Udostępnij za pośrednictwem

Ręczne tworzenie własnych zdarzeń w Microsoft Sentinel w Azure Portal

  • Dotyczy: Microsoft Sentinel in the Azure portal

Ważna

Ręczne tworzenie zdarzeń przy użyciu portalu lub usługi Logic Apps jest obecnie dostępne w wersji zapoznawczej. Aby uzyskać dodatkowe warunki prawne dotyczące funkcji Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze udostępnione do ogólnej dostępności, zobacz Dodatkowe warunki użytkowania usługi Microsoft Azure Preview.

Ręczne tworzenie zdarzeń jest ogólnie dostępne przy użyciu interfejsu API.

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowowanych do portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Czas na przeniesienie: wycofanie Azure Portal Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Dzięki Microsoft Sentinel jako rozwiązaniu do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) działania wykrywania zagrożeń i reagowania operacji zabezpieczeń są skoncentrowane na zdarzeniach, które badasz i korygujesz. Te zdarzenia mają dwa główne źródła:

  • Są one generowane automatycznie, gdy mechanizmy wykrywania działają w dziennikach i alertach, które Microsoft Sentinel pozyskiwania z połączonych źródeł danych.

  • Są one pozyskiwane bezpośrednio z innych połączonych usług zabezpieczeń firmy Microsoft (takich jak Microsoft Defender XDR), które je utworzyły.

Jednak dane zagrożeń mogą również pochodzić z innych źródeł, które nie są pozyskiwane do Microsoft Sentinel lub zdarzeń niezarejestrowanych w żadnym dzienniku, a mimo to mogą uzasadniać otwarcie dochodzenia. Na przykład pracownik może zauważyć nierozpoznaną osobę angażującą się w podejrzane działania związane z zasobami informacyjnymi organizacji. Ten pracownik może wywołać lub wysłać wiadomość e-mail do centrum operacji zabezpieczeń (SOC), aby zgłosić działanie.

Microsoft Sentinel w Azure Portal umożliwia analitykom zabezpieczeń ręczne tworzenie zdarzeń dla dowolnego typu zdarzenia, niezależnie od źródła lub danych, dzięki czemu nie można pominąć badania tych nietypowych typów zagrożeń.

Typowe przypadki użycia

Tworzenie zdarzenia dla zgłoszonego zdarzenia

Jest to scenariusz opisany we wstępie powyżej.

Tworzenie zdarzeń poza zdarzeniami z systemów zewnętrznych

Tworzenie zdarzeń na podstawie zdarzeń z systemów, których dzienniki nie są pozyskiwane do Microsoft Sentinel. Na przykład kampania wyłudzania informacji oparta na wiadomościach SMS może używać firmowego znakowania i motywów organizacji do kierowania osobistych urządzeń przenośnych pracowników. Możesz zbadać taki atak i utworzyć zdarzenie w Microsoft Sentinel, aby mieć platformę do zarządzania badaniem, zbierania i rejestrowania dowodów oraz rejestrowania akcji reagowania i ograniczania ryzyka.

Tworzenie zdarzeń na podstawie wyników wyszukiwania zagrożeń

Tworzenie zdarzeń na podstawie obserwowanych wyników działań związanych z wyszukiwaniem zagrożeń. Na przykład, podczas gdy wyszukiwanie zagrożeń w kontekście konkretnego dochodzenia (lub samodzielnie), możesz natknąć się na dowody całkowicie niepowiązanego zagrożenia, które uzasadnia własne oddzielne dochodzenie.

Ręczne tworzenie zdarzenia

Istnieją trzy sposoby ręcznego tworzenia zdarzenia:

Po dołączeniu Microsoft Sentinel do portalu Microsoft Defender ręcznie utworzone zdarzenia nie są synchronizowane z portalem usługi Defender, ale nadal można je wyświetlać i zarządzać w Microsoft Sentinel w Azure Portal oraz za pośrednictwem usługi Logic Apps i interfejsu API.

Uprawnienia

Poniższe role i uprawnienia są wymagane do ręcznego utworzenia zdarzenia.

Metoda Wymagana rola
Azure Portal i interfejs API Jedna z następujących czynności:
  • Microsoft Sentinel responder
  • współautor Microsoft Sentinel
    		•
    Azure Logic Apps Jeden z powyższych plus:
  • Microsoft Sentinel operator podręcznika do korzystania z istniejącego podręcznika
  • Współautor aplikacji logiki w celu utworzenia nowego podręcznika
    		•

    Dowiedz się więcej o rolach w Microsoft Sentinel.

    Tworzenie zdarzenia przy użyciu Azure Portal

    1. Wybierz pozycję Microsoft Sentinel i wybierz obszar roboczy.

    2. Z menu nawigacji Microsoft Sentinel wybierz pozycję Incydenty.

    3. Na stronie Zdarzenia wybierz pozycję + Utwórz zdarzenie (wersja zapoznawcza) na pasku przycisku.

      Zrzut ekranu przedstawiający główny ekran zdarzenia, który umożliwia ręczne utworzenie nowego zdarzenia.

      Panel Tworzenie zdarzenia (wersja zapoznawcza) zostanie otwarty po prawej stronie ekranu.

      Zrzut ekranu przedstawiający panel tworzenia zdarzeń ręcznych, wszystkie pola puste.

    4. Wypełnij odpowiednio pola w panelu.

      • Tytuł

        • Wprowadź tytuł wybranego zdarzenia. Zdarzenie pojawi się w kolejce z tym tytułem.
        • Wymagane. Dowolny tekst o nieograniczonej długości. Spacje zostaną przycięte.

      • Opis

        • Wprowadź opisowe informacje o zdarzeniu, w tym szczegóły, takie jak pochodzenie zdarzenia, wszystkie zaangażowane jednostki, relacje z innymi zdarzeniami, informacje o tym zdarzeniu itd.
        • Opcjonalne. Bezpłatny tekst do 5000 znaków.

      • Ważności

        • Wybierz ważność z listy rozwijanej. Dostępne są wszystkie ważności obsługiwane przez Microsoft Sentinel.
        • Wymagane. Wartość domyślna to "Średni".

      • Stan

        • Wybierz stan z listy rozwijanej. Dostępne są wszystkie stany obsługiwane przez Microsoft Sentinel.
        • Wymagane. Wartość domyślna to "Nowy".
        • Możesz utworzyć zdarzenie o stanie "zamknięte", a następnie otworzyć je ręcznie, aby wprowadzić zmiany i wybrać inny stan. Wybranie pozycji "zamknięte" z listy rozwijanej spowoduje aktywowanie pól przyczyn klasyfikacji w celu wybrania przyczyny zamknięcia zdarzenia i dodania komentarzy. Zrzut ekranu przedstawiający pola przyczyn klasyfikacji umożliwiające zamknięcie zdarzenia.

      • Właściciel

        • Wybierz spośród dostępnych użytkowników lub grup w dzierżawie. Zacznij wpisywać nazwę, aby wyszukać użytkowników i grupy. Wybierz pole (kliknij lub naciśnij), aby wyświetlić listę sugestii. Wybierz pozycję "przypisz do mnie" w górnej części listy, aby przypisać zdarzenie do siebie.
        • Opcjonalne.

      • Tagi

        • Tagi umożliwiają klasyfikowanie zdarzeń oraz filtrowanie i lokalizowanie ich w kolejce.
        • Utwórz tagi, wybierając ikonę znaku plus, wprowadzając tekst w oknie dialogowym i wybierając przycisk OK. Automatyczne uzupełnianie sugeruje tagi używane w obszarze roboczym w ciągu ostatnich dwóch tygodni.
        • Opcjonalne. Bezpłatny tekst.

    5. Wybierz pozycję Utwórz w dolnej części panelu. Po kilku sekundach zdarzenie zostanie utworzone i pojawi się w kolejce zdarzeń.

      Jeśli przypiszesz zdarzenie jako stan "Zamknięte", nie będzie on wyświetlany w kolejce, dopóki nie zmienisz filtru stanu , aby wyświetlić również zamknięte zdarzenia. Filtr jest domyślnie ustawiany tak, aby wyświetlał tylko zdarzenia o stanie "Nowy" lub "Aktywny".

    Wybierz zdarzenie w kolejce, aby wyświetlić jego pełne szczegóły, dodać zakładki, zmienić jego właściciela i stan i nie tylko.

    Jeśli z jakiegoś powodu zmienisz zdanie po fakcie dotyczącym tworzenia zdarzenia, możesz usunąć go z siatki kolejki lub z poziomu samego zdarzenia. Aby usunąć zdarzenie, musisz mieć rolę współautora Microsoft Sentinel.

    Tworzenie zdarzenia przy użyciu usługi Azure Logic Apps

    Tworzenie zdarzenia jest również dostępne jako akcja usługi Logic Apps w łączniku Microsoft Sentinel, a zatem w Microsoft Sentinel podręcznikach.

    Akcję Utwórz zdarzenie (wersja zapoznawcza) można znaleźć w schemacie podręcznika wyzwalacza zdarzenia.

    Zrzut ekranu przedstawiający tworzenie akcji aplikacji logiki zdarzeń w łączniku Microsoft Sentinel.

    Należy podać parametry zgodnie z poniższym opisem:

    • Wybierz swoją subskrypcję, grupę zasobów i nazwę obszaru roboczego z odpowiednich list rozwijanych.

    • W przypadku pozostałych pól zapoznaj się z powyższymi wyjaśnieniami (w obszarze Tworzenie zdarzenia przy użyciu Azure Portal).

      Zrzut ekranu przedstawiający tworzenie parametrów akcji zdarzenia w łączniku Microsoft Sentinel.

    Microsoft Sentinel udostępnia kilka przykładowych szablonów podręczników, które pokazują, jak pracować z tą funkcją:

    • Tworzenie zdarzenia przy użyciu formularza firmy Microsoft
    • Tworzenie zdarzenia z udostępnionej skrzynki odbiorczej poczty e-mail

    Można je znaleźć w galerii szablonów podręczników na stronie usługi Microsoft Sentinel Automation.

    Tworzenie zdarzenia przy użyciu interfejsu API Microsoft Sentinel

    Grupa operacji zdarzeń umożliwia nie tylko tworzenie, ale także aktualizowanie (edytowanie),pobieranie (pobieranie),wyświetlanie listy i usuwanie zdarzeń.

    Zdarzenie tworzy się przy użyciu następującego punktu końcowego. Po wykonaniu tego żądania zdarzenie będzie widoczne w kolejce zdarzeń w portalu.

    PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

    Oto przykład treści żądania:

    {
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

    Uwagi

    • Zdarzenia utworzone ręcznie nie zawierają żadnych jednostek ani alertów. W związku z tym karta Alerty na stronie zdarzenia pozostanie pusta do momentu powiązania istniejących alertów ze zdarzeniem.

      Karta Jednostki również pozostanie pusta, ponieważ dodawanie jednostek bezpośrednio do ręcznie utworzonych zdarzeń nie jest obecnie obsługiwane. (Jeśli powiążesz alert z tym zdarzeniem, jednostki z alertu pojawią się w zdarzeniu).

    • Ręcznie utworzone zdarzenia nie będą również wyświetlać żadnej nazwy produktu w kolejce.

    • Kolejka zdarzeń jest domyślnie filtrowana w celu wyświetlania tylko zdarzeń o stanie "Nowy" lub "Aktywny". Jeśli utworzysz zdarzenie o stanie "Zamknięte", nie będzie ono wyświetlane w kolejce, dopóki nie zmienisz filtru stanu, aby wyświetlić również zamknięte zdarzenia.

    Następne kroki

    Więcej informacji można znaleźć w następujących artykułach:

    • Last updated on