Создавайте собственные инциденты вручную в Microsoft Sentinel в портале Azure

Внимание

Создание инцидентов вручную с помощью портала или Logic Apps в настоящее время находится в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Создание инцидентов вручную через API находится в общедоступном режиме.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

С помощью Microsoft Sentinel в качестве решения для управления сведениями и событиями безопасности (SIEM) действия по обнаружению угроз безопасности и реагированию на них сосредоточены на инцидентах , которые вы исследуете и исправляете. Эти инциденты поступают из двух основных источников.

• Они создаются автоматически, если механизмы обнаружения работают с журналами и оповещениями, которые Microsoft Sentinel потребляет из подключенных источников данных.

• Они получаются непосредственно из других подключенных служб безопасности Майкрософт (например, XDR Microsoft Defender), которые создали их.

Однако данные об угрозах также могут поступать из других источников , не поступающих в Microsoft Sentinel, или события, не записанные в любом журнале, и все же могут оправдать открытие расследования. Например, сотрудник может заметить нераспознанного человека, занимающегося подозрительными действиями, связанными с информационными ресурсами вашей организации. Этот сотрудник может вызвать или отправить сообщение электронной почты центру управления безопасностью (SOC), чтобы сообщить об этом действии.

Microsoft Sentinel в портал Azure позволяет аналитикам безопасности вручную создавать инциденты для любого типа события независимо от источника или данных, поэтому вы не пропустите расследование этих необычных типов угроз.

Распространенные варианты использования

Создать инцидент по сообщённому событию

Этот сценарий описан выше во вводном разделе.

Создавать инциденты на основе событий, полученных из внешних систем

Инциденты можно создавать на основе событий из любых систем, журналы которых не передаются в Microsoft Sentinel. Например, в рассылке фишинговых SMS на личные мобильные устройства ваших сотрудников может использоваться корпоративная символика или стиль оформления вашей организации. Вы можете изучить такую атаку, и вы можете создать инцидент в Microsoft Sentinel, чтобы у вас была платформа для управления расследованием, сбора и регистрации доказательств, а также записи действий по реагированию и устранению рисков.

Создание инцидентов на основе результатов охоты

Вы можете создавать инциденты на основе полученных результатов охоты. Например, в то время как вы занимаетесь охотой на угрозы в рамках конкретного расследования (или самостоятельно), вы можете столкнуться с доказательствами совершенно несвязанной угрозы, которая заслуживает отдельного расследования.

Создание инцидента вручную

Вот три способа создать инцидент вручную.

• Создание инцидента с помощью портала Azure
• Создайте инцидент с помощью Azure Logic Apps, используя триггер инцидента Microsoft Sentinel.
• Создайте инцидент с помощью API Microsoft Sentinel с помощью группы операций "Инциденты ". Это позволяет вам создавать, обновлять и удалять инциденты.

После подключения Microsoft Sentinel к порталу Microsoft Defender созданные инциденты вручную не синхронизируются с порталом Defender, хотя они по-прежнему могут просматриваться и управляться в Microsoft Sentinel в портал Azure, а также через Logic Apps и API.

Разрешения

Для того чтобы вручную создать инцидент, необходимо иметь следующие роли и разрешения.

Метод	Требуемая роль
Портал Azure и API	Один из следующих: Microsoft Sentinel Responder Участник Microsoft Sentinel
Приложения логики Azure	Один из приведенных выше, плюс: Оператор плейбуков Microsoft Sentinel для использования существующего плейбука Участник Logic App для создания нового плейбука

Дополнительные сведения о ролях в Microsoft Sentinel.

Создание инцидента с помощью портала Azure

1. Выберите Microsoft Sentinel и выберите рабочую область.

2. В меню навигации Microsoft Sentinel выберите инциденты.

3. На странице "Инциденты " выберите +Создать инцидент (предварительная версия) на панели кнопок.

   

   Панель создания инцидентов (предварительная версия) откроется справа от экрана.

   

4. Заполните поля на панели в соответствии с ситуацией.

   • Титул

     • Введите произвольное название для инцидента. Этот инцидент будет отображаться с этим заголовком в очереди инцидентов.
     • Обязательный. Произвольный текст неограниченной длины. Пробелы будут удалены.

   • Описание

     • Введите описательные сведения об инциденте, например происхождение инцидента, любые затронутые сущности, отношения с другими событиями, кто оповещен об инциденте и так далее.
     • Необязательно. Произвольный текст длиной не более 5000 символов.

   • Суровость

     • Выберите уровень серьезности из раскрывающегося списка. Здесь доступны все уровни серьезности, которые поддерживает Microsoft Sentinel.
     • Обязательный. По умолчанию: "Средний"

   • Статус

     • Выберите состояние в раскрывающемся списке. Здесь доступны все состояния, поддерживаемые Microsoft Sentinel.
     • Обязательный. По умолчанию используется значение "Новый".
     • Вы можете создать инцидент с состоянием "Закрыт", а затем открыть его вручную, чтобы внести изменения и выбрать другое состояние. При выборе "закрыто" в раскрывающемся списке будут активированы поля причин классификации для выбора причины закрытия инцидента и добавления комментариев.

   • Владелец

     • Выберите из доступных пользователей или групп в вашем текущем клиенте. Начните вводить имя для поиска по пользователям и группам. Щелкните это поле (или коснитесь его), чтобы отобразить список предложений. Выберите "Назначить мне" в верхней части списка, чтобы назначить инцидент себе.
     • Необязательно.

   • Теги

     • Используйте теги для классификации инцидентов, фильтрации и идентификации в очереди.
     • Создайте теги, выбрав значок знака плюса, введя текст в диалоговом окне и нажав кнопку "ОК". Автоматическое завершение предложит теги, которые использовались в текущей рабочей области за последние две недели.
     • Необязательно. Произвольный текст.

5. Выберите "Создать " в нижней части панели. Через несколько секунд инцидент будет создан и появится в очереди инцидентов.

   Если присвоить инциденту статус "Закрыто", он не будет отображаться в очереди, пока не измените фильтр статуса, чтобы отобразить закрытые инциденты. По умолчанию этот фильтр отображает только инциденты с состояниями "Новый" или "Активный".

Выберите инцидент в очереди, чтобы получить подробные сведения о нем, добавить закладки, изменить владельца и состояние инцидента, и так далее.

Если по какой-то причине вы измените свое мнение после факта создания инцидента, его можно удалить из сетки очередей или из самого инцидента. Чтобы удалить инцидент, необходимо иметь роль участника Microsoft Sentinel .

Создание инцидента в Azure Logic Apps

Создание инцидента также доступно как действие Logic Apps в соединителе Microsoft Sentinel и поэтому в сборниках схем Microsoft Sentinel.

Действие «Создание инцидента» (предварительная версия) находится в схеме плейбука для триггера инцидента.

Вам нужно указать приведенные ниже параметры.

• Выберите свою подписку, группу ресурсов и имя рабочей области из соответствующих раскрывающихся списков.

• Остальные поля см. в описании выше (в разделе "Создание инцидента с помощью портала Azure").

  

Microsoft Sentinel предоставляет несколько примеров шаблона, которые демонстрируют работу с этой возможностью:

• Создание инцидента с помощью Microsoft Form
• Создать инцидент из общего почтового ящика

Их можно найти в галерее шаблонов плейбуков на странице Автоматизация Microsoft Sentinel.

Создание инцидента через API Microsoft Sentinel

Группа операций "Инциденты" позволяет создавать не только события, но и обновлять (редактировать),получать (извлекать),перечислять и удалять инциденты.

Создайте инцидент с помощью следующей конечной точки. После выполнения этого запроса инцидент будет отображаться в очереди инцидентов на портале.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Ниже представлен пример текста для этого запроса.

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Примечания.

• Инциденты, созданные вручную, не содержат сущностей или оповещений. Поэтому вкладка "Оповещения" на странице инцидента будет оставаться пустой, пока вы не свяжете текущие оповещения с вашим инцидентом.

  Вкладка "Сущности " также останется пустой, так как добавление сущностей непосредственно в созданные вручную инциденты в настоящее время не поддерживается. (Если вы свяжете это оповещение с инцидентом, то сущности из оповещения отобразятся в инциденте.)

• Созданные вручную инциденты также не будут отображать имя продукта в очереди.

• Очередь инцидентов по умолчанию отображает только инциденты с состоянием "Новый" или "Активный". Если вы создадите инцидент с состоянием "Закрыто", он не будет отображаться в очереди, пока вы не измените фильтр по состоянию, чтобы отобразить закрытые инциденты.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Связь оповещений с инцидентами в Microsoft Sentinel
• Удаление инцидентов в Microsoft Sentinel
• Навигация, обработка и управление инцидентами Microsoft Sentinel
• Подробное изучение инцидентов Microsoft Sentinel