共用方式為


將警示關聯至 Microsoft Sentinel 中的事件

本文說明如何讓警示與 Microsoft Sentinel 中的事件產生關聯。 這項功能可讓您手動或自動新增警示,或將其從現有事件新增為調查程式的一部分,並隨著調查展開而精簡事件範圍。

重要

事件擴充目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

擴充事件的範圍和能力

這項功能可讓您執行的其中一件事,是在另一個數據源所產生的事件中包含來自某個數據源的警示。 例如,您可以將來自 適用於雲端的 Microsoft Defender 或來自各種第三方數據源的警示新增至從 Microsoft Defender 全面偵測回應 匯入至 Microsoft Sentinel 的事件。

這項功能內建於最新版的 Microsoft Sentinel API 中,這表示 Microsoft Sentinel 的 Logic Apps 連接器可以使用此功能。 因此,您可以使用劇本,在符合特定條件時自動將警示新增至事件。

您也可以使用此自動化將警示新增至 手動建立的事件、建立自定義相互關聯,或定義在建立警示時將警示分組成事件的自定義準則。

限制

  • Microsoft Sentinel 會從 Microsoft Defender 全面偵測回應 匯入警示和事件。 在大多數情況下,您可以處理這些警示和事件,例如一般 Microsoft Sentinel 警示和事件。

    不過,您只能在 Defender 入口網站中將 Defender 警示新增至 Defender 事件(或將其移除),而不是在 Sentinel 入口網站中。 如果您在 Microsoft Sentinel 中嘗試這樣做,您會收到錯誤訊息。 您可以使用 Microsoft Sentinel 事件中的連結,在 Microsoft Defender 入口網站中樞紐分析事件。 不過,別擔心- 您在 Microsoft Defender 入口網站中對事件所做的任何變更都會 與 Microsoft Sentinel 中的平行事件同步 處理,因此您仍會在 Sentinel 入口網站中看到事件中新增的警示。

    您可以在 Microsoft Sentinel 入口網站中,將 Microsoft Defender 全面偵測回應 警示新增至非 Defender 事件,並將非 Defender 警示新增至 Defender 事件。

  • 如果您將 Microsoft Sentinel 上線至統一的安全性作業入口網站,您就無法再將 Microsoft Sentinel 警示新增至事件,或從 Microsoft Sentinel 事件中移除 Microsoft Sentinel 警示(Azure 入口網站)。 您只能在 Microsoft Defender 入口網站中執行此動作。 如需詳細資訊,請參閱 入口網站之間的功能差異。

  • 事件最多可以包含150個警示。 如果您嘗試將警示新增至事件中有150個警示,您會收到錯誤訊息。

使用實體時程表新增警示 (預覽)

實體時間軸,如新 事件體驗 中特別提供的功能(現在為預覽版),會在特定事件調查中呈現所有實體。 選取清單中的實體時,側邊面板中會顯示縮圖實體頁面。

  1. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件]。

    網格線中顯示的新事件佇列螢幕快照。

  2. 選取要調查的事件。 在 [事件詳細數據] 面板中,選取 [ 檢視完整詳細數據]。

  3. 在事件頁面中,選取 [ 實體] 索引 標籤。

    事件頁面中實體索引標籤的螢幕快照。

  4. 從清單中選取實體。

  5. 在實體頁面側邊面板中,選取 [時程表] 卡片。

    事件頁面 [實體] 索引卷標中實體時間軸卡片的螢幕快照。

  6. 選取開啟事件外部的警示。 這些會以灰色的盾牌圖示和代表嚴重性之虛線色彩帶表示。 選取該警示右側的加號圖示。

    實體時間軸中外部警示外觀的螢幕快照。

  7. 選取 [ 確定],確認將警示新增至事件。 您會收到通知,確認將警示新增至事件,或說明未新增警示的原因。 將警示新增至實體時間軸中事件的螢幕快照。

您會看到新增的警示現在會出現在開啟事件的 [時程表] 小工具的 [概觀] 索引卷標中,其中包含全色盾牌圖示和純線色彩帶,就像事件中的其他任何警示一樣。

新增的警示現在是事件的完整部分,且新增警示中的任何實體(尚未屬於事件的一部分)也已成為事件的一部分。 您現在可以探索這些實體的其他警示時程表,這些警示現在有資格新增至事件。

從事件中移除警示

已新增至事件的警示也可以手動或自動從事件中移除。

  1. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件]。

  2. 選取要調查的事件。 在 [事件詳細數據] 面板中,選取 [ 檢視完整詳細數據]。

  3. 在 [概觀] 索引標籤的 [事件時間軸] 小工具中,選取您想要從事件中移除之警示旁的三個點。 從彈出視窗中,選取 [ 移除警示]。

    顯示如何在事件時間軸中從事件中移除警示的螢幕快照。

使用調查圖表新增警示

調查 圖表 是一種可視化、直覺的工具,可呈現連線和模式,並讓您的分析師提出正確的問題並遵循潛在客戶。 您可以使用它來新增警示,並將其從事件中移除、擴大或縮小調查範圍。

  1. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件]。

    方格中顯示的事件佇列螢幕快照。

  2. 選取要調查的事件。 在事件詳細數據面板中,選取 [ 動作] 按鈕,然後 從彈出視窗中選擇 [調查 ]。 這會開啟調查圖表。

    調查圖表中具有警示的事件螢幕快照。

  3. 將滑鼠停留在任何實體上,以顯示其端的 探索查詢 清單。 選取 [相關警示]。

    調查圖表中警示探索查詢的螢幕快照。

    相關警示會以虛線顯示到實體。

    顯示在調查圖表中相關警示的螢幕快照。

  4. 將滑鼠停留在其中一個相關的警示上,直到功能表彈出到其側邊為止。 選取 [將警示新增至事件][預覽]。

    將警示新增至調查圖表中事件的螢幕快照。

  5. 警示會新增至事件,並針對所有用途是事件的一部分,以及其所有實體和詳細數據。 您會看到這兩個視覺表示法:

    • 將它連接到調查圖表中實體的線條已從虛線變更為實心,且已新增警示中的實體連線已新增至圖形。

      此螢幕快照顯示已新增至事件的警示。

    • 警示現在會出現在此事件的時程表中,以及已經存在的警示。

      顯示已新增至事件時程表之警示的螢幕快照。

特殊情況

將警示新增至事件時,視情況而定,系統可能會要求您確認您的要求,或選擇不同的選項。 以下是這些情況的一些範例、系統會要求您做出的選擇,以及其影響。

  • 您想要新增的警示已經屬於另一個事件。

    在此情況下,您會看到一則訊息,告知您警示是另一個事件或事件的一部分,並詢問您是否要繼續。 選取 [ 確定 ] 以新增警示或 [取消 ] 以保留其狀態。

    將警示新增至此事件 將不會從任何其他事件中移除 。 警示可以與多個事件相關。 如果您想要,您可以遵循上述訊息提示中的連結,手動從其他事件移除警示。

  • 您想要新增的警示屬於另一個事件,而它是另一個事件中唯一的警示。

    這與上述案例不同,因為如果警示單獨在其他事件中,追蹤此事件可能會使其他事件無關。 因此,在此情況下,您會看到此對話框:

    詢問是否要保留或關閉其他事件的螢幕快照。

    • 將其他事件 保留為另一個事件,同時將警示新增至此事件。

    • 關閉其他事件 會將警示新增至此事件並關閉另一個事件,並新增結尾原因「未確定」,並將批註「警示新增至另一個事件」,並加上已開啟事件號碼。

    • 取消 會留下現狀。 它不會變更開啟事件或任何其他參考的事件。

    您選擇的其中哪一個選項取決於您的特定需求;我們不建議選擇另一個。

使用劇本新增/移除警示

在 Microsoft Sentinel 連接器中新增和移除警示也可作為 Logic Apps 動作使用,因此也會在 Microsoft Sentinel 劇本中使用。 您需要提供 事件 ARM 識別碼系統警示標識碼 做為參數,而且您可以在警示和事件觸發程式的劇本架構中找到它們。

Microsoft Sentinel 提供範本資源庫中的範例劇本範本,示範如何使用這項功能:

劇本範本的螢幕快照,用於將警示與事件建立關聯。

以下是 此劇本中如何使用新增警示至事件 (預覽) 動作,例如如何在其他地方使用它:

使用劇本動作將警示新增至事件的螢幕快照。

使用 API 新增/移除警示

您不限於入口網站來使用這項功能。 它也可以透過 Microsoft Sentinel API,透過 事件關聯 作業群組來存取。 它可讓您取得、建立、更新和刪除警示與事件之間的關聯性。

建立關聯

您可以藉由建立事件之間的關聯性,將警示新增至事件。 使用下列端點將警示新增至現有的事件。 提出此要求之後,警示會聯結事件,且會顯示在入口網站中事件中的警示清單中。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

要求本文看起來像這樣:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
} 

刪除關聯性

您可以藉由刪除事件之間的關聯性,從事件中移除警示。 使用下列端點從現有的事件中移除警示。 提出此要求之後,警示將不再連線到事件中或出現在事件中。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

列出警示關聯性

您也可以使用此端點和要求,列出與特定事件相關的所有警示:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

特定錯誤碼

般 API 檔會列出上述建立刪除清單作業的預期回應碼。 錯誤碼只會提及為一般類別。 以下是 [其他狀態代碼] 類別下所列的可能特定錯誤碼和訊息:

代碼 訊息
400 不正確的要求 無法建立關聯。 事件 {incidentIdentifier} 中已有名稱為 {relationName} 的不同關聯類型。
400 不正確的要求 無法建立關聯。 事件 {incidentIdentifier} 中已經存在警示 {systemAlertId}。
400 不正確的要求 無法建立關聯。 相關的資源和事件應該屬於相同的工作區。
400 不正確的要求 無法建立關聯。 Microsoft Defender 全面偵測回應 警示無法新增至 Microsoft Defender 全面偵測回應 事件。
400 不正確的要求 無法刪除關聯。 無法從 Microsoft Defender 全面偵測回應 事件中移除 Microsoft Defender 全面偵測回應 警示。
404 找不到 資源 '{systemAlertId}' 不存在。
404 找不到 事件不存在。
409 衝突 無法建立關聯。 名稱為 {relationName} 的關聯已存在於事件 {incidentIdentifier} 中,與不同的警示 {systemAlertId}。

下一步

在本文中,您已瞭解如何將警示新增至事件,並使用 Microsoft Sentinel 入口網站和 API 加以移除。 如需詳細資訊,請參閱