你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
自动根据 Microsoft 安全警报创建事件
在 Microsoft Defender for Cloud 应用和 Microsoft Defender for Identity 之类的已连接到 Microsoft Sentinel 的 Microsoft 安全解决方案中触发的警报不会自动在 Microsoft Sentinel 中创建事件。 默认情况下,在将 Microsoft 解决方案连接到 Microsoft Sentinel 时,在该服务中生成的任何警报都会作为原始数据存储在 Microsoft Sentinel 中,即 Microsoft Sentinel 工作区的“安全警报”表中。 然后即可使用该数据,就像使用引入到 Microsoft Sentinel 中时的任何其他原始数据一样。
可以按照本文中的说明操作,轻松地将 Microsoft Sentinel 配置为每次在连接的 Microsoft 安全解决方案中触发警报时自动创建事件。
先决条件
通过从 Microsoft Sentinel 中的“内容中心”安装相应的解决方案并设置数据连接器来连接安全解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容以及 Microsoft Sentinel 数据连接器。
使用 Microsoft 安全事件创建分析规则
使用 Microsoft Sentinel 中提供的规则模板,以便选择哪些连接的 Microsoft 安全解决方案应该以自动方式创建 Microsoft Sentinel 事件。 也可编辑这些规则,以便定义更具体的选项来筛选 Microsoft 安全解决方案生成的哪些警报应该在 Microsoft Sentinel 中创建事件。 例如,可以选择仅从高严重性的 Microsoft Defender for Cloud 警报自动创建 Microsoft Sentinel 事件。
在 Azure 门户的 Microsoft Sentinel 下,选择“分析”。
选择“规则模板”选项卡,查看所有分析规则模板。 若要查找更多规则模板,请转到 Microsoft Sentinel 中的“内容中心”。
选择要使用的“Microsoft 安全性”分析规则模板,选择“创建规则”。
可以修改规则详细信息,选择按警报严重性或警报名称中包含的文本来筛选将要创建事件的警报。
例如,如果在“Microsoft 安全服务”字段中选择“Microsoft Defender for Cloud”,并在“按严重性筛选”字段中选择“高”,则只有严重性高的安全警报才会自动在 Microsoft Sentinel 中创建事件。
也可创建新的 Microsoft 安全规则来筛选不同的 Microsoft 安全服务提供的警报,方法是:单击“+创建”,然后选择“Microsoft 事件创建规则”。
可以按“Microsoft 安全服务”类型创建多条 Microsoft 安全分析规则 。 这不会创建重复事件,因为每条规则都用作筛选器。 即使某个警报与多条 Microsoft 安全分析规则匹配,它也只创建一个 Microsoft Sentinel 事件。
允许在连接期间自动生成事件
连接 Microsoft 安全解决方案时,可以选择是否希望安全解决方案中的警报自动在 Microsoft Sentinel 中生成事件。
连接 Microsoft 安全解决方案数据源。
在“创建事件”下选择“启用”,以便启用默认的分析规则,这样,当连接的安全服务中生成警报时,就会自动创建事件 。 然后,可以在“分析”下的“活动规则”中编辑此规则。
后续步骤
- 若要开始使用 Microsoft Sentinel,需要订阅 Microsoft Azure。 如果尚无订阅,可注册免费试用版。
- 了解如何将数据载入到 Microsoft Sentinel,以及获取数据和潜在威胁的见解。