Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как связать оповещения с инцидентами в Microsoft Sentinel. Эта функция позволяет вручную или автоматически добавлять оповещения в существующие инциденты на портале Azure в рамках процессов расследования, уточняя область инцидента по мере развертывания расследования.
Это важно
В настоящее время расширение инцидентов доступно в предварительном режиме. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Расширьте масштаб и влияние инцидентов
Одной из возможностей этой функции является включение оповещений из одного источника данных в инциденты, созданные другим источником данных. Например, вы можете добавить оповещения из Microsoft Defender for Cloud или различных сторонних источников данных в инциденты, импортированные в Microsoft Sentinel из Microsoft Defender XDR.
Эта функция встроена в последнюю версию API Microsoft Sentinel, что означает, что она доступна соединителю Logic Apps для Microsoft Sentinel. Таким образом, вы можете использовать сборники схем для автоматического добавления оповещения в инцидент, если выполнены определенные условия.
Эту автоматизацию можно также использовать для добавления оповещений в созданные вручную инциденты, создания пользовательских корреляций или определения настраиваемых критериев группировки оповещений в инциденты при их создании.
Ограничения
После интеграции Microsoft Sentinel с порталом Defender добавление или удаление предупреждений Microsoft Sentinel из инцидентов поддерживается только на портале Defender. Чтобы удалить оповещение из инцидента на портале Defender, необходимо добавить оповещение в другой инцидент. Дополнительные сведения см. в статье о сопоставлении оповещений и объединения инцидентов на портале Defender.
При работе на портале Azure в рабочей области, не подключенной к порталу Defender, Microsoft Sentinel импортирует оповещения и инциденты из XDR в Microsoft Defender. В большинстве случаев эти оповещения и инциденты можно рассматривать как обычные оповещения и инциденты Microsoft Sentinel.
Например, вы можете добавлять или удалять оповещения Microsoft Defender XDR в инциденты, отличные от Defender, и добавлять или удалять оповещения не Defender в инциденты Defender непосредственно из Microsoft Sentinel на портале Azure.
Однако вы можете управлять оповещениями Defender только в контексте инцидентов Defender на портале Defender. На портале Azure перейдите к инциденту в портале Defender, используя ссылку, предоставленную в инциденте. Изменения, внесенные на портале Defender, синхронизируются с порталом Azure, поэтому вы по-прежнему увидите изменения, отраженные на обоих порталах.
Инцидент может содержать не более 150 оповещений. Если вы пытаетесь добавить оповещение в инцидент с 150 оповещениями в нем, вы получите сообщение об ошибке.
Добавление оповещений с помощью временной шкалы сущности (предварительная версия)
Временная шкала сущностей, как показано в новом опыте инцидента (теперь в версии Preview), представляет все сущности в конкретном расследовании инцидента. При выборе сущности в списке на боковой панели отображается страница миниатюрной сущности.
В меню навигации Microsoft Sentinel выберите Инциденты.
Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".
На странице инцидента выберите вкладку "Сущности ".
Выберите сущность из списка.
На боковой панели страницы сущности выберите карточку временной шкалы .
Выберите оповещение, не относящееся к открытому инциденту. Они указываются значком серого щита и пунктирной полосой, представляющей уровень важности. Щелкните значок со знаком "плюс" в правом конце этого оповещения.
Подтвердите добавление оповещения в инцидент, нажав кнопку "ОК". Вы получите уведомление, подтверждающее добавление оповещения в инцидент или объясняющее, почему оно не было добавлено.
Вы увидите, что добавленное оповещение теперь отображается в виджете временной шкалы открытого инцидента на вкладке Обзор, с иконкой щита в полном цвете и сплошной цветной полосой, как и любое другое оповещение в инциденте.
Добавленное оповещение теперь является полной частью инцидента, и все сущности в добавленном оповещении (которые еще не были частью инцидента) также стали частью инцидента. Теперь вы можете просмотреть хронологии этих сущностей, чтобы найти их другие оповещения, которые теперь могут быть добавлены в инцидент.
Удалить оповещение из инцидента
Оповещения, которые были добавлены в инцидент (вручную или автоматически) также можно удалить из инцидента.
В меню навигации Microsoft Sentinel выберите Инциденты.
Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".
На вкладке "Обзор " в мини-приложении временной шкалы инцидента выберите три точки рядом с оповещением, которое нужно удалить из инцидента. Во всплывающем меню выберите "Удалить оповещение".
Добавление оповещений с помощью графа исследования
График исследования — это визуальное интуитивно понятное средство, которое представляет связи и шаблоны и позволяет аналитикам задавать правильные вопросы и следовать рекомендациям. Его можно использовать для добавления оповещений и их удаления из инцидентов, расширения или сужения области исследования.
В меню навигации Microsoft Sentinel выберите Инциденты.
Выберите инцидент для расследования. На панели сведений об инциденте нажмите кнопку "Действия " и выберите " Исследовать " во всплывающем меню. Откроется граф исследования.
Наведите указатель мыши на любую сущность, чтобы отобразить список исследовательских запросов рядом с ней. Выберите связанные оповещения.
Связанные оповещения будут отображаться взаимосвязанными с сущностью по пунктирным линиям.
Наведите указатель мыши на одно из связанных оповещений, пока меню не появится рядом с ним. Выберите ‘Добавить оповещение к инциденту (Предварительная версия)’.
Оповещение добавляется в инцидент и во всех отношениях становится его частью, включая все его сущности и детали. Вы увидите два визуальных представления этого элемента:
Специальные ситуации
При добавлении оповещения в инцидент в зависимости от обстоятельств может потребоваться подтвердить запрос или выбрать различные варианты. Ниже приведены некоторые примеры этих ситуаций, выбор, который будет предложено сделать, и их последствия.
Оповещение, которое вы хотите добавить, уже относится к другому инциденту.
В этом случае появится сообщение, в котором говорится, что оповещение является частью другого инцидента или инцидентов, и вас спросят, хотите ли вы продолжить. Нажмите кнопку "ОК ", чтобы добавить оповещение или отмену , чтобы оставить вещи как они были.
Добавление оповещения в этот инцидент не приведет к его удалению из других инцидентов. Оповещения могут быть связаны с несколькими инцидентами. Если вы хотите, вы можете вручную удалить оповещение из других инцидентов, следуя ссылкам в приведенном выше запросе сообщения.
Оповещение, которое вы хотите добавить, относится к другому инциденту, и это единственное оповещение в другом инциденте.
Это отличается от приведенного выше случая, поскольку, если оповещение присутствует только в другом инциденте, его отслеживание в этом инциденте может сделать другой инцидент несостоятельным. Поэтому в этом случае вы увидите это диалоговое окно:
Сохранение другого инцидента оставляет другой инцидент без изменений и добавляет оповещение к этому инциденту.
Закрытие другого инцидента добавляет оповещение к этому инциденту и закрывает другой инцидент, указав причину закрытия "Неопределенная" и комментарий "Оповещение было добавлено в другой инцидент" с номером открытого инцидента.
Отмена сохраняет статус-кво. Он не вносит никаких изменений в открытый инцидент или любой другой инцидент, на который ссылается ссылка.
Какой из этих вариантов вы выбираете, зависит от конкретных потребностей; Мы не рекомендуем использовать один выбор по сравнению с другим.
Добавление и удаление оповещений с помощью плейбуков
Добавление и удаление оповещений к инцидентам также доступны в виде действий Logic Apps в соединителе Microsoft Sentinel и, следовательно, в плейбуках Microsoft Sentinel. Необходимо указать идентификатор ARM инцидента и идентификатор системного оповещения в качестве параметров, и их можно найти в схеме сборника схем для триггеров оповещений и инцидентов.
Microsoft Sentinel предоставляет пример шаблона сборника схем в коллекции шаблонов, который показывает, как работать с этой возможностью:
Вот как в этом сборнике схем используется действие "Добавить оповещение в инцидент (предварительная версия") в качестве примера того, как его можно использовать в другом месте:
Добавление и удаление оповещений с помощью API
Вы не ограничены порталом, чтобы использовать эту функцию. Он также доступен через API Microsoft Sentinel в группе операций связанных инцидентов. Он позволяет получать, создавать, обновлять и удалять связи между оповещениями и инцидентами.
Создание связи
Вы добавляете оповещение в инцидент, создавая связь между ними. Используйте следующую конечную точку, чтобы добавить оповещение в существующий инцидент. После выполнения этого запроса оповещение присоединяется к инциденту и будет отображаться в списке оповещений в инциденте на портале.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Текст запроса выглядит следующим образом:
{
"properties": {
"relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}"
}
}
Удалить связь
Вы удаляете оповещение из инцидента, удалив связь между ними. Используйте следующую конечную точку, чтобы удалить оповещение из существующего инцидента. После выполнения этого запроса оповещение больше не будет связано с инцидентом и не появится в нем.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
Перечисление связей оповещений
Вы также можете перечислить все оповещения, связанные с конкретным инцидентом, с этой конечной точкой и запросом:
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview
Определенные коды ошибок
В общей документации по API перечислены ожидаемые коды ответов для операций создания, удаления и списка , упомянутых выше. Коды ошибок упоминаются только в качестве общей категории. Ниже приведены возможные коды ошибок и сообщения, перечисленные в категории "Другие коды состояния":
Код | Сообщение |
---|---|
400 Bad Request (Неверный запрос) | Не удалось создать связь. Другой тип отношения с именем {relationName} уже существует в инциденте {incidentIdentifier}. |
400 Bad Request (Неверный запрос) | Не удалось создать связь. Оповещение {systemAlertId} уже существует в инциденте {incidentIdentifier}. |
400 Bad Request (Неверный запрос) | Не удалось создать связь. Связанные ресурсы и инциденты должны принадлежать той же рабочей области. |
400 Bad Request (Неверный запрос) | Не удалось создать связь. Оповещения XDR в Microsoft Defender нельзя добавить в инциденты XDR в Microsoft Defender. |
400 Bad Request (Неверный запрос) | Не удалось удалить реляционную связь. Оповещения Microsoft Defender XDR нельзя удалить из инцидентов Microsoft Defender XDR. |
404 Not Found (Не найдено) | Ресурс "{systemAlertId}" не существует. |
404 Not Found (Не найдено) | Инцидент не существует. |
409 Conflict (Конфликт) | Не удалось создать связь. Связь с именем {relationName} уже существует в инциденте {incidentIdentifier} для другого оповещения {systemAlertId}. |
Дальнейшие шаги
В этой статье вы узнали, как добавить оповещения в инциденты и удалить их с помощью портала Microsoft Sentinel и API. Дополнительные сведения можно найти здесь