Incidensek automatikus létrehozása a Microsoft biztonsági riasztásaiból
A Microsoft Sentinelhez csatlakoztatott Microsoft biztonsági megoldásokban ( például Felhőhöz készült Microsoft Defender Apps és Microsoft Defender for Identity) aktivált riasztások nem hoznak létre automatikusan incidenseket a Microsoft Sentinelben. Ha microsoftos megoldást csatlakoztat a Microsoft Sentinelhez, a szolgáltatásban létrehozott riasztások alapértelmezés szerint a Microsoft Sentinel-munkaterület SecurityAlert táblájában lesznek betöltve és tárolva. Ezután ezeket az adatokat a Microsoft Sentinelbe betöltött többi nyers adathoz hasonlóan használhatja.
Egyszerűen konfigurálhatja a Microsoft Sentinelt arra, hogy automatikusan hozzon létre incidenseket minden alkalommal, amikor egy riasztás aktiválódik egy csatlakoztatott Microsoft biztonsági megoldásban, a jelen cikkben található utasításokat követve.
Fontos
Ez a cikk nem vonatkozik az alábbi esetekben :
- Engedélyezett Microsoft Defender XDR-incidensintegráció, vagy
- Előkészítette a Microsoft Sentinelt a Microsoft Defender portálra.
Ezekben a forgatókönyvekben a Microsoft Defender XDR incidenseket hoz létre a Microsoft-szolgáltatások létrehozott riasztásokból.
Ha incidenslétrehozási szabályokat használ a Microsoft egyéb biztonsági megoldásaihoz vagy a Defender XDR-be nem integrált termékekhez( például Microsoft Purview belső kockázatkezelés), és a Defender portálra való előkészítést tervezi, cserélje le az incidenslétrehozási szabályokat ütemezett elemzési szabályokra.
Előfeltételek
A biztonsági megoldás csatlakoztatásához telepítse a megfelelő megoldást a Microsoft Sentinel content hubjáról , és állítsa be az adatösszekötőt. További információ: A Microsoft Sentinel beépített tartalmainak és a Microsoft Sentinel adatösszekötőinek felderítése és kezelése.
Automatikus incidenslétrehozás engedélyezése az adatösszekötőben
A Microsoft biztonsági megoldásaiból létrehozott riasztásokból származó incidensek automatikus létrehozásának legközvetebb módja a megoldás adatösszekötőjének konfigurálása incidensek létrehozásához:
Microsoft biztonsági megoldás adatforrásának csatlakoztatása.
Az Incidensek létrehozása – Ajánlott területen válassza az Engedélyezés lehetőséget az alapértelmezett elemzési szabály engedélyezéséhez, amely automatikusan létrehozza az incidenseket a csatlakoztatott biztonsági szolgáltatásban létrehozott riasztásokból. Ezután szerkesztheti ezt a szabályt az Elemzés, majd az Aktív szabályok területen.
Fontos
Ha nem látja ezt a szakaszt, akkor valószínűleg engedélyezte az incidensek integrációját a Microsoft Defender XDR-összekötőben, vagy a Microsoft Sentinelt a Defender portálra telepítette.
Ez a cikk mindkét esetben nem vonatkozik a környezetére, mivel az incidenseket a Microsoft Defender korrelációs motorja hozza létre a Microsoft Sentinel helyett.
Incidenslétrehozás szabályainak létrehozása Microsoft Security-sablonból
A Microsoft Sentinel kész szabálysablonokat biztosít a Microsoft biztonsági szabályainak létrehozásához. Minden Microsoft-forrásmegoldás saját sablonnal rendelkezik. Van például egy Végponthoz készült Microsoft Defender, egy a Felhőhöz készült Microsoft Defender és így tovább. Hozzon létre egy szabályt minden olyan sablonból, amely megfelel a környezet megoldásainak, amelyekhez automatikusan létre szeretne hozni incidenseket. Módosítsa a szabályokat úgy, hogy konkrétabb beállításokat határozzon meg annak szűrésére, hogy mely riasztások okoznak incidenseket. Dönthet például úgy, hogy a Microsoft Sentinel-incidenseket automatikusan csak a Microsoft Defender for Identity magas súlyosságú riasztásaiból hozza létre.
A Microsoft Sentinel navigációs menüjében, a Konfiguráció területen válassza az Elemzés lehetőséget.
A Szabálysablonok lapon megtekintheti az összes elemzési szabálysablont. További szabálysablonokat a Microsoft Sentinel Tartalomközpontjában talál.
A Microsoft biztonsági szabálytípus listájának szűrésével megtekintheti az incidensek Microsoft-riasztásokból való létrehozásához használt elemzési szabálysablonokat.
Válassza ki annak a riasztási forrásnak a szabálysablont, amelyhez incidenseket szeretne létrehozni. Ezután a részletek panelen válassza a Szabály létrehozása lehetőséget.
Módosítsa a szabály részleteit, szűrje az incidenseket létrehozó riasztásokat a riasztás súlyossága vagy a riasztás nevében található szöveg alapján.
Ha például a Microsoft biztonsági szolgáltatás mezőjében az Identitáshoz készült Microsoft Defendert választja, és a Szűrés súlyosság szerint mezőben a Magas lehetőséget választja, akkor csak a súlyosságú biztonsági riasztások hoznak létre automatikusan incidenseket a Microsoft Sentinelben.
Más elemzési szabályokhoz hasonlóan az Automatikus válasz fülre kattintva definiálhatja azokat az automatizálási szabályokat, amelyek akkor futnak, amikor a szabály incidenseket hoz létre.
Incidenslétrehozás szabályainak létrehozása az alapoktól
Létrehozhat egy új Microsoft biztonsági szabályt is, amely szűri a különböző Microsoft biztonsági szolgáltatások riasztását. Az Elemzés lapon válassza a Microsoft-incidenslétrehozási szabály létrehozása > lehetőséget.
Microsoft biztonsági szolgáltatástípusonként több Microsoft Security Analytics-szabályt is létrehozhat. Ez nem hoz létre ismétlődő incidenseket, ha szűrőket alkalmaz minden olyan szabályra, amely kizárja egymást.
Következő lépések
- A Microsoft Sentinel használatának megkezdéséhez a Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Megtudhatja, hogyan hozhatja be az adatokat a Microsoft Sentinelbe, és hogyan ismerheti meg adatait és potenciális fenyegetéseit.