在 Microsoft Sentinel 中手動建立您自己的事件
重要
使用入口網站或 Logic Apps 手動建立事件目前為預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
手動事件建立已透過使用 API 正式推出。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
使用 Microsoft Sentinel 作為安全性資訊和事件管理 (SIEM) 解決方案,安全性作業的威脅偵測和響應活動會集中在您調查和補救 事件。 這些事件有兩個主要來源:
當偵測機制在記錄和警示上運作,Microsoft Sentinel 從其連接的資料來源擷取時,系統會自動產生它們。
它們會直接從建立安全性服務的其他已連線Microsoft 安全性服務內嵌 (例如 Microsoft Defender XDR)。
不過,威脅資料也可能來自其他來源 未擷取到 Microsoft Sentinel,或未記錄在任何記錄檔中的事件,但也可以證明開啟調查的理由。 例如,員工可能會注意到一個不認識的人員參與和貴組織資訊資產相關的可疑活動。 此員工可能會撥打或傳送電子郵件給安全性作業中心 (SOC) 報告該活動。
Microsoft Sentinel 可讓您的安全性分析師手動為任何類型的事件建立事件,而不論其來源或資料為何,因此您不會錯過調查這些不尋常的威脅類型。
常見使用案例
針對報告建立事件
這是上述簡介中所述的案例。
根據外部系統的活動建立事件
根據記錄未內嵌到 Microsoft Sentinel 的系統活動來建立事件。 例如,SMS 型網路釣魚活動可能會使用貴組織的公司商標和主題,目標是員工的個人行動裝置。 您可能想要調查這類攻擊,而且您可以在 Microsoft Sentinel 中建立事件,以便有平台可以管理調查結果、收集和記錄證據,以及記錄您的回應和風險降低動作。
根據搜捕結果建立事件
根據搜捕活動觀察到的結果建立事件。 例如,在特定調查 (或您獨自調查) 進行威脅搜捕時,您可能會發現完全無關的威脅證據,而該威脅需要單獨調查。
手動建立事件
有三種方式可以手動建立事件:
- 使用 Azure 入口網站建立事件
- 使用 Azure Logic Apps 建立事件,使用 Microsoft Sentinel 事件觸發程式。
- 使用 Microsoft Sentinel API 建立事件,透過事件作業群組。 這可讓您取得、建立、更新和刪除事件。
將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站中的統一安全性作業平台之後,手動建立的事件將不會與統一平台同步處理,不過仍可在 Azure 入口網站中的 Microsoft Sentinel 中檢視及管理事件,以及透過 Logic Apps 和 API 進行檢視和管理。
使用 Azure 入口網站建立事件
選取 [Microsoft Sentinel],然後選擇您的工作區。
從 [Microsoft Sentinel] 導覽功能表中,選取 [事件]。
在 [事件] 頁面上,從按鈕列選取 [+ 建立事件 (預覽)]。
[建立事件 (預覽)] 面板會在畫面右側開啟。
填滿面板中對應的欄位。
職稱
- 輸入您為事件選擇的標題。 事件會以此標題出現在佇列中。
- 必要。 長度不限的任意文字。 系統將會修剪空格。
說明
- 輸入事件的描述性資訊,包括事件來源、涉及的任何實體、與其他事件相關的詳細資料、已通知的人員等等。
- 選擇性。 最多 5000 個字元的任意文字。
嚴重性
- 從下拉式清單中選取嚴重性。 所有 Microsoft Sentinel 支援的嚴重性都可使用。
- 必要。 預設為「中」。
狀態
- 從下拉式清單中選取狀態。 所有 Microsoft Sentinel 支援的狀態都可使用。
- 必要。 預設為「新增」。
- 您可以建立狀態為「已關閉」的事件,之後再手動開啟以進行變更並選擇不同的狀態。 從下拉式清單中選擇 [已關閉] 將會啟用分類原因欄位,讓您選擇關閉事件的原因並新增註解。
負責人
- 從租用戶中的可用使用者或群組中選擇。 開始輸入名稱以搜尋使用者和群組。 選取欄位 (按一下或點選) 以顯示建議清單。 選擇清單頂端的 [指派給我],將事件指派給自己。
- 選擇性。
Tags (標籤)
- 使用標籤來分類事件,以及篩選並找出佇列中的事件。
- 選取加號圖示、在對話方塊中輸入文字,然後選取 [確定] 來建立標記。 自動完成會建議工作區內在過去兩週內使用的標籤。
- 選擇性。 任意文字。
選取面板底部的 [建立]。 事件會在幾秒鐘之後建立,並出現在事件佇列中。
如果您將事件指派為「已關閉」狀態,除非變更狀態篩選以顯示已關閉的事件,否則該事件不會出現在佇列中。 根據預設,篩選條件只會顯示狀態為「新增」或「使用中」的事件。
選取佇列中的事件可查看其完整詳細資料、新增書簽、變更其擁有者和狀態等等。
如果基於某些原因,您在建立事件之後改變心意,您可以從佇列格線或事件本身中將其刪除。
使用 Azure Logic Apps 建立事件
建立事件也可作為 Microsoft Sentinel 連接器中的 Logic Apps 動作,因此可在 Microsoft Sentinel 劇本中使用。
您可以在事件觸發程式的劇本結構描述中找到 [建立事件 (預覽)] 動作。
您需要依照下列所述提供參數:
從其各自的下拉式清單中選取您的 [訂用帳戶]、[資源群組] 和 [工作區名稱]。
如需其餘欄位,請參閱上方說明 (位於使用 Azure 入口網站建立事件底下)。
Microsoft Sentinel 會提供一些樣本劇本範本,示範如何使用這項功能:
- 使用 Microsoft Forms 建立事件
- 從共用電子郵件收件匣建立事件
您可以在 Microsoft Sentinel 自動化頁面的劇本範本資源庫中找到這些範本。
使用 Microsoft Sentinel API 建立事件
事件作業群組不僅可讓您建立事件,也可以更新 (編輯)、取得 (擷取)、列出和刪除事件。
您可以使用下列端點建立事件。 在提出此要求之後,事件會顯示在入口網站的事件佇列中。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
以下是要求本文大致結構的範例:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
備註
手動建立的事件不包含任何實體或警示。 因此,[事件] 頁面中的 [警示] 索引標籤會保持空白,直到您將現有的警示關聯至事件為止。
[實體] 索引標籤也會維持空白,因為目前不支援「直接」將實體新增至手動建立的事件。 (如果您將警示關聯至此事件,來自警示的實體會出現在事件中。)
手動建立的事件也不會在佇列中顯示任何產品名稱。
事件佇列預設會篩選,只顯示狀態為「新增」或「作用中」的事件。如果您建立狀態為「已關閉」的事件,在您變更狀態篩選以顯示已關閉的事件之前,它將不會出現在佇列中。
下一步
如需詳細資訊,請參閱