Создание собственных инцидентов вручную в Microsoft Sentinel

Внимание

Создание инцидентов вручную с помощью портала и Logic Apps сейчас предоставляется в режиме предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Создание инцидентов вручную через API находится в общедоступном режиме.

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

С помощью Microsoft Sentinel в качестве решения для управления сведениями и событиями безопасности (SIEM) действия по обнаружению угроз безопасности и реагированию на них сосредоточены на инцидентах , которые вы исследуете и исправляете. Эти инциденты поступают из двух основных источников.

• Они создаются автоматически, когда механизмы обнаружения работают с журналами и оповещениями, которые Microsoft Sentinel приема из подключенных источников данных.

• Они получаются непосредственно из других подключенных служб безопасности Майкрософт (например , XDR Microsoft Defender), которые создали их.

Однако данные об угрозах также могут поступать из других источников , не поступающих в Microsoft Sentinel, или события, не записанные в любом журнале, и все же могут оправдать открытие расследования. Например, сотрудник может заметить нераспознанного человека, занимающегося подозрительными действиями, связанными с информационными ресурсами вашей организации. Этот сотрудник может вызвать или отправить сообщение электронной почты центру управления безопасностью (SOC), чтобы сообщить об этом действии.

Microsoft Sentinel позволяет вашим аналитикам безопасности вручную создавать инциденты для любого типа события независимо от источника или данных, поэтому вы не пропустите расследование этих необычных типов угроз.

Распространенные варианты использования

Создание инцидента по устной информации о событии

Этот сценарий описан выше во вводном разделе.

Создание инцидентов по событиям, полученным от внешних систем

Инциденты можно создавать на основе событий из любых систем, журналы которых не передаются в Microsoft Sentinel. Например, в рассылке фишинговых SMS на личные мобильные устройства ваших сотрудников может использоваться корпоративная символика или стиль оформления вашей организации. Вы можете изучить такую атаку, и вы можете создать инцидент в Microsoft Sentinel, чтобы у вас была платформа для управления расследованием, сбора и регистрации доказательств, а также записи действий по реагированию и устранению рисков.

Создание инцидентов по результатам охоты

Вы можете создавать инциденты на основе полученных результатов охоты. Например, в то время как охота на угрозы в контексте конкретного расследования (или по собственному), вы можете столкнуться с доказательствами совершенно несвязанной угрозы, которая гарантирует собственное отдельное расследование.

Создание инцидента вручную

У вас есть три способа создавать инциденты вручную.

• Создание инцидента с помощью портала Azure.
• Создание инцидента в Azure Logic Apps с использованием триггера инцидента Microsoft Sentinel.
• Создание инцидента через API Microsoft Sentinel с помощью группы операций Инциденты. Это позволяет вам создавать, обновлять и удалять инциденты.

После подключения Microsoft Sentinel к единой платформе операций безопасности на портале Microsoft Defender созданные вручную инциденты не будут синхронизированы с унифицированной платформой, хотя они по-прежнему могут просматриваться и управляться в Microsoft Sentinel в портал Azure, а также через Logic Apps и API.

Создание инцидента с помощью портала Azure

1. Выберите Microsoft Sentinel и нужную рабочую область.

2. В меню навигации Microsoft Sentinel выберите Инциденты.

3. На странице Инциденты нажмите кнопку +Создать инцидент (предварительная версия) на панели кнопок.

   

   В правой части экрана откроется панель Создание инцидента (предварительная версия).

   

4. Заполните поля на панели в соответствии с ситуацией.

   • Заголовок

     • Введите произвольное название для инцидента. Этот инцидент будет отображаться с этим заголовком в очереди инцидентов.
     • Обязательный. Произвольный текст неограниченной длины. Крайние пробелы будут обрезаны.

   • Description

     • Введите описательные сведения об инциденте, например происхождение инцидента, любые затронутые сущности, отношения с другими событиями, кто оповещен об инциденте и так далее.
     • Необязательно. Произвольный текст длиной не более 5000 символов.

   • Уровень серьезности

     • Выберите уровень серьезности из раскрывающегося списка. Здесь доступны все уровни серьезности, которые поддерживает Microsoft Sentinel.
     • Обязательный. По умолчанию используется значение "Средний".

   • Состояние

     • Выберите состояние в раскрывающемся списке. Здесь доступны все состояния, поддерживаемые Microsoft Sentinel.
     • Обязательный. По умолчанию используется значение "Новый".
     • Вы можете создать инцидент с состоянием "Закрыт", а затем открыть его вручную, чтобы внести изменения и выбрать другое состояние. Если вы выберете в раскрывающемся списке вариант "Закрыт", будут активированы поля причины классификации, где можно выбрать причину закрытия инцидента и добавить комментарии.

   • Ответственное лицо

     • Выберите любых пользователей или группы, доступные в вашем арендаторе. Начните вводить имя для поиска по пользователям и группам. Щелкните это поле (или коснитесь его), чтобы отобразить список предложений. Выберите "Назначить мне" в верхней части списка, чтобы назначить инцидент себе.
     • Необязательно.

   • Теги

     • Используйте теги для классификации инцидентов, фильтрации и идентификации в очереди.
     • Чтобы создать теги, щелкните значок "плюс", введите произвольный текст в диалоговом окне и нажмите кнопку ОК. Автоматическое завершение предложит теги, которые использовались в текущей рабочей области за последние две недели.
     • Необязательно. Произвольный текст.

5. В нижней части страницы выберите Создать. Через несколько секунд инцидент будет создан и появится в очереди инцидентов.

   Если вы назначите инциденту состояние "Закрыт", он не будет отображаться в очереди, пока вы не добавите отображение закрытых инцидентов в фильтр Состояние. По умолчанию этот фильтр отображает только инциденты с состояниями "Новый" или "Активный".

Выберите инцидент в очереди, чтобы получить подробные сведения о нем, добавить закладки, изменить владельца и состояние инцидента, и так далее.

Если по какой-либо причине измените мнение уже после создания инцидента, его можно удалить на странице с сеткой очереди или на странице сведений об инциденте.

Создание инцидента в Azure Logic Apps

Создание инцидента доступно в качестве действия Logic Apps в соединителе Microsoft Sentinel, а значит и в сборниках схем Microsoft Sentinel.

Действие Создание инцидента (предварительная версия) находится в схеме триггера инцидента из сборника схем.

Вам нужно указать приведенные ниже параметры.

• Выберите значения Подписка, Группа ресурсов и Имя рабочей области в соответствующих раскрывающихся списках.

• Остальные поля заполните в соответствии с приведенными выше рекомендациями (в разделе Создание инцидента с помощью портала Azure).

  

Microsoft Sentinel предоставляет несколько примеров шаблона, которые демонстрируют работу с этой возможностью:

• Создание инцидента с помощью Microsoft Form;
• Создание инцидента из общей папки "Входящие" для электронной почты.

Их можно найти в коллекции шаблонов сборников схем на странице Автоматизация в Microsoft Sentinel.

Создание инцидента через API Microsoft Sentinel

Группа операций Инциденты позволяет не только создавать, но и обновлять (редактировать), получать (извлекать), перечислять и удалять инциденты.

Чтобы создать инцидент, используется следующая конечная точка. После выполнения этого запроса инцидент будет отображаться в очереди инцидентов на портале.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Ниже представлен пример текста для этого запроса.

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Примечания.

• Инциденты, созданные вручную, не содержат сущностей или оповещений. Таким образом, вкладка Оповещения на странице инцидента останется пустой, пока вы не соотнесете существующие оповещения с этим инцидентом.

  Вкладка Сущности также останется пустой, при этом добавление сущностей непосредственно в созданные вручную инциденты пока не поддерживается. (Если вы свяжете с этим инцидентом некоторое оповещение, сущности из оповещения будут отображаться в инциденте.)

• Созданные вручную инциденты также не содержат значения Имя продукта в представлении очереди.

• Очередь инцидентов по умолчанию отображает только инциденты с состоянием "Новый" или "Активный". Если вы создадите инцидент с состоянием "Закрыто", он не будет отображаться в очереди, пока вы не измените фильтр по состоянию, чтобы отобразить закрытые инциденты.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Связь оповещений с инцидентами в Microsoft Sentinel
• Удаление инцидентов в Microsoft Sentinel
• Исследование инцидентов с помощью Microsoft Sentinel
• Создание настраиваемых правил аналитики для обнаружения угроз