Share via

Связь оповещений с инцидентами в Microsoft Sentinel

  • Статья

В этой статье показано, как связать оповещения с инцидентами в Microsoft Sentinel. Эта функция позволяет вручную или автоматически добавлять оповещения в существующие инциденты или удалять их из существующих инцидентов в рамках процессов расследования, уточняя область инцидента по мере развертывания расследования.

Внимание

Расширение инцидентов в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Расширение области и возможностей инцидентов

Одной из возможностей этой функции является включение оповещений из одного источника данных в инциденты, созданные другим источником данных. Например, можно добавлять оповещения из Microsoft Defender для облака или из различных сторонних источников данных в инциденты, импортированные в Microsoft Sentinel из XDR в Microsoft Defender.

Эта функция встроена в последнюю версию API Microsoft Sentinel, что означает, что она доступна соединителю Logic Apps для Microsoft Sentinel. Таким образом, вы можете использовать сборники схем для автоматического добавления оповещения в инцидент при соблюдении определенных условий.

Эту автоматизацию можно также использовать для добавления оповещений в созданные вручную инциденты, создания пользовательских корреляций или определения настраиваемых критериев группировки оповещений в инциденты при их создании.

Ограничения

  • Microsoft Sentinel импортирует оповещения и инциденты из XDR в Microsoft Defender. В большинстве случаев эти оповещения и инциденты можно рассматривать как обычные оповещения и инциденты Microsoft Sentinel.

    Однако вы можете добавлять оповещения Defender только в инциденты Defender (или удалять их) на портале Defender, а не на портале Sentinel. Если вы попытаетесь сделать это в Microsoft Sentinel, появится сообщение об ошибке. Вы можете перейти к инциденту на портале Microsoft Defender с помощью ссылки в инциденте Microsoft Sentinel. Не беспокойтесь, но все изменения, внесенные в инцидент на портале Microsoft Defender, синхронизируются с параллельным инцидентом в Microsoft Sentinel, поэтому вы по-прежнему увидите добавленные оповещения на портале Sentinel.

    Оповещения XDR в Microsoft Defender можно добавить в инциденты, не являющиеся Защитником, и в инциденты, отличные от Defender, на портале Microsoft Sentinel.

  • При подключении Microsoft Sentinel к единому порталу операций безопасности вы больше не можете добавлять оповещения Microsoft Sentinel в инциденты или удалять оповещения Microsoft Sentinel из инцидентов в Microsoft Sentinel (в портал Azure). Это можно сделать только на портале Microsoft Defender. Дополнительные сведения см. в разделе "Различия возможностей между порталами".

  • Инцидент может содержать не более 150 оповещений. При попытке добавить оповещение в инцидент с 150 оповещениями в нем вы получите сообщение об ошибке.

Добавление оповещений с помощью сущности временная шкала (предварительная версия)

Сущность временная шкала, как показано в новом интерфейсе инцидента (теперь в предварительной версии), представляет все сущности в конкретном расследовании инцидентов. При выборе сущности в списке на боковой панели отображается страница миниатюрной сущности.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

    Снимок экрана: новая очередь инцидентов, отображаемая в сетке.

  2. Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".

  3. На странице инцидента выберите вкладку "Сущности ".

    Снимок экрана: вкладка сущностей на странице инцидента.

  4. Выберите сущность в списке.

  5. На боковой панели страницы сущности выберите карта временной шкалы.

    Снимок экрана: временная шкала карта сущностей на вкладке сущностей страницы инцидента.

  6. Выберите оповещение, внешнее для открытого инцидента. Они указываются серым значком щита и полосой цвета точечной линии, представляющей серьезность. Щелкните значок со знаком "плюс" в правом конце этого оповещения.

    Снимок экрана: внешний вид оповещения в сущности временная шкала.

  7. Подтвердите добавление оповещения в инцидент, нажав кнопку "ОК". Вы получите уведомление, подтверждающее добавление оповещения в инцидент или объясняющее, почему оно не было добавлено. Снимок экрана: добавление оповещения в инцидент в сущность временная шкала.

Вы увидите, что добавленное оповещение теперь отображается в мини-приложении временной шкалы открытого инцидента на вкладке "Обзор", с значком полноцветного щита и сплошной цветовой полосой, как и любое другое оповещение в инциденте.

Добавленное оповещение теперь является полной частью инцидента, и все сущности в добавленном оповещении (которые еще не были частью инцидента) также стали частью инцидента. Теперь вы можете изучить временная шкала этих сущностей для других оповещений, которые теперь могут быть добавлены в инцидент.

Удаление оповещения из инцидента

Оповещения, которые были добавлены в инцидент (вручную или автоматически) также можно удалить из инцидента.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. Выберите инцидент для расследования. На панели сведений об инциденте выберите "Просмотреть полные сведения".

  3. На вкладке "Обзор" в мини-приложении "Инцидент временная шкала" выберите три точки рядом с оповещением, которое нужно удалить из инцидента. Во всплывающем меню выберите "Удалить оповещение".

    Снимок экрана: удаление оповещения из инцидента в временная шкала инцидента.

Добавление оповещений с помощью графа исследования

График исследования — это визуальное интуитивно понятное средство, которое представляет связи и шаблоны и позволяет аналитикам задавать правильные вопросы и следовать рекомендациям. Его можно использовать для добавления оповещений и их удаления из инцидентов, расширения или сужения области исследования.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

    Снимок экрана: отображение очереди инцидентов в сетке.

  2. Выберите инцидент для расследования. На панели сведений об инциденте нажмите кнопку Действия и выберите Исследовать во всплывающем меню. Откроется граф исследования.

    Снимок экрана: отображение инцидентов с оповещениями в графе расследования.

  3. Наведите указатель мыши на любую сущность, чтобы отобразить список запросов исследования на его стороне. Выберите соответствующие оповещения.

    Снимок экрана: запросы для изучения оповещений в графе расследования.

    Связанные оповещения будут отображаться подключенными к сущности пунктирными линиями.

    Снимок экрана: связанные оповещения отображаются в графе расследования.

  4. Наведите указатель мыши на одно из связанных оповещений, пока меню не появится на его стороне. Выберите Добавить оповещение в инцидент (предварительная версия).

    Снимок экрана: связанные c инцидентом оповещения отображаются в графе расследования.

  5. Оповещение добавляется в инцидент, и для всех целей является частью инцидента, а также всех его сущностей и сведений. Вы увидите два визуальных представления этого вида:

    • Линия, соединяющая ее с сущностью в графе исследования, изменилась с пунктирной на сплошную, и подключения к сущностям в добавленном оповещении были добавлены в граф.

      Снимок экрана: оповещение, добавленное в инцидент.

    • Оповещение теперь отображается на временной шкале этого инцидента вместе с оповещениями, которые уже были там.

      Снимок экрана: оповещение, добавленный во временную шкалу инцидент.

Особые ситуации

При добавлении оповещения в инцидент в зависимости от обстоятельств может потребоваться подтвердить запрос или выбрать один из вариантов. Ниже приведены некоторые примеры этих ситуаций, варианты, из которых вам необходимо будет выбрать, и их последствия.

  • Оповещение, которое вы хотите добавить, уже относится к другому инциденту.

    В этом случае вы увидите сообщение о том, что оповещение является частью другого инцидента или инцидентов, и вас спросят, хотите ли вы продолжить. Нажмите кнопку ОК, чтобы добавить оповещение или Отмена, чтобы оставить все без изменений.

    Добавление оповещения в этот инцидент не приведет к удалению оповещения из других инцидентов. Оповещения могут быть связаны с несколькими инцидентами. Если вы хотите, вы можете удалить оповещение вручную из других инцидентов, следуя по ссылкам в выведенной выше строке сообщения.

  • Оповещение, которое вы хотите добавить, относится к другому инциденту, и это единственное оповещение в другом инциденте.

    Это отличается от приведенного выше случая, так как если оповещение находится только в другом инциденте, отслеживание его в этом инциденте может привести к тому, что другой инцидент не имеет значения. В этом случае вы увидите следующее диалоговое окно:

    Снимок экрана: оповещение, добавленный во временную шкалу инцидента.

    • Сохранение другого инцидента сохраняет другой инцидент «как есть», а также добавляет оповещение к этому инциденту.

    • Закрытие другого инцидента добавляет оповещение к этому инциденту и закрывает другой инцидент, добавляя причину "Не определено" и комментарий "Оповещение было добавлено к другому инциденту" с номером открытого инцидента.

    • Отмена оставляет статус-кво. Он не вносит изменений в открытый инцидент или любой другой инцидент, на который сделана ссылка.

    Какой из этих вариантов вы выбираете, зависит от конкретных потребностей; Мы не даем универсальных рекомендации.

Добавление и удаление оповещений с помощью сборников схем

Добавление и удаление оповещений в инциденты также доступны как действия Logic Apps в соединителе Microsoft Sentinel и, следовательно, в сборниках схем Microsoft Sentinel. Необходимо указать идентификатор ARM инцидента и идентификатор системного оповещения в качестве параметров, и их можно найти в схеме сборника схем для триггеров оповещений и инцидентов.

Microsoft Sentinel предоставляет пример шаблона сборника схем в коллекции шаблонов, который показывает, как работать с этой возможностью:

Снимок экрана: шаблон сборника схем для сопоставления оповещений с инцидентами.

Ниже показано, как в этом сборнике схем используется действие Добавить оповещение в инцидент (предварительная версия) в качестве примера того, как его можно использовать в другом месте:

Снимок экрана: добавление оповещения в инцидент с помощью действия сборника схем.

Добавление и удаление оповещений с помощью API

Использовать эту функцию можно не только на портале. Он также доступен через API Microsoft Sentinel, группу операций по связям с инцидентами. Это позволяет получать, создавать, обновлять и удалять связи между оповещениями и инцидентами.

Создание отношения

Вы добавляете оповещение в инцидент, создавая связь между ними. Используйте следующую конечную точку, чтобы добавить оповещение в существующий инцидент. После выполнения этого запроса оповещение присоединяется к инциденту и будет отображаться в списке оповещений в инциденте на портале.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Текст запроса выглядит следующим образом:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Удаление связи

Вы удаляете оповещение из инцидента, удаляя связь между ними. Используйте следующую конечную точку, чтобы удалить оповещение в существующий инцидент. После выполнения этого запроса оповещение больше не будет подключено к инциденту или появляться в нем.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Перечисление связей оповещений

Вы также можете перечислить все оповещения, связанные с конкретным инцидентом, с помощью этой конечной точки и запроса:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Конкретные коды ошибок

В общей документации по API перечислены ожидаемые коды ответов для операций Создать, Удалить и Перечислить, упомянутых выше. Коды ошибок упоминаются только в качестве общей категории. Ниже приведены возможные коды ошибок и сообщения, перечисленные в категории "Другие коды состояния":

Код Сообщение
400 Bad Request (Неверный запрос) Не удалось создать связь. Другой тип связи с именем {relationName} уже существует в инциденте {incidentIdentifier}.
400 Bad Request (Неверный запрос) Не удалось создать связь. Оповещение {systemAlertId} уже существует в инциденте {incidentIdentifier}.
400 Bad Request (Неверный запрос) Не удалось создать связь. Связанные ресурсы и инциденты должны принадлежать к одной рабочей области.
400 Bad Request (Неверный запрос) Не удалось создать связь. Оповещения XDR в Microsoft Defender нельзя добавить в инциденты XDR в Microsoft Defender.
400 Bad Request (Неверный запрос) Не удалось удалить связь. Оповещения XDR в Microsoft Defender нельзя удалить из инцидентов XDR в Microsoft Defender.
404 Not Found (Не найдено) Ресурс '{systemAlertId}' не существует.
404 Not Found (Не найдено) Инцидент не существует.
409 Conflict (Конфликт) Не удалось создать связь. Отношение с именем {relationName} уже существует в инциденте {incidentIdentifier} к другому оповещению {systemAlertId}.

Следующие шаги

Из этой статьи вы узнали, как добавлять оповещения в инциденты и удалять их с помощью портала Microsoft Sentinel и API. Дополнительные сведения см. в разделе: