarschuwing toe te voegen aan een bestaand incident. Nadat deze aanvraag is ingediend, wordt de waarschuwing toegevoegd aan het incident en wordt deze weergegeven in de lijst met waarschuwingen in het incident in de portal.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

De hoofdtekst van de aanvraag ziet er als volgt uit:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
} 

Een relatie verwijderen

U verwijdert een waarschuwing uit een incident door de relatie ertussen te verwijderen. Gebruik het volgende eindpunt om een waarschuwing uit een bestaand incident te verwijderen. Nadat deze aanvraag is ingediend, wordt de waarschuwing niet meer verbonden met of weergegeven in het incident.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Waarschuwingsrelaties weergeven

U kunt ook alle waarschuwingen weergeven die zijn gerelateerd aan een bepaald incident, met dit eindpunt en aanvraag:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Specifieke foutcodes

De algemene API-documentatie bevat verwachte antwoordcodes voor de hierboven genoemde bewerkingen Maken, Verwijderen en Lijst . Foutcodes worden daar alleen vermeld als een algemene categorie. Hier volgen de mogelijke specifieke foutcodes en berichten die daar worden vermeld onder de categorie 'Overige statuscodes':

Code Bericht
400 Ongeldige aanvraag Kan geen relatie maken. Er bestaat al een ander relatietype met de naam {relationName} in incident {incidentIdentifier}.
400 Ongeldige aanvraag Kan geen relatie maken. Waarschuwing {systemAlertId} bestaat al in incident {incidentIdentifier}.
400 Ongeldige aanvraag Kan geen relatie maken. Gerelateerde resource en incident moeten deel uitmaken van dezelfde werkruimte.
400 Ongeldige aanvraag Kan geen relatie maken. Microsoft Defender XDR-waarschuwingen kunnen niet worden toegevoegd aan Microsoft Defender XDR-incidenten.
400 Ongeldige aanvraag Kan de relatie niet verwijderen. Microsoft Defender XDR-waarschuwingen kunnen niet worden verwijderd uit Microsoft Defender XDR-incidenten.
404 Niet gevonden De resource {systemAlertId} bestaat niet.
404 Niet gevonden Incident bestaat niet.
409 Conflict Kan geen relatie maken. De relatie met de naam {relationName} bestaat al in incident {incidentIdentifier} naar een andere waarschuwing {systemAlertId}.

Volgende stappen

In dit artikel hebt u geleerd hoe u waarschuwingen toevoegt aan incidenten en deze verwijdert met behulp van de Microsoft Sentinel-portal en API. Zie voor meer informatie: