Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft

  • Artykuł

Alerty wyzwalane w rozwiązaniach zabezpieczeń firmy Microsoft połączonych z usługą Microsoft Sentinel, takich jak Microsoft Defender for Cloud Apps i Microsoft Defender for Identity, nie tworzą automatycznie zdarzeń w usłudze Microsoft Sentinel. Domyślnie po połączeniu rozwiązania firmy Microsoft z usługą Microsoft Sentinel wszystkie alerty wygenerowane w tej usłudze będą przechowywane jako nieprzetworzone dane w usłudze Microsoft Sentinel w tabeli SecurityAlert w obszarze roboczym usługi Microsoft Sentinel. Następnie możesz użyć tych danych, takich jak inne nieprzetworzone dane pozyskane do usługi Microsoft Sentinel.

Usługę Microsoft Sentinel można łatwo skonfigurować tak, aby automatycznie tworzyć zdarzenia przy każdym wyzwoleniu alertu w połączonym rozwiązaniu zabezpieczeń firmy Microsoft, postępując zgodnie z instrukcjami w tym artykule.

Wymagania wstępne

Połącz rozwiązanie zabezpieczeń, instalując odpowiednie rozwiązanie z centrum zawartości w usłudze Microsoft Sentinel i konfigurując łącznik danych. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nimi oraz łączniki danych usługi Microsoft Sentinel.

Korzystanie z reguł analizy zdarzeń zabezpieczeń firmy Microsoft

Użyj szablonów reguł dostępnych w usłudze Microsoft Sentinel, aby wybrać, które połączone rozwiązania zabezpieczeń firmy Microsoft powinny automatycznie tworzyć zdarzenia usługi Microsoft Sentinel. Możesz również edytować reguły, aby zdefiniować bardziej szczegółowe opcje filtrowania alertów generowanych przez rozwiązanie zabezpieczeń firmy Microsoft, które powinny tworzyć zdarzenia w usłudze Microsoft Sentinel. Można na przykład automatycznie tworzyć zdarzenia usługi Microsoft Sentinel tylko z Microsoft Defender o wysokiej ważności dla alertów w chmurze.

  1. W Azure Portal w obszarze Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz kartę Szablony reguł , aby wyświetlić wszystkie szablony reguł analizy. Aby znaleźć więcej szablonów reguł, przejdź do centrum zawartości w usłudze Microsoft Sentinel.

    Szablony reguł

  3. Wybierz szablon reguły analizy zabezpieczeń firmy Microsoft , którego chcesz użyć, a następnie wybierz pozycję Utwórz regułę.

    Reguła analizy zabezpieczeń

  4. Możesz zmodyfikować szczegóły reguły i wybrać filtrowanie alertów, które będą tworzyć zdarzenia według ważności alertu lub tekstu zawartego w nazwie alertu.

    Jeśli na przykład wybierzesz Microsoft Defender dla chmury w polu Usługa zabezpieczeń firmy Microsoft i wybierzesz pozycję Wysoki w polu Filtruj według ważności, tylko alerty zabezpieczeń o wysokiej ważności automatycznie spowodują utworzenie zdarzeń w usłudze Microsoft Sentinel.

    Kreator tworzenia reguły

  5. Możesz również utworzyć nową regułę zabezpieczeń firmy Microsoft , która filtruje alerty z różnych usług zabezpieczeń firmy Microsoft, klikając pozycję +Utwórz i wybierając regułę tworzenia zdarzeń firmy Microsoft.

    Reguła tworzenia zdarzenia

    Na typ usługi zabezpieczeń firmy Microsoft można utworzyć więcej niż jedną regułę analizy zabezpieczeń firmy Microsoft. Nie powoduje to tworzenia zduplikowanych zdarzeń, ponieważ każda reguła jest używana jako filtr. Nawet jeśli alert jest zgodny z więcej niż jedną regułą analizy zabezpieczeń firmy Microsoft , tworzy tylko jeden incydent usługi Microsoft Sentinel.

Automatyczne generowanie zdarzeń podczas nawiązywania połączenia

Po połączeniu rozwiązania zabezpieczeń firmy Microsoft możesz wybrać, czy alerty z rozwiązania zabezpieczeń mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel.

  1. Łączenie źródła danych rozwiązania zabezpieczeń firmy Microsoft.

    Generowanie zdarzeń zabezpieczeń

  2. W obszarze Tworzenie zdarzeń wybierz pozycję Włącz , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów generowanych w połączonej usłudze zabezpieczeń. Następnie możesz edytować tę regułę w obszarze Analiza , a następnie aktywne reguły.

Następne kroki