Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar

Aviseringar som utlöses i Microsofts säkerhetslösningar som är anslutna till Microsoft Sentinel, till exempel Microsoft Defender för Molnappar och Microsoft Defender za identitet, skapar inte incidenter automatiskt i Microsoft Sentinel. När du ansluter en Microsoft-lösning till Microsoft Sentinel matas som standard alla aviseringar som genereras i tjänsten in och lagras i tabellen SecurityAlert på din Microsoft Sentinel-arbetsyta. Du kan sedan använda dessa data som andra rådata som du matar in i Microsoft Sentinel.

Du kan enkelt konfigurera Microsoft Sentinel för att automatiskt skapa incidenter varje gång en avisering utlöses i en ansluten Microsoft-säkerhetslösning genom att följa anvisningarna i den här artikeln.

Viktigt!

Den här artikeln gäller inte om du har:

• Aktiverad Microsoft Defender XDR-incidentintegrering, eller
• Registrerade Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen.

I dessa scenarier skapar Microsoft Defender XDR incidenter från aviseringar som genereras i Microsoft usluge.

Förutsättningar

Anslut din säkerhetslösning genom att installera lämplig lösning från innehållshubben i Microsoft Sentinel och konfigurera dataanslutningen. Mer information finns i Identifiera och hantera microsoft Sentinel-out-of-the-box-innehåll och Microsoft Sentinel-dataanslutningar.

Aktivera automatisk incidentgenerering i dataanslutningsappen

Det mest direkta sättet att automatiskt skapa incidenter från aviseringar som genereras från Microsofts säkerhetslösningar är att konfigurera lösningens dataanslutning för att skapa incidenter:

1. Ansluta en Microsoft-säkerhetslösningsdatakälla.

   

2. Under Skapa incidenter – Rekommenderas väljer du Aktivera för att aktivera standardanalysregeln som skapar incidenter automatiskt från aviseringar som genereras i den anslutna säkerhetstjänsten. Du kan sedan redigera den här regeln under Analys och sedan Aktiva regler.

   Viktigt!

   Om du inte ser det här avsnittet som det visas har du förmodligen aktiverat incidentintegrering i din Microsoft Defender XDR-anslutningsapp, eller så har du registrerat Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen.

   I båda fallen gäller inte den här artikeln för din miljö eftersom dina incidenter skapas av Microsoft Defender-korrelationsmotorn i stället för av Microsoft Sentinel.

Skapa regler för att skapa incidenter från en Microsoft Security-mall

Microsoft Sentinel tillhandahåller färdiga regelmallar för att skapa Microsoft-säkerhetsregler. Varje Microsoft-källlösning har en egen mall. Det finns till exempel en för Microsoft Defender za krajnju tačku, en för Microsoft Defender för molnet och så vidare. Skapa en regel från varje mall som motsvarar lösningarna i din miljö, för vilken du vill skapa incidenter automatiskt. Ändra reglerna för att definiera mer specifika alternativ för filtrering av vilka aviseringar som ska resultera i incidenter. Du kan till exempel välja att skapa Microsoft Sentinel-incidenter automatiskt endast från aviseringar med hög allvarlighetsgrad från Microsoft Defender za identitet.

1. På Microsoft Sentinel-navigeringsmenyn går du till Konfiguration och väljer Analys.

2. Välj fliken Regelmallar för att se alla analysregelmallar. Om du vill hitta fler regelmallar går du till innehållshubben i Microsoft Sentinel.

   

3. Filtrera listan för Microsofts säkerhetsregeltyp för att se analysregelmallarna för att skapa incidenter från Microsoft-aviseringar.

   

4. Välj regelmallen för aviseringskällan som du vill skapa incidenter för. Välj sedan Skapa regel i informationsfönstret.

   

5. Ändra regelinformationen, filtrera de aviseringar som skapar incidenter efter allvarlighetsgrad eller text som finns i aviseringens namn.

   Om du till exempel väljer Microsoft Defender za identitet i fältet Microsofts säkerhetstjänst och väljer Hög i fältet Filtrera efter allvarlighetsgrad, skapar endast säkerhetsaviseringar med hög allvarlighetsgrad automatiskt incidenter i Microsoft Sentinel.

   

6. Precis som med andra typer av analysregler väljer du fliken Automatiserat svar för att definiera automatiseringsregler som körs när incidenter skapas av den här regeln.

Skapa regler för att skapa incidenter från grunden

Du kan också skapa en ny Microsoft-säkerhetsregel som filtrerar aviseringar från olika Microsoft-säkerhetstjänster. På sidan Analys väljer du Skapa > microsofts regel för att skapa incidenter.

Du kan skapa fler än en Microsoft Security-analysregel per Microsofts säkerhetstjänsttyp . Detta skapar inte dubblettincidenter om du tillämpar filter på varje regel som exkluderar varandra.

Nästa steg

• För att komma igång med Microsoft Sentinel behöver du en prenumeration på Microsoft Azure. Om du inte har en prenumeration kan du registrera dig för en gratis provversion.
• Lär dig hur du registrerar dina data i Microsoft Sentinel och får insyn i dina data och potentiella hot.