Ręczne tworzenie własnych zdarzeń w usłudze Microsoft Sentinel

Ważne

Ręczne tworzenie zdarzeń przy użyciu portalu lub usługi Logic Apps jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Ręczne tworzenie zdarzeń jest ogólnie dostępne przy użyciu interfejsu API.

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dzięki usłudze Microsoft Sentinel jako rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) działania wykrywania zagrożeń i reagowania na zagrożenia w operacjach zabezpieczeń są skoncentrowane na zdarzeniach , które badasz i korygujesz. Te zdarzenia mają dwa główne źródła:

• Są one generowane automatycznie, gdy mechanizmy wykrywania działają na dziennikach i alertach pozyskiwanych przez usługę Microsoft Sentinel z połączonych źródeł danych.

• Są one pozyskiwane bezpośrednio z innych połączonych usług zabezpieczeń firmy Microsoft (takich jak Microsoft Defender XDR), które je utworzyły.

Jednak dane zagrożeń mogą również pochodzić z innych źródeł , które nie są pozyskiwane do usługi Microsoft Sentinel, lub zdarzenia nie są rejestrowane w żadnym dzienniku, a jednak mogą uzasadniać otwarcie badania. Na przykład pracownik może zauważyć nierozpoznaną osobę angażującą się w podejrzane działania związane z zasobami informacyjnym organizacji. Ten pracownik może zadzwonić lub wysłać wiadomość e-mail do centrum operacji zabezpieczeń (SOC), aby zgłosić działanie.

Usługa Microsoft Sentinel umożliwia analitykom zabezpieczeń ręczne tworzenie zdarzeń dla dowolnego typu zdarzenia, niezależnie od źródła lub danych, dzięki czemu nie przegapisz badania tych nietypowych typów zagrożeń.

Typowe przypadki użycia

Tworzenie zdarzenia dla zgłoszonego zdarzenia

Jest to scenariusz opisany w powyższym wprowadzeniu.

Tworzenie zdarzeń poza zdarzeniami z systemów zewnętrznych

Twórz zdarzenia na podstawie zdarzeń z systemów, których dzienniki nie są pozyskiwane do usługi Microsoft Sentinel. Na przykład kampania wyłudzania informacji na podstawie wiadomości SMS może używać firmowej marki i motywów organizacji do kierowania osobistych urządzeń przenośnych pracowników. Możesz zbadać taki atak i utworzyć zdarzenie w usłudze Microsoft Sentinel, aby mieć platformę do zarządzania badaniem, zbierania i rejestrowania dowodów oraz rejestrowania odpowiedzi i działań zaradczych.

Tworzenie zdarzeń na podstawie wyników wyszukiwania zagrożeń

Tworzenie zdarzeń na podstawie obserwowanych wyników działań związanych z wyszukiwaniem zagrożeń. Na przykład podczas wyszukiwania zagrożeń w kontekście konkretnego dochodzenia (lub na własną rękę) możesz natknąć się na dowody całkowicie niepowiązanego zagrożenia, które uzasadnia własne oddzielne dochodzenie.

Ręczne tworzenie zdarzenia

Istnieją trzy sposoby ręcznego tworzenia zdarzenia:

• Tworzenie zdarzenia przy użyciu witryny Azure Portal
• Utwórz zdarzenie przy użyciu usługi Azure Logic Apps przy użyciu wyzwalacza zdarzenia usługi Microsoft Sentinel.
• Utwórz zdarzenie przy użyciu interfejsu API usługi Microsoft Sentinel za pośrednictwem grupy operacji Incydenty . Umożliwia pobieranie, tworzenie, aktualizowanie i usuwanie zdarzeń.

Po dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń w portalu Usługi Microsoft Defender ręcznie utworzone zdarzenia nie będą synchronizowane z ujednoliconą platformą, chociaż nadal można je wyświetlać i zarządzać w usłudze Microsoft Sentinel w witrynie Azure Portal oraz za pośrednictwem usługi Logic Apps i interfejsu API.

Tworzenie zdarzenia przy użyciu witryny Azure Portal

1. Wybierz pozycję Microsoft Sentinel i wybierz swój obszar roboczy.

2. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

3. Na stronie Incydenty wybierz pozycję + Utwórz zdarzenie (wersja zapoznawcza) na pasku przycisku.

   

   Panel Tworzenie zdarzenia (wersja zapoznawcza) zostanie otwarty po prawej stronie ekranu.

   

4. Wypełnij odpowiednie pola w panelu.

   • Tytuł

     • Wprowadź tytuł wybranego zdarzenia. Zdarzenie pojawi się w kolejce z tym tytułem.
     • Wymagany. Dowolny tekst o nieograniczonej długości. Miejsca zostaną przycięte.

   • Opis

     • Wprowadź opisowe informacje o zdarzeniu, w tym szczegółowe informacje, takie jak pochodzenie zdarzenia, wszystkie zaangażowane jednostki, relacje z innymi zdarzeniami, informacje i tak dalej.
     • Opcjonalny. Dowolny tekst do 5000 znaków.

   • Ważność

     • Wybierz ważność z listy rozwijanej. Dostępne są wszystkie ważności obsługiwane przez usługę Microsoft Sentinel.
     • Wymagany. Wartość domyślna to "Średni".

   • Stan

     • Wybierz stan z listy rozwijanej. Dostępne są wszystkie stany obsługiwane przez usługę Microsoft Sentinel.
     • Wymagany. Wartość domyślna to "Nowy".
     • Możesz utworzyć zdarzenie ze stanem "zamknięte", a następnie otworzyć je ręcznie, aby wprowadzić zmiany i wybrać inny stan. Wybranie pozycji "zamknięte" z listy rozwijanej spowoduje aktywowanie pól przyczyn klasyfikacji, aby wybrać przyczynę zamknięcia zdarzenia i dodać komentarze.

   • Właściciel

     • Wybierz spośród dostępnych użytkowników lub grup w dzierżawie. Zacznij wpisywać nazwę, aby wyszukać użytkowników i grupy. Wybierz pole (kliknij lub naciśnij), aby wyświetlić listę sugestii. Wybierz pozycję "przypisz do mnie" w górnej części listy, aby przypisać zdarzenie do siebie.
     • Opcjonalny.

   • Tagi

     • Tagi służą do klasyfikowania zdarzeń i filtrowania i lokalizowania ich w kolejce.
     • Utwórz tagi, wybierając ikonę znaku plus, wprowadzając tekst w oknie dialogowym i wybierając przycisk OK. Automatyczne uzupełnianie będzie sugerować tagi używane w obszarze roboczym w ciągu ostatnich dwóch tygodni.
     • Opcjonalny. Dowolny tekst.

5. Wybierz pozycję Utwórz w dolnej części panelu. Po kilku sekundach zdarzenie zostanie utworzone i pojawi się w kolejce zdarzeń.

   Jeśli przypiszesz zdarzenie o stanie "Zamknięte", nie będzie ono wyświetlane w kolejce, dopóki nie zmienisz filtru stanu , aby również pokazać zamknięte zdarzenia. Filtr jest domyślnie ustawiany tak, aby wyświetlał tylko zdarzenia ze stanem "Nowy" lub "Aktywny".

Wybierz zdarzenie w kolejce, aby wyświetlić jego pełne szczegóły, dodać zakładki, zmienić jego właściciela i stan itd.

Jeśli z jakiegoś powodu zmienisz zdanie po fakcie tworzenia zdarzenia, możesz usunąć go z siatki kolejki lub z poziomu samego zdarzenia.

Tworzenie zdarzenia przy użyciu usługi Azure Logic Apps

Tworzenie zdarzenia jest również dostępne jako akcja usługi Logic Apps w łączniku usługi Microsoft Sentinel, a w związku z tym w podręcznikach usługi Microsoft Sentinel.

Akcję Utwórz zdarzenie (wersja zapoznawcza) można znaleźć w schemacie podręcznika dla wyzwalacza zdarzenia.

Należy podać parametry zgodnie z poniższym opisem:

• Wybierz swoją subskrypcję, grupę zasobów i nazwę obszaru roboczego z odpowiednich list rozwijanych.

• W pozostałych polach zapoznaj się z powyższymi wyjaśnieniami (w obszarze Tworzenie zdarzenia przy użyciu witryny Azure Portal).

  

Usługa Microsoft Sentinel udostępnia przykładowe szablony podręczników, które pokazują, jak pracować z tą funkcją:

• Tworzenie zdarzenia za pomocą formularza microsoft
• Tworzenie zdarzenia na podstawie udostępnionej skrzynki odbiorczej poczty e-mail

Można je znaleźć w galerii szablonów podręczników na stronie automatyzacji usługi Microsoft Sentinel.

Tworzenie zdarzenia przy użyciu interfejsu API usługi Microsoft Sentinel

Grupa operacji Incydenty umożliwia nie tylko tworzenie, ale także aktualizowanie (edytowanie), pobieranie (pobieranie), wyświetlanie listy i usuwanie zdarzeń.

Zdarzenie jest tworzone przy użyciu następującego punktu końcowego. Po wykonaniu tego żądania zdarzenie będzie widoczne w kolejce zdarzeń w portalu.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Oto przykładowa treść żądania:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Uwagi

• Utworzone ręcznie zdarzenia nie zawierają żadnych jednostek ani alertów. W związku z tym karta Alerty na stronie zdarzenia pozostanie pusta do momentu powiązania istniejących alertów ze zdarzeniem.

  Karta Jednostki pozostanie również pusta, ponieważ dodawanie jednostek bezpośrednio do utworzonych ręcznie zdarzeń nie jest obecnie obsługiwane. (W przypadku powiązania alertu z tym zdarzeniem jednostki z alertu będą wyświetlane w zdarzeniu).

• Ręcznie utworzone zdarzenia nie będą również wyświetlać żadnej nazwy produktu w kolejce.

• Kolejka zdarzeń jest domyślnie filtrowana, aby wyświetlać tylko zdarzenia ze stanem "Nowy" lub "Aktywny". Jeśli utworzysz zdarzenie ze stanem "Zamknięte", nie będzie ono wyświetlane w kolejce, dopóki nie zmienisz filtru stanu, aby pokazać również zamknięte zdarzenia.

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Powiązanie alertów ze zdarzeniami w usłudze Microsoft Sentinel
• Usuwanie zdarzeń w usłudze Microsoft Sentinel
• Badanie zdarzeń za pomocą usługi Microsoft Sentinel
• Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń