你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

自动根据 Microsoft 安全警报创建事件

在 Microsoft Defender for Cloud 应用和 Microsoft Defender for Identity 之类的已连接到 Microsoft Sentinel 的 Microsoft 安全解决方案中触发的警报不会自动在 Microsoft Sentinel 中创建事件。 默认情况下,在将 Microsoft 解决方案连接到 Microsoft Sentinel 时,在该服务中生成的任何警报都将引入并存储在 Microsoft Sentinel 工作区的“SecurityAlert”表中。 然后即可使用该数据,就像使用引入到 Microsoft Sentinel 中时的任何其他原始数据一样。

可以按照本文中的说明操作,轻松地将 Microsoft Sentinel 配置为每次在连接的 Microsoft 安全解决方案中触发警报时自动创建事件。

重要

本文不适用于以下情形

在这些方案中,Microsoft Defender XDR 会根据在 Microsoft 服务中生成的警报创建事件

如果使用事件创建规则用于未集成到 Defender XDR 的其他Microsoft安全解决方案或产品,例如 Microsoft Purview Insider Risk Management,并且你计划加入 Defender 门户中的统一安全运营平台,请将事件创建规则替换为计划分析规则

先决条件

通过从 Microsoft Sentinel 中的“内容中心”安装相应的解决方案并设置数据连接器来连接安全解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容以及 Microsoft Sentinel 数据连接器

在数据连接器中启用自动事件生成

从 Microsoft 安全解决方案生成的警报中自动创建事件的最直接方法是配置解决方案的数据连接器以创建事件:

  1. 连接 Microsoft 安全解决方案数据源。

    数据连接器配置屏幕的屏幕截图。

  2. 在“创建事件 - 建议”下选择“启用”,以便启用默认的分析规则,这样,当连接的安全服务中生成警报时,就会自动创建事件。 然后,可以在“分析”下的“活动规则”中编辑此规则。

    重要

    如果你没有看到如图所示的此部分,你很可能已经在 Microsoft Defender XDR 连接器中启用了事件集成,或者已经在 Microsoft Defender 门户中将 Microsoft Sentinel 加入到统一安全运营平台。

    无论哪种情况,本文都不适用于你的环境,因为你的事件是由 Microsoft Defender 关联引擎而不是 Microsoft Sentinel 创建的。

从 Microsoft 安全模板创建事件创建规则

Microsoft Sentinel 提供现成的规则模板,用于创建 Microsoft 安全规则。 每个 Microsoft 源解决方案都有自己的模板。 例如,Microsoft Defender for Endpoint 有一个,Microsoft Defender for Cloud 有一个,以此类推。 从每个模板中创建一个规则,该规则与你希望为其自动创建事件的环境中的解决方案相对应。 修改规则以定义更具体的选项,用于筛选哪些警报应导致事件。 例如,可以选择仅从 Microsoft Defender for Identity 的高严重性警报中自动创建 Microsoft Sentinel 事件。

  1. 从 Microsoft Sentinel 导航菜单中的“配置”下,选择“分析”

  2. 选择“规则模板”选项卡,查看所有分析规则模板。 若要查找更多规则模板,请转到 Microsoft Sentinel 中的“内容中心”。

    “分析”页中规则模板列表的屏幕截图。

  3. 筛选列表以显示 Microsoft 安全规则类型,查看用于从 Microsoft 警报创建事件的分析规则模板

    Microsoft 安全规则模板列表的屏幕截图。

  4. 选择要为其创建事件的警报来源的规则模板。 然后,在详细内容窗格中,选择“创建规则”

    规则模板详细信息面板的屏幕截图。

  5. 修改规则详细信息,按警报严重性或警报名称中包含的文本来筛选将要创建事件的警报。

    例如,如果在“Microsoft 安全服务”字段中选择“Microsoft Defender for Identity”,并在“按严重性筛选”字段中选择“高”,则只有严重性高的安全警报才会自动在 Microsoft Sentinel 中创建事件

    规则创建向导的屏幕截图。

  6. 与其他类型的分析规则一样,选择“自动响应”选项卡可定义在此规则创建事件时运行的自动规则

从头开始创建事件创建规则

也可创建新的 Microsoft 安全规则来筛选不同的 Microsoft 安全服务提供的警报。 在“分析”页上,选择“创建”>“Microsoft 事件创建规则”

在“分析”页上创建 Microsoft 安全规则的屏幕截图。

可以按“Microsoft 安全服务”类型创建多条 Microsoft 安全分析规则 。 如果在每个规则上应用相互排除的筛选器,则这不会创建重复的事件。

后续步骤