Megosztás a következőn keresztül:

Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból

  • Cikk

A Microsoft Sentinelhez csatlakoztatott Microsoft biztonsági megoldásokban ( például Felhőhöz készült Microsoft Defender Apps és Microsoft Defender for Identity) aktivált riasztások nem hoznak létre automatikusan incidenseket a Microsoft Sentinelben. Ha microsoftos megoldást csatlakoztat a Microsoft Sentinelhez, a szolgáltatásban létrehozott riasztások alapértelmezés szerint a Microsoft Sentinel-munkaterület SecurityAlert táblájában lesznek betöltve és tárolva. Ezután ezeket az adatokat a Microsoft Sentinelbe betöltött többi nyers adathoz hasonlóan használhatja.

Egyszerűen konfigurálhatja a Microsoft Sentinelt arra, hogy automatikusan hozzon létre incidenseket minden alkalommal, amikor egy riasztás aktiválódik egy csatlakoztatott Microsoft biztonsági megoldásban, a jelen cikkben található utasításokat követve.

Fontos

Ez a cikk nem vonatkozik az alábbi esetekben :

Ezekben a forgatókönyvekben a Microsoft Defender XDR incidenseket hoz létre a Microsoft-szolgáltatások létrehozott riasztásokból.

Ha incidenslétrehozási szabályokat használ a Microsoft egyéb biztonsági megoldásaihoz vagy a Defender XDR-be nem integrált termékekhez( például Microsoft Purview belső kockázatkezelés), és a Defender portálra való előkészítést tervezi, cserélje le az incidenslétrehozási szabályokat ütemezett elemzési szabályokra.

Előfeltételek

A biztonsági megoldás csatlakoztatásához telepítse a megfelelő megoldást a Microsoft Sentinel content hubjáról , és állítsa be az adatösszekötőt. További információ: A Microsoft Sentinel beépített tartalmainak és a Microsoft Sentinel adatösszekötőinek felderítése és kezelése.

Automatikus incidenslétrehozás engedélyezése az adatösszekötőben

A Microsoft biztonsági megoldásaiból létrehozott riasztásokból származó incidensek automatikus létrehozásának legközvetebb módja a megoldás adatösszekötőjének konfigurálása incidensek létrehozásához:

  1. Microsoft biztonsági megoldás adatforrásának csatlakoztatása.

    Képernyőkép az adatösszekötő konfigurációs képernyőjáról.

  2. Az Incidensek létrehozása – Ajánlott területen válassza az Engedélyezés lehetőséget az alapértelmezett elemzési szabály engedélyezéséhez, amely automatikusan létrehozza az incidenseket a csatlakoztatott biztonsági szolgáltatásban létrehozott riasztásokból. Ezután szerkesztheti ezt a szabályt az Elemzés, majd az Aktív szabályok területen.

    Fontos

    Ha nem látja ezt a szakaszt, akkor valószínűleg engedélyezte az incidensek integrációját a Microsoft Defender XDR-összekötőben, vagy a Microsoft Sentinelt a Defender portálra telepítette.

    Ez a cikk mindkét esetben nem vonatkozik a környezetére, mivel az incidenseket a Microsoft Defender korrelációs motorja hozza létre a Microsoft Sentinel helyett.

Incidenslétrehozás szabályainak létrehozása Microsoft Security-sablonból

A Microsoft Sentinel kész szabálysablonokat biztosít a Microsoft biztonsági szabályainak létrehozásához. Minden Microsoft-forrásmegoldás saját sablonnal rendelkezik. Van például egy Végponthoz készült Microsoft Defender, egy a Felhőhöz készült Microsoft Defender és így tovább. Hozzon létre egy szabályt minden olyan sablonból, amely megfelel a környezet megoldásainak, amelyekhez automatikusan létre szeretne hozni incidenseket. Módosítsa a szabályokat úgy, hogy konkrétabb beállításokat határozzon meg annak szűrésére, hogy mely riasztások okoznak incidenseket. Dönthet például úgy, hogy a Microsoft Sentinel-incidenseket automatikusan csak a Microsoft Defender for Identity magas súlyosságú riasztásaiból hozza létre.

  1. A Microsoft Sentinel navigációs menüjében, a Konfiguráció területen válassza az Elemzés lehetőséget.

  2. A Szabálysablonok lapon megtekintheti az összes elemzési szabálysablont. További szabálysablonokat a Microsoft Sentinel Tartalomközpontjában talál.

    Képernyőkép a szabálysablonok listájáról az Analytics lapon.

  3. A Microsoft biztonsági szabálytípus listájának szűrésével megtekintheti az incidensek Microsoft-riasztásokból való létrehozásához használt elemzési szabálysablonokat.

    Képernyőkép a Microsoft biztonsági szabálysablonjainak listájáról.

  4. Válassza ki annak a riasztási forrásnak a szabálysablont, amelyhez incidenseket szeretne létrehozni. Ezután a részletek panelen válassza a Szabály létrehozása lehetőséget.

    Képernyőkép a szabálysablon részleteinek panelről.

  5. Módosítsa a szabály részleteit, szűrje az incidenseket létrehozó riasztásokat a riasztás súlyossága vagy a riasztás nevében található szöveg alapján.

    Ha például a Microsoft biztonsági szolgáltatás mezőjében az Identitáshoz készült Microsoft Defendert választja, és a Szűrés súlyosság szerint mezőben a Magas lehetőséget választja, akkor csak a súlyosságú biztonsági riasztások hoznak létre automatikusan incidenseket a Microsoft Sentinelben.

    Képernyőkép a szabálylétrehozás varázslóról.

  6. Más elemzési szabályokhoz hasonlóan az Automatikus válasz fülre kattintva definiálhatja azokat az automatizálási szabályokat, amelyek akkor futnak, amikor a szabály incidenseket hoz létre.

Incidenslétrehozás szabályainak létrehozása az alapoktól

Létrehozhat egy új Microsoft biztonsági szabályt is, amely szűri a különböző Microsoft biztonsági szolgáltatások riasztását. Az Elemzés lapon válassza a Microsoft-incidenslétrehozási szabály létrehozása > lehetőséget.

Képernyőkép microsoftos biztonsági szabály létrehozásáról az Elemzés lapon.

Microsoft biztonsági szolgáltatástípusonként több Microsoft Security Analytics-szabályt is létrehozhat. Ez nem hoz létre ismétlődő incidenseket, ha szűrőket alkalmaz minden olyan szabályra, amely kizárja egymást.

Következő lépések