Condividi tramite

Correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel nel portale di Azure

  • Articolo
  • Si applica a: Microsoft Sentinel in the Azure portal

Questo articolo illustra come correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel. Questa funzionalità consente di aggiungere manualmente o automaticamente avvisi o rimuoverli da eventi imprevisti esistenti nel portale di Azure come parte dei processi di indagine, affinando l'ambito dell'evento imprevisto durante l'esecuzione dell'indagine.

Importante

L'espansione degli incidenti è attualmente in fase di anteprima. Le condizioni supplementari per l'anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Espandere l'ambito e la portata dei tuoi incidenti

Una cosa che questa funzionalità consente di eseguire è includere avvisi provenienti da un'origine dati in eventi imprevisti generati da un'altra origine dati. Ad esempio, è possibile aggiungere avvisi da Microsoft Defender for Cloud o da varie origini dati di terze parti, agli eventi imprevisti importati in Microsoft Sentinel da Microsoft Defender XDR.

Questa funzionalità è integrata nella versione più recente dell'API di Microsoft Sentinel, rendendola disponibile con il connettore Logic Apps per Microsoft Sentinel. È quindi possibile usare i playbook per aggiungere automaticamente un avviso a un evento imprevisto se vengono soddisfatte determinate condizioni.

È anche possibile usare questa automazione per aggiungere avvisi a eventi imprevisti creati manualmente, per creare correlazioni personalizzate o per definire criteri personalizzati per raggruppare gli avvisi in eventi imprevisti al momento della creazione.

Limitazioni

  • Microsoft Sentinel importa sia avvisi che eventi imprevisti da Microsoft Defender XDR. Nella maggior parte dei casi, è possibile gestire questi avvisi e eventi imprevisti, ad esempio gli avvisi e gli eventi imprevisti normali di Microsoft Sentinel.

    Tuttavia, è possibile aggiungere avvisi di Defender solo agli eventi imprevisti di Defender (o rimuoverli) nel portale di Defender, non nel portale di Sentinel. Se si tenta di eseguire questa operazione in Microsoft Sentinel, verrà visualizzato un messaggio di errore. È possibile passare all'evento imprevisto nel portale di Microsoft Defender usando il collegamento nell'evento imprevisto di Microsoft Sentinel. Tuttavia, le modifiche apportate all'evento imprevisto nel portale di Microsoft Defender vengono sincronizzate con l'evento imprevisto parallelo in Microsoft Sentinel, quindi gli avvisi aggiunti verranno comunque visualizzati nel portale di Sentinel.

    È possibile aggiungere avvisi XDR di Microsoft Defender a eventi imprevisti non Defender e avvisi non Defender agli eventi imprevisti di Defender nel portale di Microsoft Sentinel.

  • Se è stato eseguito l'onboarding di Microsoft Sentinel nel portale delle operazioni di sicurezza unificato, non è più possibile aggiungere avvisi di Microsoft Sentinel agli eventi imprevisti o rimuovere gli avvisi di Microsoft Sentinel dagli eventi imprevisti in Microsoft Sentinel (nel portale di Azure). Questa operazione può essere eseguita solo nel portale di Microsoft Defender. Per altre informazioni, vedere Differenze di funzionalità tra i portali.

  • Un evento imprevisto può contenere un massimo di 150 avvisi. Se si tenta di aggiungere un avviso a un evento imprevisto con 150 avvisi, verrà visualizzato un messaggio di errore.

Aggiungere avvisi usando la sequenza temporale dell'entità (anteprima)

La sequenza temporale dell'entità, come illustrato nella nuova esperienza degli incidenti (ora in anteprima), presenta tutte le entità in una particolare indagine sugli incidenti. Quando viene selezionata un'entità nell'elenco, viene visualizzata una pagina di entità in miniatura in un pannello laterale.

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

    Screenshot della nuova coda di incidenti visualizzata in una griglia.

  2. Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare Visualizza dettagli completi.

  3. Nella pagina evento imprevisto selezionare la scheda Entità .

    Screenshot della scheda entità nella pagina degli eventi imprevisti.

  4. Seleziona un'entità nell'elenco.

  5. Nel pannello laterale della pagina dell'entità selezionare la scheda Sequenza temporale .

    Screenshot della scheda sequenza temporale dell'entità nella scheda entità della pagina degli eventi imprevisti.

  6. Selezionare un avviso esterno all'incidente aperto. Questi sono indicati da un'icona a forma di scudo in grigio e da una fascia di colore tratteggiata che rappresenta la gravità. Selezionare l'icona del segno più sul lato destro dell'avviso.

    Screenshot dell'aspetto di un avviso esterno nella cronologia dell'entità.

  7. Confermare l'aggiunta dell'avviso all'evento imprevisto selezionando OK. Si riceverà una notifica che conferma l'aggiunta dell'avviso all'evento imprevisto o spiega il motivo per cui non è stato aggiunto. Screenshot dell'aggiunta di un avviso a un evento imprevisto nella sequenza temporale dell'entità.

Si noterà che l'avviso aggiunto viene ora visualizzato nel widget Sequenza temporale dell'incidente aperto nella scheda Panoramica, con un'icona di scudo a colori completi e una banda di colore a tinta unita come qualsiasi altro avviso nell'incidente.

L'avviso aggiunto è ora una parte completa dell'evento imprevisto e anche tutte le entità nell'avviso aggiunto (che non fanno già parte dell'evento imprevisto) fanno parte dell'evento imprevisto. È ora possibile esplorare le sequenze temporali delle entità per altre segnalazioni che sono ora idonee per essere aggiunte all'incidente.

Rimuovere un avviso da un evento imprevisto

Gli avvisi aggiunti a un evento imprevisto, manualmente o automaticamente, possono anche essere rimossi da un evento imprevisto.

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

  2. Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare Visualizza dettagli completi.

  3. Nella scheda Panoramica , nel widget Sequenza temporale eventi imprevisti , selezionare i tre puntini accanto a un avviso che si vuole rimuovere dall'evento imprevisto. Dal menu contestuale selezionare Rimuovi avviso.

    Screenshot che mostra come rimuovere un avviso da un evento imprevisto nella sequenza temporale degli eventi imprevisti.

Aggiungere avvisi usando il grafico di indagine

Il grafico di indagine è uno strumento visivo e intuitivo che presenta connessioni e modelli e consente agli analisti di porre le domande giuste e seguire i lead. È possibile usarlo per aggiungere o rimuovere avvisi dagli incidenti, ampliando o restringendo l'ambito dell'investigazione.

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

    Schermata della coda degli incidenti visualizzata in una griglia.

  2. Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare il pulsante Azioni e scegliere Analizza dal menu a comparsa. Questo aprirà il grafico di investigazione.

    Screenshot degli eventi imprevisti con avvisi nel grafico dell'indagine.

  3. Passare il puntatore del mouse su qualsiasi entità per visualizzare l'elenco delle query di esplorazione accanto. Selezionare Avvisi correlati.

    Screenshot delle query di esplorazione degli avvisi nel grafico investigativo.

    Gli avvisi correlati verranno visualizzati connessi all'entità tramite linee tratteggiate.

    Screenshot degli avvisi correlati visualizzati nel grafico dell'indagine.

  4. Sposta il cursore su uno degli avvisi correlati finché non appare un menu sul lato. Selezionare Aggiungi avviso all'incidente (Anteprima).

    Screenshot dell'aggiunta di un avviso a un evento imprevisto nel grafico dell'indagine.

  5. L'avviso viene aggiunto all'evento imprevisto e per tutti gli scopi fa parte dell'evento imprevisto, insieme a tutte le relative entità e dettagli. Verranno visualizzate due rappresentazioni visive di questo tipo:

    • La linea che la collega all'entità nel grafico di indagine è stata modificata da punteggiata a solida e le connessioni alle entità nell'avviso aggiunto sono state aggiunte al grafico.

      Screenshot che mostra un avviso aggiunto a un evento imprevisto.

    • L'avviso viene ora visualizzato nella sequenza temporale di questo evento imprevisto, insieme agli avvisi già presenti.

      Screenshot che mostra un avviso aggiunto alla sequenza temporale di un evento imprevisto.

Situazioni speciali

Quando si aggiunge un avviso a un evento imprevisto, a seconda delle circostanze, potrebbe essere richiesto di confermare la richiesta o di scegliere tra diverse opzioni. Di seguito sono riportati alcuni esempi di queste situazioni, le scelte da effettuare e le relative implicazioni.

  • L'avviso da aggiungere appartiene già a un altro evento imprevisto.

    In questo caso verrà visualizzato un messaggio che informa che l'avviso fa parte di un altro evento imprevisto o di eventi imprevisti e chiede se si vuole procedere. Selezionare OK per aggiungere l'avviso o Annulla per lasciare le cose così come erano.

    L'aggiunta dell'avviso a questo evento imprevisto non lo rimuoverà da altri eventi imprevisti. Gli avvisi possono essere correlati a più eventi imprevisti. Se si vuole, è possibile rimuovere manualmente l'avviso dagli altri eventi imprevisti seguendo i collegamenti nella richiesta di messaggio precedente.

  • L'avviso da aggiungere appartiene a un altro evento imprevisto ed è l'unico avviso nell'altro evento imprevisto.

    Questo è diverso dal caso precedente, poiché se l'avviso è solo nell'altro incidente, tracciarlo in questo caso potrebbe rendere irrilevante l'altro incidente. In questo caso verrà visualizzata questa finestra di dialogo:

    Screenshot che chiede se mantenere o chiudere un altro evento imprevisto.

    • Mantenere l'altro evento imprevisto così come è, aggiungendo anche l'avviso a questo.

    • Chiudere l'altro evento imprevisto aggiunge l'avviso a questo evento imprevisto e chiude l'altro evento imprevisto, aggiungendo il motivo di chiusura "Undetermined" e il commento "L'avviso è stato aggiunto a un altro evento imprevisto" con il numero dell'evento imprevisto aperto.

    • L'annullamento lascia lo status quo. Non apporta modifiche né all'incidente aperto né a qualsiasi altro incidente menzionato.

    Quale di queste opzioni si sceglie dipende dalle esigenze specifiche; non consigliamo una scelta rispetto all'altra.

Aggiungere/rimuovere avvisi con playbook

L'aggiunta e la rimozione di avvisi agli incidenti sono disponibili anche come azioni di Logic Apps nel connettore Microsoft Sentinel e quindi nei playbook di Microsoft Sentinel. È necessario specificare l'ID ARM dell'evento imprevisto e l'ID avviso di sistema come parametri ed è possibile trovarli entrambi nello schema del playbook sia per i trigger di avviso che per gli eventi imprevisti.

Microsoft Sentinel fornisce un modello di playbook di esempio nella raccolta di modelli, che illustra come usare questa funzionalità:

Screenshot del modello di playbook per la correlazione degli avvisi agli eventi imprevisti.

Ecco come viene usata l'azione Aggiungi avviso all'evento imprevisto (anteprima) in questo playbook, ad esempio come è possibile usarlo altrove:

Screenshot dell'aggiunta di un avviso a un incidente tramite un'azione di playbook.

Aggiungere/rimuovere avvisi usando l'API

Questa funzionalità non è limitata al portale. È anche accessibile tramite l'API di Microsoft Sentinel tramite il gruppo di operazioni Relazioni tra eventi imprevisti . Consente di ottenere, creare, aggiornare ed eliminare relazioni tra avvisi ed eventi imprevisti.

Creare una relazione

Si aggiunge un avviso a un evento imprevisto creando una relazione tra di esse. Usare l'endpoint seguente per aggiungere un avviso a un evento imprevisto esistente. Dopo aver effettuato questa richiesta, l'avviso si associa all'incidente e sarà visibile nell'elenco degli avvisi nell'incidente nel portale.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Il corpo della richiesta è simile al seguente:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Eliminazione di una relazione

È possibile rimuovere un avviso da un evento imprevisto eliminando la relazione tra di esse. Usare l'endpoint seguente per rimuovere un avviso da un evento imprevisto esistente. Dopo aver effettuato questa richiesta, l'avviso non verrà più associato a o visualizzato nell'incidente.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Elencare le relazioni di avviso

È anche possibile elencare tutti gli avvisi correlati a un evento imprevisto specifico, con questo endpoint e la richiesta:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Codici di errore specifici

La documentazione generale dell'API elenca i codici di risposta previsti per le operazioni di creazione, eliminazione ed elenco indicate in precedenza. I codici di errore sono indicati solo come categoria generale. Ecco i possibili codici di errore e messaggi specifici elencati nella categoria "Altri codici di stato":

Codice Messaggio
400 Richiesta non valida Impossibile creare una relazione. Esiste già un tipo di relazione diverso con nome {relationName} nell'evento imprevisto {incidentIdentifier}.
400 Richiesta non valida Impossibile creare una relazione. L'avviso {systemAlertId} esiste già nell'evento imprevisto {incidentIdentifier}.
400 Richiesta non valida Impossibile creare una relazione. La risorsa correlata e l'evento imprevisto devono appartenere alla stessa area di lavoro.
400 Richiesta non valida Impossibile creare una relazione. Gli avvisi XDR di Microsoft Defender non possono essere aggiunti agli eventi imprevisti di Microsoft Defender XDR.
400 Richiesta non valida Impossibile eliminare la relazione. Gli avvisi XDR di Microsoft Defender non possono essere rimossi dagli eventi imprevisti di Microsoft Defender XDR.
404 Non trovato La risorsa '{systemAlertId}' non esiste.
404 Non trovato L'incidente non esiste.
409 Conflitto Impossibile creare una relazione. La relazione con il nome {relationName} esiste già nell'evento imprevisto {incidentIdentifier} con un avviso diverso {systemAlertId}.

Passaggi successivi

In questo articolo si è appreso come aggiungere avvisi agli eventi imprevisti e rimuoverli usando il portale e l'API di Microsoft Sentinel. Per altre informazioni, vedere: