Создание инцидента или оповещения вручную в Microsoft Defender (предварительная версия)

Это важно

Эта функция находится в режиме предварительного просмотра. Предварительные версии функций не предназначены для использования в рабочей среде и могут иметь ограниченные функциональные возможности. Эти функции доступны до официального выпуска, чтобы клиенты могли получать ранний доступ и предоставлять отзывы.

Создание инцидентов и оповещений вручную позволяет команде центра безопасности создавать инциденты и оповещения по мере необходимости на портале Microsoft Defender. Используйте его для отслеживания расследований, советов от других команд или оперативной работы в единой очереди инцидентов, даже если автоматическое обнаружение не активировалось.

В этой статье описывается, как вручную создать инцидент или оповещение на портале Defender. После создания инцидента обрабатывайте его как любой другой инцидент в очереди.

Что можно сделать с помощью создания вручную

  • Создайте новый инцидент с первоначальным оповещением или вложите оповещение к существующему инциденту.
  • Укажите полные метаданные инцидента, включая название, описание, серьезность, категорию, методы MITRE ATT&CK, затронутые ресурсы и доказательства.
  • Определите, участвует ли инцидент в корреляции или храните его в автономном режиме.
  • Отправляйте данные об инцидентах и оповещениях через те же страницы портала, таблицы расширенного поиска и API, что и для автоматически создаваемых инцидентов, чтобы ваши существующие интеграции с управлением ИТ-услугами (ITSM) и средствами отчетности могли их использовать.

Prerequisites

Прежде чем создать инцидент или оповещение вручную, убедитесь, что:

  • Клиент подключен к Microsoft Defender.
  • У вас есть одна из следующих ролей Microsoft Defender для унифицированного управления доступом на основе ролей (RBAC) или эквивалентные разрешения:
  • Вы можете создавать оповещения только для ресурсов, которые находятся в назначенной области RBAC. Ресурсы, не входящие в вашу область охвата, недоступны в средстве выбора затронутых ресурсов.

Дополнительные сведения о ролях см. в разделе Microsoft Defender Единое управление доступом на основе ролей (RBAC).

Создание инцидента или оповещения на портале

Вручную создайте инцидент или оповещение из очереди инцидентов на портале Microsoft Defender.

Шаг 1. Создание инцидента или оповещения

  1. На портале Microsoft Defender перейдите в раздел "Расследование и реагирование>на инциденты и оповещения".

  2. Выберите вкладку "Инциденты" или " Оповещения " в зависимости от того, что нужно создать.

  3. На панели инструментов очереди выберите Создать.

    Снимок экрана кнопки «Создать» на панели инструментов очереди «Инциденты» на портале Microsoft Defender.

    Откроется мастер Создать.

Шаг 2. Выбор рабочей области (только Microsoft Sentinel)

На этапе подготовки Microsoft Sentinel клиенты выбирают область рабочей области для этого инцидента. Если вы не видите нужную рабочую область, ее можно добавить, нажав кнопку "Добавить рабочую область".

Снимок экрана с этапом подготовки мастера

Шаг 3. Предоставление сведений об оповещении

На шаге сведений об оповещении выберите, следует ли создать новый инцидент или подключить оповещение к существующему, задать поведение корреляции и ввести метаданные оповещения.

Снимок экрана с шагом

Поле Обязательно Notes
Создание нового инцидента или сопоставление оповещений с существующим инцидентом Yes Выберите "Создать новый инцидент", чтобы открыть новый инцидент. Выберите "Сопоставить оповещение с существующим инцидентом " и укажите идентификатор инцидента, чтобы подключить оповещение к этому инциденту.
Включение корреляции инцидентов для этого оповещения No При выборе инцидент участвует в стандартной логике корреляции Defender и может объединяться со связанными инцидентами. Снимите флажок, чтобы оставить инцидент отдельным.
Название оповещения Yes Короткое описательное название оповещения.
Severity Yes Высокий, средний, низкий или информативный.
Category Yes Соответствует таксономии категорий оповещений Defender.
Методы MITRE ATT&CK No Один или несколько идентификаторов методов, описывающих действие.
Description Yes Объяснение того, что представляет оповещение. Для новых инцидентов описание первого присоединенного оповещения становится описанием инцидента по умолчанию.
Рекомендуемые действия No Инструкции по вводу произвольного текста для отвечающих.
Рабочая область Sentinel Да (только клиенты Microsoft Sentinel) Рабочая область Microsoft Sentinel, которая принимает оповещение и инцидент.

Note

Созданные вручную оповещения помечены источником службы: Microsoft Defender XDR, источник обнаружения: вручную и имя продукта: Microsoft Defender XDR, чтобы фильтровать их в очереди оповещений и в расширенной охоте.

Для продолжения выберите Далее.

Шаг 4. Выбор сущностей

На шаге Выберите сущности прикрепите ресурсы и свидетельства, к которым относится оповещение.

Снимок экрана: шаг

  • Затронутые ресурсы (обязательно): добавьте хотя бы один ресурс. Используйте поиск и автодополнение, чтобы находить устройства, учетные записи, почтовые ящики, IP-адреса и другие поддерживаемые типы объектов по имени или уникальному идентификатору. Для контекста инцидента затронутым ресурсам назначается приоритет.
  • Связанные доказательства (необязательно): добавление файлов, процессов, URL-адресов, IP-адресов или других вспомогательных доказательств.

Вы можете добавлять только ресурсы, находящиеся в области RBAC.

Для продолжения выберите Далее.

Выберите, нужно ли создать новый инцидент или сопоставить оповещение с существующим инцидентом. Если вы решили сопоставить с существующим инцидентом, укажите идентификатор инцидента.

Снимок экрана: шаг

Для продолжения выберите Далее.

Шаг 6. Просмотр и создание

На шаге "Проверка и создание " просмотрите сведения об оповещении и инциденте, а затем нажмите кнопку "Создать".

После создания инцидента мастер подтверждает создание и предоставляет ссылки на новый инцидент и оповещение.

После создания инцидента можно задать поля владельца и тега на панели "Управление инцидентами ".

Где отображаются инциденты и оповещения, созданные вручную

После создания содержимое, созданное вручную, проходит через те же поверхности, что и автоматически сформированное содержимое:

  • Очереди инцидентов и оповещений на портале Microsoft Defender, включая сведения об инциденте, страницу оповещения и журнал действий.
  • Страницы сущностей для затронутых активов и любых связанных доказательств.
  • Расширенные таблицы охоты, включая AlertInfo, AlertEvidenceSecurityAlertиSecurityIncident.
  • API, включая API Microsoft Graph Security для инцидентов и оповещений, а также API Azure Resource Manager (ARM), которые используют ваши интеграции ITSM и средства отчетности.

Все действия по созданию и обновлению инцидентов, созданных вручную, отображаются в журнале действий инцидентов, комментариях и журнале оповещений, а также в журнале аудита Microsoft 365, чтобы можно было проверить, кто сделал что и когда.