Поделиться через

Связь оповещений с инцидентами в Microsoft Sentinel на портале Azure

  • Применяется к: Microsoft Sentinel in the Azure portal

В этой статье показано, как связать оповещения с инцидентами в Microsoft Sentinel. Эта функция позволяет вручную или автоматически добавлять оповещения в существующие инциденты на портале Azure в рамках процессов расследования, уточняя область инцидента по мере развертывания расследования.

Это важно

В настоящее время расширение инцидентов доступно в предварительном режиме. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Расширьте масштаб и влияние инцидентов

Одной из возможностей этой функции является включение оповещений из одного источника данных в инциденты, созданные другим источником данных. Например, вы можете добавить оповещения из Microsoft Defender for Cloud или различных сторонних источников данных в инциденты, импортированные в Microsoft Sentinel из Microsoft Defender XDR.

Эта функция встроена в последнюю версию API Microsoft Sentinel, что означает, что она доступна соединителю Logic Apps для Microsoft Sentinel. Таким образом, вы можете использовать сборники схем для автоматического добавления оповещения в инцидент, если выполнены определенные условия.

Эту автоматизацию можно также использовать для добавления оповещений в созданные вручную инциденты, создания пользовательских корреляций или определения настраиваемых критериев группировки оповещений в инциденты при их создании.

Ограничения

  • После интеграции Microsoft Sentinel с порталом Defender добавление или удаление предупреждений Microsoft Sentinel из инцидентов поддерживается только на портале Defender. Чтобы удалить оповещение из инцидента на портале Defender, необходимо добавить оповещение в другой инцидент. Дополнительные сведения см. в статье о сопоставлении оповещений и объединения инцидентов на портале Defender.

  • При работе на портале Azure в рабочей области, не подключенной к порталу Defender, Microsoft Sentinel импортирует оповещения и инциденты из XDR в Microsoft Defender. В большинстве случаев эти оповещения и инциденты можно рассматривать как обычные оповещения и инциденты Microsoft Sentinel.

    Например, вы можете добавлять или удалять оповещения Microsoft Defender XDR в инциденты, отличные от Defender, и добавлять или удалять оповещения не Defender в инциденты Defender непосредственно из Microsoft Sentinel на портале Azure.

    Однако вы можете управлять оповещениями Defender только в контексте инцидентов Defender на портале Defender. На портале Azure перейдите к инциденту в портале Defender, используя ссылку, предоставленную в инциденте. Изменения, внесенные на портале Defender, синхронизируются с порталом Azure, поэтому вы по-прежнему увидите изменения, отраженные на обоих порталах.

  • Инцидент может содержать не более 150 оповещений. Если вы пытаетесь добавить оповещение в инцидент с 150 оповещениями в нем, вы получите сообщение об ошибке.

Добавление оповещений с помощью временной шкалы сущности (предварительная версия)

Временная шкала сущностей, как показано в новом опыте инцидента (теперь в версии Preview), представляет все сущности в конкретном расследовании инцидента. При выборе сущности в списке на боковой панели отображается страница миниатюрной сущности.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

    Снимок экрана: новая очередь инцидентов, отображаемая в сетке.

  2. Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".

  3. На странице инцидента выберите вкладку "Сущности ".

    Снимок экрана: вкладка сущностей на странице инцидента.

  4. Выберите сущность из списка.

  5. На боковой панели страницы сущности выберите карточку временной шкалы .

    Снимок экрана: карточка временной шкалы сущностей на вкладке сущностей на странице инцидента.

  6. Выберите оповещение, не относящееся к открытому инциденту. Они указываются значком серого щита и пунктирной полосой, представляющей уровень важности. Щелкните значок со знаком "плюс" в правом конце этого оповещения.

    Снимок экрана: внешний вид оповещения на временной шкале сущности.

  7. Подтвердите добавление оповещения в инцидент, нажав кнопку "ОК". Вы получите уведомление, подтверждающее добавление оповещения в инцидент или объясняющее, почему оно не было добавлено. Скриншот добавления уведомления в инцидент на временной шкале сущности.

Вы увидите, что добавленное оповещение теперь отображается в виджете временной шкалы открытого инцидента на вкладке Обзор, с иконкой щита в полном цвете и сплошной цветной полосой, как и любое другое оповещение в инциденте.

Добавленное оповещение теперь является полной частью инцидента, и все сущности в добавленном оповещении (которые еще не были частью инцидента) также стали частью инцидента. Теперь вы можете просмотреть хронологии этих сущностей, чтобы найти их другие оповещения, которые теперь могут быть добавлены в инцидент.

Удалить оповещение из инцидента

Оповещения, которые были добавлены в инцидент (вручную или автоматически) также можно удалить из инцидента.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".

  3. На вкладке "Обзор " в мини-приложении временной шкалы инцидента выберите три точки рядом с оповещением, которое нужно удалить из инцидента. Во всплывающем меню выберите "Удалить оповещение".

    Снимок экрана, показывающий как удалить оповещение из инцидента на временной шкале.

Добавление оповещений с помощью графа исследования

График исследования — это визуальное интуитивно понятное средство, которое представляет связи и шаблоны и позволяет аналитикам задавать правильные вопросы и следовать рекомендациям. Его можно использовать для добавления оповещений и их удаления из инцидентов, расширения или сужения области исследования.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

    Снимок экрана: очередь инцидентов, отображаемая в сетке.

  2. Выберите инцидент для расследования. На панели сведений об инциденте нажмите кнопку "Действия " и выберите " Исследовать " во всплывающем меню. Откроется граф исследования.

    Скриншот инцидентов с предупреждениями на графе расследования.

  3. Наведите указатель мыши на любую сущность, чтобы отобразить список исследовательских запросов рядом с ней. Выберите связанные оповещения.

    Снимок экрана: запросы для просмотра оповещений в графе исследования.

    Связанные оповещения будут отображаться взаимосвязанными с сущностью по пунктирным линиям.

    Снимок экрана: связанные оповещения, отображаемые в графе расследования.

  4. Наведите указатель мыши на одно из связанных оповещений, пока меню не появится рядом с ним. Выберите ‘Добавить оповещение к инциденту (Предварительная версия)’.

    Снимок экрана: добавление оповещения в инцидент в графе расследования.

  5. Оповещение добавляется в инцидент и во всех отношениях становится его частью, включая все его сущности и детали. Вы увидите два визуальных представления этого элемента:

    • Линия, соединяющая её с сущностью в графе исследования, изменилась с пунктирной на сплошную, и соединения с сущностями из добавленного оповещения были добавлены в граф.

      Снимок экрана: оповещение, добавленное в инцидент.

    • Теперь оповещение отображается на временной шкале этого инцидента вместе с оповещениями, которые уже были там.

      Снимок экрана, показывающий оповещение, добавленное на временную шкалу инцидента.

Специальные ситуации

При добавлении оповещения в инцидент в зависимости от обстоятельств может потребоваться подтвердить запрос или выбрать различные варианты. Ниже приведены некоторые примеры этих ситуаций, выбор, который будет предложено сделать, и их последствия.

  • Оповещение, которое вы хотите добавить, уже относится к другому инциденту.

    В этом случае появится сообщение, в котором говорится, что оповещение является частью другого инцидента или инцидентов, и вас спросят, хотите ли вы продолжить. Нажмите кнопку "ОК ", чтобы добавить оповещение или отмену , чтобы оставить вещи как они были.

    Добавление оповещения в этот инцидент не приведет к его удалению из других инцидентов. Оповещения могут быть связаны с несколькими инцидентами. Если вы хотите, вы можете вручную удалить оповещение из других инцидентов, следуя ссылкам в приведенном выше запросе сообщения.

  • Оповещение, которое вы хотите добавить, относится к другому инциденту, и это единственное оповещение в другом инциденте.

    Это отличается от приведенного выше случая, поскольку, если оповещение присутствует только в другом инциденте, его отслеживание в этом инциденте может сделать другой инцидент несостоятельным. Поэтому в этом случае вы увидите это диалоговое окно:

    Снимок экрана с запросом: сохранить или закрыть другой инцидент?

    • Сохранение другого инцидента оставляет другой инцидент без изменений и добавляет оповещение к этому инциденту.

    • Закрытие другого инцидента добавляет оповещение к этому инциденту и закрывает другой инцидент, указав причину закрытия "Неопределенная" и комментарий "Оповещение было добавлено в другой инцидент" с номером открытого инцидента.

    • Отмена сохраняет статус-кво. Он не вносит никаких изменений в открытый инцидент или любой другой инцидент, на который ссылается ссылка.

    Какой из этих вариантов вы выбираете, зависит от конкретных потребностей; Мы не рекомендуем использовать один выбор по сравнению с другим.

Добавление и удаление оповещений с помощью плейбуков

Добавление и удаление оповещений к инцидентам также доступны в виде действий Logic Apps в соединителе Microsoft Sentinel и, следовательно, в плейбуках Microsoft Sentinel. Необходимо указать идентификатор ARM инцидента и идентификатор системного оповещения в качестве параметров, и их можно найти в схеме сборника схем для триггеров оповещений и инцидентов.

Microsoft Sentinel предоставляет пример шаблона сборника схем в коллекции шаблонов, который показывает, как работать с этой возможностью:

Снимок экрана шаблона сценария для связывания предупреждений с инцидентами.

Вот как в этом сборнике схем используется действие "Добавить оповещение в инцидент (предварительная версия") в качестве примера того, как его можно использовать в другом месте:

Снимок экрана: добавление оповещения в инцидент с помощью действия плейбука.

Добавление и удаление оповещений с помощью API

Вы не ограничены порталом, чтобы использовать эту функцию. Он также доступен через API Microsoft Sentinel в группе операций связанных инцидентов. Он позволяет получать, создавать, обновлять и удалять связи между оповещениями и инцидентами.

Создание связи

Вы добавляете оповещение в инцидент, создавая связь между ними. Используйте следующую конечную точку, чтобы добавить оповещение в существующий инцидент. После выполнения этого запроса оповещение присоединяется к инциденту и будет отображаться в списке оповещений в инциденте на портале.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Текст запроса выглядит следующим образом:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Удалить связь

Вы удаляете оповещение из инцидента, удалив связь между ними. Используйте следующую конечную точку, чтобы удалить оповещение из существующего инцидента. После выполнения этого запроса оповещение больше не будет связано с инцидентом и не появится в нем.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Перечисление связей оповещений

Вы также можете перечислить все оповещения, связанные с конкретным инцидентом, с этой конечной точкой и запросом:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Определенные коды ошибок

В общей документации по API перечислены ожидаемые коды ответов для операций создания, удаления и списка , упомянутых выше. Коды ошибок упоминаются только в качестве общей категории. Ниже приведены возможные коды ошибок и сообщения, перечисленные в категории "Другие коды состояния":

Код Сообщение
400 Bad Request (Неверный запрос) Не удалось создать связь. Другой тип отношения с именем {relationName} уже существует в инциденте {incidentIdentifier}.
400 Bad Request (Неверный запрос) Не удалось создать связь. Оповещение {systemAlertId} уже существует в инциденте {incidentIdentifier}.
400 Bad Request (Неверный запрос) Не удалось создать связь. Связанные ресурсы и инциденты должны принадлежать той же рабочей области.
400 Bad Request (Неверный запрос) Не удалось создать связь. Оповещения XDR в Microsoft Defender нельзя добавить в инциденты XDR в Microsoft Defender.
400 Bad Request (Неверный запрос) Не удалось удалить реляционную связь. Оповещения Microsoft Defender XDR нельзя удалить из инцидентов Microsoft Defender XDR.
404 Not Found (Не найдено) Ресурс "{systemAlertId}" не существует.
404 Not Found (Не найдено) Инцидент не существует.
409 Conflict (Конфликт) Не удалось создать связь. Связь с именем {relationName} уже существует в инциденте {incidentIdentifier} для другого оповещения {systemAlertId}.

Дальнейшие шаги

В этой статье вы узнали, как добавить оповещения в инциденты и удалить их с помощью портала Microsoft Sentinel и API. Дополнительные сведения можно найти здесь