在 Microsoft Sentinel 中手動建立您自己的事件
重要
使用入口網站或Logic Apps手動建立事件目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
使用 API 正式推出手動事件建立。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
使用 Microsoft Sentinel 作為安全性資訊和事件管理 (SIEM) 解決方案,安全性作業的威脅偵測和響應活動會以您調查和補救的事件為中心。 這些事件有兩個主要來源:
當偵測機制在 Microsoft Sentinel 從其連接的數據源擷取的記錄和警示上運作時,系統會自動產生它們。
它們會直接從其他已連線的 Microsoft 安全性服務內嵌,例如建立這些服務 Microsoft Defender 全面偵測回應。
不過,威脅數據也可能來自未內嵌至 Microsoft Sentinel 的其他來源,或未記錄在任何記錄檔中的事件,但也可以證明開啟調查是正當的。 例如,員工可能會注意到一個無法辨識的人員參與與貴組織資訊資產相關的可疑活動。 此員工可能會撥打或傳送電子郵件給安全性作業中心(SOC)報告活動。
Microsoft Sentinel 可讓您的安全性分析師手動為任何類型的事件建立事件,而不論其來源或數據為何,因此您不會錯過調查這些不尋常的威脅類型。
常見使用案例
建立報告事件的事件
這是上述簡介中所述的案例。
從外部系統建立事件
根據記錄未擷取至 Microsoft Sentinel 的系統事件,建立事件。 例如,以 SMS 為基礎的網路釣魚活動可能會使用貴組織的公司品牌和主題,以員工的個人行動裝置為目標。 您可能想要調查這類攻擊,而且您可以在 Microsoft Sentinel 中建立事件,以便您有一個平臺來管理調查、收集和記錄證據,以及記錄您的回應和緩和動作。
根據搜捕結果建立事件
根據搜捕活動的觀察結果建立事件。 例如,在特定調查(或您自己的情況下)進行威脅搜捕時,您可能會發現完全無關的威脅證據,而該威脅需要單獨調查。
手動建立事件
有三種方式可以手動建立事件:
- 使用 Azure 入口網站 建立事件
- 使用 Azure Logic Apps 建立事件,並使用 Microsoft Sentinel 事件觸發程式。
- 透過事件作業群組,使用 Microsoft Sentinel API 建立事件。 它可讓您取得、建立、更新和刪除事件。
將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站中的統一安全性作業平台之後,手動建立的事件將不會與統一平臺同步處理,不過它們仍然可以在 Azure 入口網站 的 Microsoft Sentinel 中檢視和管理,以及透過 Logic Apps 和 API。
使用 Azure 入口網站 建立事件
選取 [Microsoft Sentinel ],然後選擇您的工作區。
從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件]。
在 [ 事件] 頁面上,從按鈕欄選取 [+ 建立事件][預覽 ]。
[ 建立事件 ][預覽] 面板會在畫面右側開啟。
據以填入面板中的欄位。
職稱
- 輸入您為事件選擇的標題。 此事件會出現在具有此標題的佇列中。
- 必要。 無限制長度的免費文字。 將會修剪空格。
說明
- 輸入事件的描述性資訊,包括事件來源、涉及的任何實體、與其他事件相關的詳細數據、已通知的人員等等。
- 選擇性。 最多 5000 個字元的免費文字。
嚴重性
- 從下拉式清單中選擇嚴重性。 所有 Microsoft Sentinel 支援的嚴重性都可供使用。
- 必要。 預設為 「中」。
狀態
- 從下拉式清單中選擇狀態。 所有 Microsoft Sentinel 支援的狀態都可供使用。
- 必要。 預設為 「新增」。
- 您可以建立狀態為「已關閉」的事件,然後手動開啟事件,以便進行變更並選擇不同的狀態。 從下拉式清單中選擇 [已關閉] 將會啟用 分類原因 欄位,讓您選擇關閉事件的原因並新增批注。
負責人
- 從租使用者中的可用使用者或群組中選擇。 開始輸入名稱以搜尋使用者和群組。 選取欄位(按兩下或點選)以顯示建議清單。 選擇清單頂端的 [指派給我] 以將事件指派給自己。
- 選擇性。
Tags (標籤)
- 使用標記來分類事件,並在佇列中篩選並找出它們。
- 選取 加號圖示、在對話框中輸入文字,然後選取 [ 確定] 來建立標記。 自動完成會建議在工作區中在過去兩周內使用的標籤。
- 選擇性。 自由文字。
選取 面板底部的 [建立 ]。 幾秒鐘之後,就會建立事件,並會出現在事件佇列中。
如果您將事件指派為「已關閉」的狀態,則在變更 狀態 篩選以顯示已關閉的事件之前,它不會出現在佇列中。 根據預設,篩選條件只會顯示狀態為 「新增」或「作用中」的事件。
選取佇列中的事件以查看其完整詳細數據、新增書籤、變更其擁有者和狀態等等。
如果基於某些原因,您在建立事件之後改變主意,您可以從 佇列方格或事件本身內將其刪除 。
使用 Azure Logic Apps 建立事件
您也可以在 Microsoft Sentinel 連接器中建立事件作為 Logic Apps 動作,因此也可在 Microsoft Sentinel 劇本中使用。
您可以在 事件觸發程式的劇本架構中找到建立事件 (預覽) 動作。
您需要提供參數,如下所示:
從各自的下拉式清單中選取您的訂用帳戶、資源群組和工作區名稱。
如需其餘欄位,請參閱上述說明(使用 Azure 入口網站 建立事件底下)。
Microsoft Sentinel 提供一些範例劇本範本,示範如何使用這項功能:
- 使用 Microsoft Form 建立事件
- 從共用電子郵件收件匣建立事件
您可以在 Microsoft Sentinel 自動化 頁面的劇本範本資源庫中找到它們。
使用 Microsoft Sentinel API 建立事件
事件作業群組不僅可讓您建立,也可讓您更新(編輯)、取得(擷取)、清單和刪除事件。
您可以使用 下列端點建立事件 。 提出此要求之後,事件就會顯示在入口網站的事件佇列中。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
以下是要求本文看起來可能的樣子範例:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
備註
手動建立的事件不包含任何實體或警示。 因此,在事件頁面中的 [ 警示] 索引標籤會保持空白,直到您將 現有的警示與您的事件產生關聯為止。
[實體] 索引標籤也會保持空白,因為目前不支援將實體直接新增至手動建立的事件。 (如果您將警示與此事件產生關聯,警示中的實體就會出現在事件中。
手動建立的事件也不會在佇列中顯示任何 產品名稱 。
事件佇列預設會篩選,只顯示狀態為「新增」或「作用中」的事件。如果您建立狀態為「已關閉」的事件,在您變更狀態篩選以顯示已關閉的事件之前,它就不會出現在佇列中。
下一步
如需詳細資訊,請參閱