Powiązanie alertów ze zdarzeniami w usłudze Microsoft Sentinel

  • Artykuł

W tym artykule pokazano, jak powiązać alerty ze zdarzeniami w usłudze Microsoft Sentinel. Ta funkcja umożliwia ręczne lub automatyczne dodawanie alertów do istniejących zdarzeń w ramach procesów badania, uściślenie zakresu zdarzeń w miarę rozwoju badania.

Ważne

Rozszerzenie zdarzenia jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Rozszerzanie zakresu i możliwości zdarzeń

Jedną z rzeczy, które ta funkcja umożliwia, jest uwzględnienie alertów z jednego źródła danych w zdarzeniach generowanych przez inne źródło danych. Można na przykład dodawać alerty z Microsoft Defender dla Chmury lub z różnych źródeł danych innych firm do zdarzeń zaimportowanych do usługi Microsoft Sentinel z usługi Microsoft Defender XDR.

Ta funkcja jest wbudowana w najnowszą wersję interfejsu API usługi Microsoft Sentinel, co oznacza, że jest dostępna dla łącznika usługi Logic Apps dla usługi Microsoft Sentinel. Dzięki temu możesz użyć podręczników, aby automatycznie dodać alert do zdarzenia, jeśli zostaną spełnione określone warunki.

Możesz również użyć tej automatyzacji, aby dodać alerty do ręcznie utworzonych zdarzeń, utworzyć niestandardowe korelacje lub zdefiniować niestandardowe kryteria grupowania alertów w zdarzenia po ich utworzeniu.

Ograniczenia

  • Usługa Microsoft Sentinel importuje zarówno alerty, jak i zdarzenia z usługi Microsoft Defender XDR. W większości przypadków można traktować te alerty i zdarzenia, takie jak zwykłe alerty i zdarzenia usługi Microsoft Sentinel.

    Można jednak dodawać alerty usługi Defender tylko do zdarzeń usługi Defender (lub je usunąć) w portalu usługi Defender, a nie w portalu usługi Sentinel. Jeśli spróbujesz to zrobić w usłudze Microsoft Sentinel, zostanie wyświetlony komunikat o błędzie. Możesz przejść do zdarzenia w witrynie Microsoft Defender Portal przy użyciu linku w zdarzeniu usługi Microsoft Sentinel. Nie martw się jednak — wszelkie zmiany wprowadzone w zdarzeniu w witrynie Microsoft Defender Portal są synchronizowane z równoległym zdarzeniem w usłudze Microsoft Sentinel, więc w portalu Usługi Sentinel nadal będą widoczne dodane alerty.

    Alerty XDR usługi Microsoft Defender można dodawać do zdarzeń innych niż Defender i alertów innych niż Defender do zdarzeń usługi Defender w portalu usługi Microsoft Sentinel.

  • Jeśli dołączysz usługę Microsoft Sentinel do ujednoliconego portalu operacji zabezpieczeń, nie możesz już dodawać alertów usługi Microsoft Sentinel do zdarzeń ani usuwać alertów usługi Microsoft Sentinel ze zdarzeń w usłudze Microsoft Sentinel (w witrynie Azure Portal). Można to zrobić tylko w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Możliwości różnic między portalami.

  • Zdarzenie może zawierać maksymalnie 150 alertów. Jeśli spróbujesz dodać alert do zdarzenia z 150 w nim alertami, zostanie wyświetlony komunikat o błędzie.

Dodawanie alertów przy użyciu osi czasu jednostki (wersja zapoznawcza)

Oś czasu jednostki, jak pokazano w nowym środowisku zdarzeń (teraz w wersji zapoznawczej), przedstawia wszystkie jednostki w konkretnym dochodzeniu zdarzeń. Po wybraniu jednostki na liście w panelu bocznym zostanie wyświetlona miniaturowa strona jednostki.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

    Zrzut ekranu przedstawiający kolejkę nowych zdarzeń wyświetlaną w siatce.

  2. Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły.

  3. Na stronie incydentu wybierz kartę Jednostki .

    Zrzut ekranu przedstawiający kartę jednostki na stronie zdarzenia.

  4. Wybierz jednostkę z listy.

  5. Na panelu bocznym strony jednostki wybierz kartę Oś czasu .

    Zrzut ekranu przedstawiający kartę osi czasu jednostki na karcie jednostki na stronie zdarzenia.

  6. Wybierz alert zewnętrzny dla otwartego zdarzenia. Są one oznaczone szarą ikoną tarczy i pasmem koloru kropkowanego reprezentującego ważność. Wybierz ikonę znaku plus po prawej stronie tego alertu.

    Zrzut ekranu przedstawiający wygląd alertu zewnętrznego na osi czasu jednostki.

  7. Potwierdź dodanie alertu do zdarzenia, wybierając przycisk OK. Otrzymasz powiadomienie potwierdzające dodanie alertu do zdarzenia lub wyjaśnienie, dlaczego nie został dodany. Zrzut ekranu przedstawiający dodawanie alertu do zdarzenia na osi czasu jednostki.

Zobaczysz, że dodany alert pojawi się teraz w widżecie oś czasu otwartego zdarzenia na karcie Przegląd z ikoną osłony pełnokolorowej i paskiem kolorów linii stałej, podobnie jak każdy inny alert w zdarzeniu.

Dodany alert jest teraz pełną częścią zdarzenia, a wszystkie jednostki w dodanym alercie (które nie były jeszcze częścią zdarzenia) również stały się częścią zdarzenia. Teraz możesz eksplorować osie czasu tych jednostek dla innych alertów, które są teraz uprawnione do dodania do zdarzenia.

Usuwanie alertu ze zdarzenia

Alerty dodane do zdarzenia — ręcznie lub automatycznie — można również usunąć z incydentu.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

  2. Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły.

  3. Na karcie Przegląd w widżecie oś czasu zdarzenia wybierz trzy kropki obok alertu, który chcesz usunąć ze zdarzenia. Z menu podręcznego wybierz pozycję Usuń alert.

    Zrzut ekranu przedstawiający sposób usuwania alertu ze zdarzenia na osi czasu zdarzenia.

Dodawanie alertów przy użyciu grafu badania

Wykres badania to wizualne, intuicyjne narzędzie, które przedstawia połączenia i wzorce oraz umożliwia analitykom zadawanie odpowiednich pytań i obserwowanie potencjalnych klientów. Można go użyć do dodawania alertów i usuwania ich ze zdarzeń, rozszerzania lub zawężania zakresu badania.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

    Zrzut ekranu przedstawiający kolejkę zdarzeń wyświetlaną w siatce.

  2. Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz przycisk Akcje i wybierz pozycję Zbadaj z menu podręcznego. Spowoduje to otwarcie wykresu badania.

    Zrzut ekranu przedstawiający zdarzenia z alertami na wykresie badania.

  3. Umieść kursor na dowolnej jednostce, aby wyświetlić listę zapytań eksploracji po swojej stronie. Wybierz pozycję Powiązane alerty.

    Zrzut ekranu przedstawiający zapytania eksploracji alertów w grafie badania.

    Powiązane alerty będą wyświetlane połączone z jednostką według wierszy kropkowanych.

    Zrzut ekranu przedstawiający powiązane alerty wyświetlane na wykresie badania.

  4. Zatrzymaj wskaźnik myszy na jednym z powiązanych alertów, aż menu pojawi się po jego stronie. Wybierz pozycję Dodaj alert do zdarzenia (wersja zapoznawcza).

    Zrzut ekranu przedstawiający dodawanie alertu do zdarzenia na wykresie badania.

  5. Alert jest dodawany do zdarzenia, a dla wszystkich celów jest częścią zdarzenia wraz ze wszystkimi jednostkami i szczegółami. Zobaczysz dwie wizualne reprezentacje tego:

    • Linia łącząca ją z jednostką na wykresie badania zmieniła się z kropkowanej na ciągłą, a połączenia z jednostkami w dodanym alercie zostały dodane do grafu.

      Zrzut ekranu przedstawiający alert dodany do zdarzenia.

    • Alert jest teraz wyświetlany na osi czasu tego zdarzenia wraz z alertami, które już tam były.

      Zrzut ekranu przedstawiający alert dodany do osi czasu zdarzenia.

Sytuacje specjalne

Podczas dodawania alertu do zdarzenia w zależności od okoliczności może zostać wyświetlony monit o potwierdzenie żądania lub wybranie różnych opcji. Poniżej przedstawiono kilka przykładów tych sytuacji, wybór, który zostanie poproszony o dokonanie i ich implikacje.

  • Alert, który chcesz dodać, należy już do innego zdarzenia.

    W takim przypadku zostanie wyświetlony komunikat z informacją o tym, że alert jest częścią innego zdarzenia lub zdarzeń i pyta, czy chcesz kontynuować. Wybierz przycisk OK , aby dodać alert lub przycisk Anuluj , aby pozostawić elementy tak, jak były.

    Dodanie alertu do tego zdarzenia nie spowoduje usunięcia go z innych zdarzeń. Alerty mogą być powiązane z więcej niż jednym zdarzeniem. Jeśli chcesz, możesz ręcznie usunąć alert z innych zdarzeń, postępując zgodnie z linkami w wierszu polecenia powyżej.

  • Alert, który chcesz dodać, należy do innego zdarzenia i jest to jedyny alert w innym zdarzeniu.

    Różni się to od powyższego przypadku, ponieważ jeśli alert jest sam w innym zdarzeniu, śledzenie go w tym zdarzeniu może spowodować, że inne zdarzenie będzie nieistotne. W tym przypadku zostanie wyświetlone następujące okno dialogowe:

    Zrzut ekranu z pytaniem, czy zachować lub zamknąć inne zdarzenie.

    • Zachowaj inne zdarzenie zachowuje inne zdarzenie w taki sposób, jak to jest, a jednocześnie dodając alert do tego zdarzenia.

    • Zamknięcie innego zdarzenia powoduje dodanie alertu do tego zdarzenia i zamknięcie innego zdarzenia, dodanie przyczyny zamknięcia "Nieokreślone" i komentarz "Alert został dodany do innego incydentu" z numerem otwartego zdarzenia.

    • Anuluj pozostawia stan quo. Nie wprowadza żadnych zmian w otwartym incydencie ani w żadnym innym zdarzeniu, do którego się odwołujesz.

    Które z tych opcji zależy od konkretnych potrzeb; Nie zalecamy wyboru jednego z nich.

Dodawanie/usuwanie alertów przy użyciu podręczników

Dodawanie i usuwanie alertów do zdarzeń jest również dostępne jako akcje usługi Logic Apps w łączniku usługi Microsoft Sentinel, a w związku z tym w podręcznikach usługi Microsoft Sentinel. Należy podać identyfikator zdarzenia usługi ARM i identyfikator alertu systemu jako parametry. Można je znaleźć zarówno w schemacie podręcznika dla wyzwalaczy alertu, jak i zdarzenia.

Usługa Microsoft Sentinel udostępnia przykładowy szablon podręcznika w galerii szablonów, który pokazuje, jak pracować z tą funkcją:

Zrzut ekranu przedstawiający szablon podręcznika dotyczący alertów dotyczących zdarzeń.

Poniżej przedstawiono sposób użycia akcji Dodawanie alertu do zdarzenia (wersja zapoznawcza) w tym podręczniku, na przykład sposobu używania go w innym miejscu:

Zrzut ekranu przedstawiający dodawanie alertu do zdarzenia przy użyciu akcji podręcznika.

Dodawanie/usuwanie alertów przy użyciu interfejsu API

Korzystanie z tej funkcji nie jest ograniczone do portalu. Jest on również dostępny za pośrednictwem interfejsu API usługi Microsoft Sentinel za pośrednictwem grupy operacji Relacje zdarzeń . Umożliwia ona uzyskiwanie, tworzenie, aktualizowanie i usuwanie relacji między alertami i zdarzeniami.

Utwórz relację

Alert można dodać do zdarzenia, tworząc relację między nimi. Użyj następującego punktu końcowego, aby dodać alert do istniejącego zdarzenia. Po wykonaniu tego żądania alert dołącza do zdarzenia i będzie widoczny na liście alertów w zdarzeniu w portalu.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Treść żądania wygląda następująco:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Usuwanie relacji

Alert można usunąć ze zdarzenia, usuwając relację między nimi. Użyj następującego punktu końcowego, aby usunąć alert z istniejącego zdarzenia. Po wykonaniu tego żądania alert nie będzie już połączony lub pojawi się w zdarzeniu.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Wyświetlanie listy relacji alertów

Możesz również wyświetlić listę wszystkich alertów związanych z konkretnym zdarzeniem z tym punktem końcowym i żądaniem:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Określone kody błędów

Ogólna dokumentacja interfejsu API zawiera listę oczekiwanych kodów odpowiedzi dla operacji tworzenia, usuwania i wyświetlania listy wymienionych powyżej. Kody błędów są wymieniane tylko jako kategoria ogólna. Poniżej przedstawiono możliwe kody błędów i komunikaty wymienione w kategorii "Inne kody stanu":

Kod Komunikat
400 Nieprawidłowe żądanie Nie można utworzyć relacji. W incydencie {incidentIdentifier} istnieje już inny typ relacji o nazwie {relationName}.
400 Nieprawidłowe żądanie Nie można utworzyć relacji. Alert {systemAlertId} już istnieje w incydencie {incidentIdentifier}.
400 Nieprawidłowe żądanie Nie można utworzyć relacji. Powiązany zasób i zdarzenie powinny należeć do tego samego obszaru roboczego.
400 Nieprawidłowe żądanie Nie można utworzyć relacji. Nie można dodać alertów XDR usługi Microsoft Defender do zdarzeń XDR w usłudze Microsoft Defender.
400 Nieprawidłowe żądanie Nie można usunąć relacji. Alerty XDR usługi Microsoft Defender nie mogą zostać usunięte ze zdarzeń XDR w usłudze Microsoft Defender.
404 Nie znaleziono Zasób "{systemAlertId}" nie istnieje.
404 Nie znaleziono Zdarzenie nie istnieje.
409 Konflikt Nie można utworzyć relacji. Relacja o nazwie {relationName} już istnieje w incydencie {incidentIdentifier} do innego alertu {systemAlertId}.

Następne kroki

W tym artykule przedstawiono sposób dodawania alertów do zdarzeń i usuwania ich przy użyciu portalu i interfejsu API usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz: