Udostępnij za pośrednictwem


Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft

Alerty wyzwalane w rozwiązaniach zabezpieczeń firmy Microsoft połączonych z usługą Microsoft Sentinel, takich jak aplikacje Microsoft Defender dla Chmury i usługa Microsoft Defender for Identity, nie tworzą automatycznie zdarzeń w usłudze Microsoft Sentinel. Domyślnie po połączeniu rozwiązania firmy Microsoft z usługą Microsoft Sentinel każdy alert wygenerowany w tej usłudze zostanie pozyskany i zapisany w tabeli SecurityAlert w obszarze roboczym usługi Microsoft Sentinel. Następnie możesz użyć tych danych, takich jak inne nieprzetworzone dane pozyskane do usługi Microsoft Sentinel.

Usługę Microsoft Sentinel można łatwo skonfigurować tak, aby automatycznie tworzyć zdarzenia przy każdym wyzwoleniu alertu w połączonym rozwiązaniu zabezpieczeń firmy Microsoft, postępując zgodnie z instrukcjami w tym artykule.

Ważne

Ten artykuł nie ma zastosowania, jeśli masz następujące elementy :

  • Włączono integrację z incydentami XDR w usłudze Microsoft Defender lub
  • Dołączono usługę Microsoft Sentinel do portalu usługi Microsoft Defender.

W tych scenariuszach usługa Microsoft Defender XDR tworzy zdarzenia na podstawie alertów generowanych w usługi firmy Microsoft.

Jeśli używasz reguł tworzenia zdarzeń dla innych rozwiązań zabezpieczeń lub produktów firmy Microsoft, które nie są zintegrowane z usługą Defender XDR, takich jak Zarządzanie ryzykiem wewnętrznym w Microsoft Purview, i planujesz dołączyć do portalu Defender, zastąp reguły tworzenia zdarzeń zaplanowanymi regułami analizy.

Wymagania wstępne

Połącz rozwiązanie zabezpieczeń, instalując odpowiednie rozwiązanie z centrum zawartości w usłudze Microsoft Sentinel i konfigurując łącznik danych. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nimi oraz łączniki danych usługi Microsoft Sentinel.

Włączanie automatycznego generowania zdarzeń w łączniku danych

Najbardziej bezpośrednim sposobem automatycznego tworzenia zdarzeń z alertów generowanych na podstawie rozwiązań zabezpieczeń firmy Microsoft jest skonfigurowanie łącznika danych rozwiązania w celu utworzenia zdarzeń:

  1. Łączenie źródła danych rozwiązania zabezpieczeń firmy Microsoft.

    Zrzut ekranu przedstawiający ekran konfiguracji łącznika danych.

  2. W obszarze Tworzenie zdarzeń — zalecane wybierz pozycję Włącz , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów generowanych w połączonej usłudze zabezpieczeń. Następnie możesz edytować tę regułę w obszarze Analiza , a następnie aktywne reguły.

    Ważne

    Jeśli ta sekcja nie jest widoczna, najprawdopodobniej włączono integrację z incydentami w łączniku XDR usługi Microsoft Defender lub dołączono usługę Microsoft Sentinel do portalu usługi Defender.

    W obu przypadkach ten artykuł nie ma zastosowania do twojego środowiska, ponieważ zdarzenia są tworzone przez aparat korelacji usługi Microsoft Defender zamiast przez usługę Microsoft Sentinel.

Tworzenie reguł tworzenia zdarzeń na podstawie szablonu zabezpieczeń firmy Microsoft

Usługa Microsoft Sentinel udostępnia gotowe szablony reguł do tworzenia reguł zabezpieczeń firmy Microsoft. Każde rozwiązanie źródłowe firmy Microsoft ma własny szablon. Na przykład istnieje jeden dla Ochrona punktu końcowego w usłudze Microsoft Defender, jeden dla Microsoft Defender dla Chmury itd. Utwórz regułę na podstawie każdego szablonu, który odpowiada rozwiązaniom w danym środowisku, dla którego chcesz automatycznie tworzyć zdarzenia. Zmodyfikuj reguły, aby zdefiniować bardziej szczegółowe opcje filtrowania, które alerty powinny powodować zdarzenia. Możesz na przykład automatycznie tworzyć zdarzenia usługi Microsoft Sentinel tylko z alertów o wysokiej ważności z usługi Microsoft Defender for Identity.

  1. Z menu nawigacji usługi Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wybierz kartę Szablony reguł, aby wyświetlić wszystkie szablony reguł analizy. Aby znaleźć więcej szablonów reguł, przejdź do centrum zawartości w usłudze Microsoft Sentinel.

    Zrzut ekranu przedstawiający listę szablonów reguł na stronie Analiza.

  3. Filtruj listę typów reguł zabezpieczeń firmy Microsoft, aby wyświetlić szablony reguł analitycznych na potrzeby tworzenia zdarzeń na podstawie alertów firmy Microsoft.

    Zrzut ekranu przedstawiający listę szablonów reguł zabezpieczeń firmy Microsoft.

  4. Wybierz szablon reguły dla źródła alertu, dla którego chcesz utworzyć zdarzenia. Następnie w okienku szczegółów wybierz pozycję Utwórz regułę.

    Zrzut ekranu przedstawiający panel szczegółów szablonu reguły.

  5. Zmodyfikuj szczegóły reguły, filtrując alerty, które będą tworzyć zdarzenia według ważności alertu lub tekstu zawartego w nazwie alertu.

    Jeśli na przykład wybierzesz usługę Microsoft Defender for Identity w polu Usługa zabezpieczeń firmy Microsoft i wybierzesz pozycję Wysoki w polu Filtruj według ważności , tylko alerty zabezpieczeń o wysokiej ważności będą automatycznie tworzyć zdarzenia w usłudze Microsoft Sentinel.

    Zrzut ekranu kreatora tworzenia reguły.

  6. Podobnie jak w przypadku innych typów reguł analizy, wybierz kartę Automatyczna odpowiedź , aby zdefiniować reguły automatyzacji uruchamiane podczas tworzenia zdarzeń przez tę regułę.

Tworzenie reguł tworzenia zdarzeń od podstaw

Możesz również utworzyć nową regułę zabezpieczeń firmy Microsoft, która filtruje alerty z różnych usług zabezpieczeń firmy Microsoft. Na stronie Analiza wybierz pozycję Utwórz > regułę tworzenia zdarzeń firmy Microsoft.

Zrzut ekranu przedstawiający tworzenie reguły zabezpieczeń firmy Microsoft na stronie Analiza.

Na typ usługi zabezpieczeń firmy Microsoft można utworzyć więcej niż jedną regułę analizy zabezpieczeń firmy Microsoft. Nie powoduje to utworzenia zduplikowanych zdarzeń w przypadku zastosowania filtrów dla każdej reguły wykluczających się nawzajem.

Następne kroki