自動從 Microsoft 安全性警示建立事件

文章
08/06/2024

在連線至 Microsoft Sentinel 的 Microsoft 安全性解決方案 (例如 Microsoft Defender for Cloud Apps 和適用於身分識別的 Microsoft Defender) 中，觸發的警示不會在 Microsoft Sentinel 中自動建立事件。根據預設，當您將 Microsoft 解決方案連線到 Microsoft Sentinel 時，任何在該服務中產生的警示都會內嵌並儲存在 Microsoft Sentinel 工作區的 SecurityAlert 資料表中。然後，就可以像您內嵌到 Microsoft Sentinel 中的任何其他原始資料一樣使用該資料。

您可以遵循本文中的指示，輕鬆將 Microsoft Sentinel 設定為每次在已連線的 Microsoft 安全性解決方案中觸發警示時，就自動建立事件。

重要

如果您有下列情況，則本文不適用：

已啟用 Microsoft Defender 全面偵測回應事件整合、或
Microsoft Sentinel 上線至整合安全性作業平台。

在這些案例中，Microsoft Defender XDR 會從 Microsoft 服務中產生的警示建立事件。

如果您使用事件建立規則建立其他 Microsoft 安全性解決方案或未整合到 Defender XDR 的產品，例如 Microsoft Purview 內部風險管理，而且您打算在 Defender 入口網站中上線至整合安全性作業平台，請將事件建立規則取代為排程的分析規則。

必要條件

從 Microsoft Sentinel 中的 [內容中樞] 安裝適當的解決方案，並設定資料連接器，以連線您的安全性解決方案。如需詳細資訊，請參閱探索及管理 Microsoft Sentinel 現用內容和 Microsoft Sentinel 資料連接器。

啟用資料連接器中的自動事件產生

從 Microsoft 安全性解決方案所產生警示自動建立事件的最直接方式，就是設定解決方案的資料連接器來建立事件：

連線 Microsoft 安全性解決方案資料來源。
在 [建立事件 – 建議] 下，選取 [啟用] 來啟用預設分析規則，以自動從已連線的安全性服務中產生的警示建立事件。接著，您可以在 [分析] 下編輯此規則，然後編輯 [有效規則]。

重要

如果您未如所示看到本節，代表您很可能已在 Microsoft Defender XDR 連接器中啟用事件整合，或已將Microsoft Sentinel 上線至 Microsoft Defender 入口網站中的整合安全性作業平台。

不論是哪一種情況，本文都不適用於您的環境，因為您的事件是由 Microsoft Defender 相互關聯引擎所建立，而不是由 Microsoft Sentinel 所建立。

從 Microsoft 安全性範本建立事件建立規則

Microsoft Sentinel 提供現成的規則範本，可用來建立 Microsoft 安全性規則。每個 Microsoft 來源解決方案都有自己的範本。例如，有一個範本適用於端點的 Microsoft Defender，另一個則用於適用於雲端的 Microsoft Defender，依此類推。從每個範本建立規則，這些範本會對應至您環境中的解決方案，其中您想要自動建立事件。修改規則以定義更具體的選項，進而篩選哪些警示應該導致事件。例如，您可以選擇只從適用於身分識別的 Microsoft Defender 中的高嚴重性警示，自動建立 Microsoft Sentinel 事件。

從 [Microsoft Sentinel] 導覽功能表的 [設定] 底下，選取 [Analytics]。
選取 [規則範本] 索引標籤，以查看所有分析規則範本。若要尋找更多規則範本，請移至 Microsoft Sentinel 中的 [內容中樞]。
篩選 Microsoft 安全性規則類型的清單，以查看從 Microsoft 警示建立事件的分析規則範本。
針對您想要建立事件的警示來源，選取規則範本。然後，在詳細資料窗格中，選取 [建立規則]。
修改規則詳細資料，篩選將會依警示嚴重性或依警示名稱內含文字建立事件的警示。

例如，如果您在 [Microsoft 安全性服務] 欄位中選擇 [適用於身分識別的 Microsoft Defender]，並在 [依嚴重性篩選] 欄位中選擇 [高]，則只有高嚴重性安全性警示會自動在 Microsoft Sentinel 中建立事件。
就像其他類型的分析規則一樣，選取 [自動回應] 索引標籤來定義要在此規則建立事件時執行的自動化規則。