Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта функция находится в режиме предварительного просмотра. Предварительные версии функций не предназначены для использования в рабочей среде и могут иметь ограниченные функциональные возможности. Эти функции доступны до официального выпуска, чтобы клиенты могли получать ранний доступ и предоставлять отзывы.
Создание инцидентов и оповещений вручную позволяет команде центра безопасности создавать инциденты и оповещения по мере необходимости на портале Microsoft Defender. Используйте его для отслеживания расследований, советов от других команд или оперативной работы в единой очереди инцидентов, даже если автоматическое обнаружение не активировалось.
В этой статье описывается, как вручную создать инцидент или оповещение на портале Defender. После создания инцидента обрабатывайте его как любой другой инцидент в очереди.
Что можно сделать с помощью создания вручную
- Создайте новый инцидент с первоначальным оповещением или вложите оповещение к существующему инциденту.
- Укажите полные метаданные инцидента, включая название, описание, серьезность, категорию, методы MITRE ATT&CK, затронутые ресурсы и доказательства.
- Определите, участвует ли инцидент в корреляции или храните его в автономном режиме.
- Отправляйте данные об инцидентах и оповещениях через те же страницы портала, таблицы расширенного поиска и API, что и для автоматически создаваемых инцидентов, чтобы ваши существующие интеграции с управлением ИТ-услугами (ITSM) и средствами отчетности могли их использовать.
Prerequisites
Прежде чем создать инцидент или оповещение вручную, убедитесь, что:
- Клиент подключен к Microsoft Defender.
- У вас есть одна из следующих ролей Microsoft Defender для унифицированного управления доступом на основе ролей (RBAC) или эквивалентные разрешения:
- Настройка обнаружения — управление
- ответчик Microsoft Sentinel (для клиентов Microsoft Sentinel)
- Участник Microsoft Sentinel (для клиентов Microsoft Sentinel)
- Вы можете создавать оповещения только для ресурсов, которые находятся в назначенной области RBAC. Ресурсы, не входящие в вашу область охвата, недоступны в средстве выбора затронутых ресурсов.
Дополнительные сведения о ролях см. в разделе Microsoft Defender Единое управление доступом на основе ролей (RBAC).
Создание инцидента или оповещения на портале
Вручную создайте инцидент или оповещение из очереди инцидентов на портале Microsoft Defender.
Шаг 1. Создание инцидента или оповещения
На портале Microsoft Defender перейдите в раздел "Расследование и реагирование>на инциденты и оповещения".
Выберите вкладку "Инциденты" или " Оповещения " в зависимости от того, что нужно создать.
На панели инструментов очереди выберите Создать.
Откроется мастер Создать.
Шаг 2. Выбор рабочей области (только Microsoft Sentinel)
На этапе подготовки Microsoft Sentinel клиенты выбирают область рабочей области для этого инцидента. Если вы не видите нужную рабочую область, ее можно добавить, нажав кнопку "Добавить рабочую область".
Шаг 3. Предоставление сведений об оповещении
На шаге сведений об оповещении выберите, следует ли создать новый инцидент или подключить оповещение к существующему, задать поведение корреляции и ввести метаданные оповещения.
| Поле | Обязательно | Notes |
|---|---|---|
| Создание нового инцидента или сопоставление оповещений с существующим инцидентом | Yes | Выберите "Создать новый инцидент", чтобы открыть новый инцидент. Выберите "Сопоставить оповещение с существующим инцидентом " и укажите идентификатор инцидента, чтобы подключить оповещение к этому инциденту. |
| Включение корреляции инцидентов для этого оповещения | No | При выборе инцидент участвует в стандартной логике корреляции Defender и может объединяться со связанными инцидентами. Снимите флажок, чтобы оставить инцидент отдельным. |
| Название оповещения | Yes | Короткое описательное название оповещения. |
| Severity | Yes | Высокий, средний, низкий или информативный. |
| Category | Yes | Соответствует таксономии категорий оповещений Defender. |
| Методы MITRE ATT&CK | No | Один или несколько идентификаторов методов, описывающих действие. |
| Description | Yes | Объяснение того, что представляет оповещение. Для новых инцидентов описание первого присоединенного оповещения становится описанием инцидента по умолчанию. |
| Рекомендуемые действия | No | Инструкции по вводу произвольного текста для отвечающих. |
| Рабочая область Sentinel | Да (только клиенты Microsoft Sentinel) | Рабочая область Microsoft Sentinel, которая принимает оповещение и инцидент. |
Note
Созданные вручную оповещения помечены источником службы: Microsoft Defender XDR, источник обнаружения: вручную и имя продукта: Microsoft Defender XDR, чтобы фильтровать их в очереди оповещений и в расширенной охоте.
Для продолжения выберите Далее.
Шаг 4. Выбор сущностей
На шаге Выберите сущности прикрепите ресурсы и свидетельства, к которым относится оповещение.
- Затронутые ресурсы (обязательно): добавьте хотя бы один ресурс. Используйте поиск и автодополнение, чтобы находить устройства, учетные записи, почтовые ящики, IP-адреса и другие поддерживаемые типы объектов по имени или уникальному идентификатору. Для контекста инцидента затронутым ресурсам назначается приоритет.
- Связанные доказательства (необязательно): добавление файлов, процессов, URL-адресов, IP-адресов или других вспомогательных доказательств.
Вы можете добавлять только ресурсы, находящиеся в области RBAC.
Для продолжения выберите Далее.
Шаг 5. Связанный инцидент
Выберите, нужно ли создать новый инцидент или сопоставить оповещение с существующим инцидентом. Если вы решили сопоставить с существующим инцидентом, укажите идентификатор инцидента.
Для продолжения выберите Далее.
Шаг 6. Просмотр и создание
На шаге "Проверка и создание " просмотрите сведения об оповещении и инциденте, а затем нажмите кнопку "Создать".
После создания инцидента мастер подтверждает создание и предоставляет ссылки на новый инцидент и оповещение.
После создания инцидента можно задать поля владельца и тега на панели "Управление инцидентами ".
Где отображаются инциденты и оповещения, созданные вручную
После создания содержимое, созданное вручную, проходит через те же поверхности, что и автоматически сформированное содержимое:
- Очереди инцидентов и оповещений на портале Microsoft Defender, включая сведения об инциденте, страницу оповещения и журнал действий.
- Страницы сущностей для затронутых активов и любых связанных доказательств.
-
Расширенные таблицы охоты, включая
AlertInfo,AlertEvidenceSecurityAlertиSecurityIncident. - API, включая API Microsoft Graph Security для инцидентов и оповещений, а также API Azure Resource Manager (ARM), которые используют ваши интеграции ITSM и средства отчетности.
Все действия по созданию и обновлению инцидентов, созданных вручную, отображаются в журнале действий инцидентов, комментариях и журнале оповещений, а также в журнале аудита Microsoft 365, чтобы можно было проверить, кто сделал что и когда.