Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.
Оповещения, активированные в решениях безопасности Майкрософт, подключенных к Microsoft Sentinel, например Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений, не создают инциденты автоматически в Microsoft Sentinel. По умолчанию при подключении решения Майкрософт к Microsoft Sentinel все оповещения, созданные в этой службе, будут приниматься и храниться в таблице SecurityAlert в рабочей области Microsoft Sentinel. Затем эти данные можно использовать так же, как и любые другие необработанные данные, которые вы вводите в Microsoft Sentinel.
Вы можете легко настроить Microsoft Sentinel для автоматического создания инцидентов при каждом срабатывании оповещения в подключенном решении безопасности Майкрософт, следуя инструкциям в этой статье.
Важно!
Эта статья не применяется, если у вас есть:
- Включено Microsoft Defender XDR интеграции инцидентов, или
- Подключение Microsoft Sentinel к порталу Microsoft Defender.
В этих сценариях Microsoft Defender XDR создает инциденты на основе оповещений, созданных в службах Майкрософт.
Если вы используете правила создания инцидентов для других решений или продуктов Майкрософт по обеспечению безопасности, не интегрированных в Defender XDR, например Управление внутренними рисками Microsoft Purview, и планируете подключиться к порталу Defender, замените правила создания инцидентов правилами аналитики по расписанию.
Предварительные условия
Подключите решение для обеспечения безопасности, установив соответствующее решение из Центра содержимого в Microsoft Sentinel и настроив соединитель данных. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого и соединителей данных Microsoft Sentinel.
Включение автоматического создания инцидентов в соединителе данных
Самый прямой способ автоматического создания инцидентов на основе оповещений, созданных из решений безопасности Майкрософт, заключается в настройке соединителя данных решения для создания инцидентов:
Подключение источника данных решения для обеспечения безопасности Майкрософт.
В разделе Создание инцидентов — рекомендуется выбрать Включить , чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений, созданных в подключенной службе безопасности. Затем это правило можно изменить в разделе Аналитика, а затем — Активные правила.
Важно!
Если вы не видите этот раздел, как показано ниже, скорее всего, вы включили интеграцию инцидентов в соединителе Microsoft Defender XDR или включили Microsoft Sentinel на портал Defender.
В любом случае эта статья не относится к вашей среде, так как инциденты создаются подсистемой корреляции Microsoft Defender, а не Microsoft Sentinel.
Создание правил создания инцидентов на основе шаблона "Безопасность Майкрософт"
Microsoft Sentinel предоставляет готовые шаблоны правил для создания правил безопасности Майкрософт. Каждое исходное решение Майкрософт имеет собственный шаблон. Например, есть один для Microsoft Defender для конечной точки, один для Microsoft Defender для облака и т. д. Создайте правило из каждого шаблона, соответствующее решениям в вашей среде, для которых требуется автоматически создавать инциденты. Измените правила, чтобы определить более конкретные параметры фильтрации оповещений, которые должны привести к инцидентам. Например, можно автоматически создавать Microsoft Sentinel инциденты только на основе оповещений с высоким уровнем серьезности из Microsoft Defender для удостоверений.
В меню навигации Microsoft Sentinel в разделе Конфигурация выберите Аналитика.
Перейдите на вкладку Шаблоны правил , чтобы просмотреть все шаблоны правил аналитики. Чтобы найти другие шаблоны правил, перейдите в центр содержимого в Microsoft Sentinel.
Отфильтруйте список по типу правила безопасности Майкрософт , чтобы просмотреть шаблоны правил аналитики для создания инцидентов из оповещений Майкрософт.
Выберите шаблон правила для источника оповещений, для которого требуется создать инциденты. Затем в области сведений выберите Создать правило.
Измените сведения о правиле, отфильтровав оповещения, которые будут создавать инциденты по серьезности оповещений или тексту в имени оповещения.
Например, если выбрать Microsoft Defender для удостоверений в поле Служба безопасности Майкрософт и выбрать Высокий в поле Фильтровать по серьезности, то только оповещения системы безопасности с высоким уровнем серьезности автоматически создают инциденты в Microsoft Sentinel.
Как и в случае с другими типами правил аналитики, перейдите на вкладку Автоматический ответ , чтобы определить правила автоматизации , которые выполняются при создании инцидентов этим правилом.
Создание правил создания инцидентов с нуля
Вы также можете создать новое правило безопасности Майкрософт , которое фильтрует оповещения из разных служб безопасности Майкрософт. На странице Аналитика выберите Создать > правило создания инцидентов Майкрософт.
Вы можете создать несколько правил аналитики безопасности Майкрософт для каждого типа службы безопасности Майкрософт . Это не создает повторяющихся инцидентов, если к каждому правилу применяются фильтры, исключающие друг друга.
Дальнейшие действия
- Чтобы приступить к работе с Microsoft Sentinel, вам потребуется подписка на Microsoft Azure. Если у вас нет подписки, вы можете зарегистрироваться для получения бесплатной пробной версии.
- Узнайте, как подключить данные к Microsoft Sentinel и получить представление о данных и потенциальных угрозах.