Поделиться через

Автоматически создавайте инциденты на основе оповещений системы безопасности Майкрософт

  • Статья

Оповещения, активированные в решениях безопасности Майкрософт, подключенных к Microsoft Sentinel, например Microsoft Defender для облака приложениям и Microsoft Defender для удостоверений, не создаются автоматически в Microsoft Sentinel. По умолчанию при подключении решения Майкрософт к Microsoft Sentinel все оповещения, созданные в этой службе, будут приняты и сохранены в таблице SecurityAlert в рабочей области Microsoft Sentinel. Затем вы можете использовать эти данные, как и любые другие необработанные данные, которые вы используете в Microsoft Sentinel.

Вы можете легко настроить Microsoft Sentinel для автоматического создания инцидентов при каждом запуске оповещения в подключенном решении безопасности Майкрософт, следуя инструкциям в этой статье.

Внимание

Эта статья не применяется , если у вас есть:

  • Включена интеграция инцидентов XDR в Microsoft Defender или
  • Подключен Microsoft Sentinel к порталу Microsoft Defender.

В этих сценариях XDR в Microsoft Defender создает инциденты из оповещений, созданных в службы Майкрософт.

Если вы используете правила создания инцидентов для других решений безопасности Майкрософт или продуктов, не интегрированных в XDR Defender, например Управление внутренними рисками Microsoft Purview, и планируете подключиться к порталу Defender, замените правила создания инцидентов правилами запланированной аналитики.

Необходимые компоненты

Подключите решение безопасности, установив соответствующее решение из Центра содержимого в Microsoft Sentinel и настроив соединитель данных. Дополнительные сведения см. в статье "Обнаружение и управление контентом Microsoft Sentinel вне коробки" и соединителями данных Microsoft Sentinel.

Включение автоматического создания инцидентов в соединителе данных

Самый прямой способ автоматического создания инцидентов из оповещений, созданных из решений безопасности Майкрософт, — настроить соединитель данных решения для создания инцидентов:

  1. Подключение источника данных решения безопасности Майкрософт.

    Снимок экрана: экран конфигурации соединителя данных.

  2. В разделе "Создание инцидентов" — рекомендуется включить правило аналитики по умолчанию, которое автоматически создает инциденты из оповещений, созданных в подключенной службе безопасности. Затем это правило можно изменить в разделе Аналитика, а затем Активные правила.

    Внимание

    Если этот раздел не отображается, скорее всего, вы включили интеграцию инцидентов в соединителе XDR в Microsoft Defender или подключены к порталу Defender Microsoft Sentinel.

    В любом случае эта статья не применяется к вашей среде, так как инциденты создаются подсистемой корреляции Microsoft Defender вместо Microsoft Sentinel.

Создание правил создания инцидентов из шаблона Безопасности Майкрософт

Microsoft Sentinel предоставляет готовые шаблоны правил для создания правил безопасности Майкрософт. Каждое исходное решение Майкрософт имеет собственный шаблон. Например, есть один для Microsoft Defender для конечной точки, один для Microsoft Defender для облака и т. д. Создайте правило из каждого шаблона, соответствующего решениям в вашей среде, для которых необходимо автоматически создавать инциденты. Измените правила, чтобы определить более конкретные параметры фильтрации оповещений, которые должны привести к инцидентам. Например, можно автоматически создавать инциденты Microsoft Sentinel только из оповещений с высоким уровнем серьезности из Microsoft Defender для удостоверений.

  1. В меню навигации Microsoft Sentinel в разделе "Конфигурация" выберите "Аналитика".

  2. Перейдите на вкладку "Шаблоны правил", чтобы просмотреть все шаблоны правил аналитики. Чтобы найти дополнительные шаблоны правил, перейдите в центр содержимого в Microsoft Sentinel.

    Снимок экрана: список шаблонов правил на странице

  3. Отфильтруйте список для типа правила безопасности Майкрософт, чтобы просмотреть шаблоны правил аналитики для создания инцидентов из оповещений Майкрософт.

    Снимок экрана: список шаблонов правил безопасности Майкрософт.

  4. Выберите шаблон правила для источника генерации оповещений, для которого требуется создать инциденты. Затем в области сведений выберите "Создать правило".

    Снимок экрана: панель сведений о шаблоне правила.

  5. Измените сведения о правиле, отфильтровав оповещения, которые будут создавать инциденты по серьезности оповещений или по тексту, содержавшемся в имени оповещения.

    Например, если выбрать Microsoft Defender для удостоверений в поле службы безопасности Майкрософт и выбрать "Высокий" в поле "Фильтр по серьезности", оповещения системы безопасности с высоким уровнем серьезности автоматически создают инциденты в Microsoft Sentinel.

    Снимок экрана мастера создания правил.

  6. Как и в случае с другими типами правил аналитики, выберите вкладку "Автоматический ответ ", чтобы определить правила автоматизации, выполняемые при создании инцидентов этим правилом.

Создание правил создания инцидентов с нуля

Вы также можете создать новое правило безопасности Майкрософт, которое фильтрует оповещения из разных служб безопасности Майкрософт. На странице "Аналитика" выберите "Создать > правило создания инцидентов Майкрософт".

Снимок экрана: создание правила безопасности Майкрософт на странице

Вы можете создать более одного правила аналитики безопасности Майкрософт для каждого типа службы безопасности Майкрософт. Это не создает повторяющиеся инциденты при применении фильтров к каждому правилу, которое исключает друг друга.

Следующие шаги