Freigeben über


Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen

Mit Microsoft Azure Sentinel in Zusammenhang stehende Warnungen, die in Microsoft-Sicherheitslösungen ausgelöst werden, wie Microsoft Defender for Cloud Apps und Microsoft Defender for Identity, erstellen nicht automatisch Incidents in Microsoft Azure Sentinel. Bei der Verbindung einer Microsoft-Lösung mit Microsoft Azure Sentinel werden alle in diesem Dienst generierten Warnungen standardmäßig in der SecurityAlert-Tabelle Ihrem Microsoft Azure Sentinel-Arbeitsbereich erfasst und gespeichert. Sie können diese Daten dann wie alle anderen Rohdaten verwenden, die Sie mit Microsoft Azure Sentinel erfassen.

Sie können Microsoft Azure Sentinel ganz einfach so konfigurieren, dass Incidents immer automatisch erstellt werden, wenn eine Warnung in einer verbundenen Microsoft-Sicherheitslösung ausgelöst wird. Befolgen Sie hierzu die Anweisungen in diesem Artikel.

Wichtig

Dieser Artikel gilt nicht, wenn Sie folgendes haben:

In diesen Szenarien erstellt Microsoft Defender XDR Vorfälle aus Warnungen, die in Microsoft-Diensten generiert werden.

Wenn Sie die Sicherheitsvorfallerstellungsregeln für andere Microsoft-Sicherheitslösungen oder Produkte verwenden, die nicht in Defender XDR integriert sind, z. B. Microsoft Purview Insider Risk Management, und Sie beabsichtigen, die einheitliche Plattform für Sicherheitsvorgänge im Defender-Portal zu integrieren, ersetzen Sie Ihre Regeln zur Erstellung von Vorfällen durch geplante Analyseregeln.

Voraussetzungen

Verbinden Sie Ihre Sicherheitslösung, indem Sie die entsprechende Lösung über den Content Hub in Microsoft Sentinel installieren und den Datenconnector einrichten. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte und Microsoft Sentinel-Datenconnectors.

Aktivieren der automatischen Vorfallgenerierung im Datenconnector

Die direkteste Möglichkeit zum automatischen Erstellen von Vorfällen aus Warnungen, die von Microsoft-Sicherheitslösungen generiert werden, besteht darin, den Datenconnector der Lösung so zu konfigurieren, dass er Vorfälle erstellt:

  1. Verbinden Sie eine Microsoft-Sicherheitslösungsdatenquelle.

    Screenshot des Bildschirms für die Konfiguration des Datenconnectors.

  2. Wählen Sie unter Vorfälle erstellen die Option Aktivieren aus, um die Standardanalyseregel zu aktivieren, die automatisch Vorfälle aus den im verbundenen Sicherheitsdienst generierten Warnungen erstellt. Anschließend können Sie diese Regel unter Analytics und dann unter Aktive Regeln bearbeiten.

    Wichtig

    Wenn dieser Abschnitt nicht wie dargestellt angezeigt wird, haben Sie wahrscheinlich die Integration von Vorfällen in Ihrem Microsoft Defender XDR-Connector aktiviert oder Microsoft Sentinel in die Unified Security Operations Platform im Microsoft Defender-Portal integriert.

    In beiden Fällen gilt dieser Artikel nicht für Ihre Umgebung, da Ihre Vorfälle vom Microsoft Defender-Korrelationsmodul und nicht von Microsoft Sentinel erstellt werden.

Erstellen von Regeln zum Erstellen von Vorfällen mithilfe einer Microsoft Security-Vorlage

Microsoft Sentinel bietet vorgefertigte Regelvorlagen zum Erstellen von Microsoft Security-Regeln. Jede Microsoft-Quelllösung verfügt über eine eigene Vorlage. So gibt es beispielsweise eine Vorlage für Microsoft Defender for Endpoint, eine für Microsoft Defender for Cloud usw. Erstellen für die Lösungen in ihrer Umgebung, für die Sie automatisch Vorfälle erstellen möchten, mithilfe der jeweils passenden Vorlage eine Regel. Ändern Sie die Regeln, um spezifischere Filteroptionen zu definieren, die festlegen, welche Warnungen zu Vorfällen führen sollen. Sie können beispielsweise festlegen, dass Vorfälle in Microsoft Sentinel nur aufgrund von Microsoft Defender for Identity-Warnungen mit hohem Schweregrad erstellt werden.

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel unter Konfiguration die Option Analyse aus.

  2. Wählen Sie die Registerkarte Regelvorlagen aus, um alle Analyseregelvorlagen anzuzeigen. Weitere Regelvorlagen finden Sie im Inhaltshub in Microsoft Sentinel.

    Screenshot der Liste der Regelvorlagen auf der Seite „Analysen“.

  3. Filtern Sie die Liste nach dem Regeltyp Microsoft Security, um die Analyseregelvorlagen zum Erstellen von Vorfällen aus Microsoft-Warnungen anzuzeigen.

    Screenshot der Liste der Microsoft-Sicherheitsregelvorlagen.

  4. Wählen Sie die Regelvorlage für die Warnungsquelle aus, für die Sie Vorfälle erstellen möchten. Wählen Sie im Bereich „Details“ die Option Regel erstellen aus.

    Screenshot des Bereichs „Details“ der Regelvorlage.

  5. Sie können die Details der Regel ändern und die Warnungen, die zur Erstellung von Vorfällen führen, nach dem Schweregrad der Warnung oder dem Text im Namen der Warnung filtern.

    Wenn Sie beispielsweise Microsoft Defender for Identity im Feld Microsoft-Sicherheitsdienst und anschließend Hoch im Feld Filtern nach Schweregrad auswählen, erzeugen nur Sicherheitswarnungen mit hohem Schweregrad automatisch Vorfälle in Microsoft Sentinel.

    Screenshot des Assistenten zum Erstellen von Regeln.

  6. Wählen Sie wie bei anderen Arten von Analyseregeln die Registerkarte Automatisierte Antwort aus, um Automatisierungsregeln zu definieren, die ausgeführt werden, wenn aufgrund dieser Regel Vorfälle erstellt werden.

Erstellen von Regeln für die Erstellung von Vorfällen ohne Vorlage

Sie können auch eine neue Microsoft-Sicherheitsregel erstellen, die Warnungen verschiedener Microsoft-Sicherheitsdienste filtert. Wählen Sie auf der Seite Analyse die Option Erstellen > Microsoft-Vorfallerstellungsregelaus.

Screenshot, der das Erstellen einer Microsoft-Sicherheitsregel auf der Seite „Analysen“ zeigt.

Sie können mehr als eine Microsoft-Sicherheitsanalyseregel pro Microsoft-Sicherheitsdiensttyp erstellen. Dadurch werden keine doppelten Vorfälle erstellt, wenn Sie Filter, die einander ausschließen, auf die einzelnen Regeln anwenden.

Nächste Schritte