自動從 Microsoft 安全性警示建立事件
在連線至 Microsoft Sentinel 的 Microsoft 安全性解決方案 (例如 Microsoft Defender for Cloud Apps 和適用於身分識別的 Microsoft Defender) 中,觸發的警示不會在 Microsoft Sentinel 中自動建立事件。 根據預設,當您將 Microsoft 解決方案連線至 Microsoft Sentinel 時,該服務中產生的任何警示都會內嵌並儲存在 Microsoft Sentinel 工作區的 SecurityAlert 數據表中。 然後,就可以像您內嵌到 Microsoft Sentinel 中的任何其他原始資料一樣使用該資料。
您可以遵循本文中的指示,輕鬆將 Microsoft Sentinel 設定為每次在已連線的 Microsoft 安全性解決方案中觸發警示時,就自動建立事件。
重要
如果您有下列專案 ,本文不適用:
- 已啟用 Microsoft Defender 全面偵測回應 事件整合,或
- 將 Microsoft Sentinel 上線至統一的安全性作業平臺。
在這些案例中,Microsoft Defender 全面偵測回應 從 Microsoft 服務 中產生的警示建立事件。
必要條件
從 Microsoft Sentinel 中的 [內容中樞] 安裝適當的解決方案,並設定資料連接器,以連線您的安全性解決方案。 如需詳細資訊,請參閱探索及管理 Microsoft Sentinel 現用內容和 Microsoft Sentinel 資料連接器。
使用 Microsoft 安全性的建立事件分析規則
使用 Microsoft Sentinel 中可用的規則範本,選擇哪些連線的 Microsoft 安全性解決方案應該自動建立 Microsoft Sentinel 事件。 您也可以編輯這些規則來定義更具體的選項,以便篩選 Microsoft 安全性解決方案所產生的哪些警示應該在 Microsoft Sentinel 中建立事件。 例如,您可以選擇只從高嚴重性的「適用於雲端的 Microsoft Defender」警示,自動建立 Microsoft Sentinel 事件。
在 Azure 入口網站的 [Microsoft Sentinel] 下,選取 [分析]。
選取 [規則範本] 索引標籤,以查看所有分析規則範本。 若要尋找更多規則範本,請移至 Microsoft Sentinel 中的 [內容中樞]。
選擇您要使用的 Microsoft 安全性分析規則範本,然後選取 [建立規則]。
您可以修改規則詳細資料,然後選擇篩選將會依警示嚴重性或依警示名稱內含文字建立事件的警示。
例如,如果您在 [Microsoft 安全性服務] 欄位中選擇 [適用於雲端的 Microsoft Defender],並在 [依嚴重性篩選] 欄位中選擇 [高],則只有高嚴重性安全性警示會自動在 Microsoft Sentinel 中建立事件。
您也可以按一下 [+建立],並選取 [Microsoft 事件建立規則],以建立新的 Microsoft 安全性規則來篩選來自不同 Microsoft 安全性服務的警示。
每種 Microsoft 安全性服務類型可以建立一個以上的 Microsoft 安全性分析規則。 這不會建立重複的事件,因為每個規則都當作篩選條件使用。 即使警示符合一個以上的 Microsoft 安全性分析規則,也只會建立一個 Microsoft Sentinel 事件。
在連線期間自動啟用事件產生
當您連線到 Microsoft 安全性解決方案時,您可以選擇是否要讓來自安全性解決方案的警示自動在 Microsoft Sentinel 中自動產生事件。
連線 Microsoft 安全性解決方案資料來源。
在 [建立事件] 下,選取 [啟用] 來啟用預設分析規則,以自動從已連線的安全性服務中產生的警示建立事件。 接著,您可以在 [分析] 下編輯此規則,然後編輯 [有效規則]。
下一步
- 若要開始使用 Microsoft Sentinel,您需要 Microsoft Azure 訂用帳戶。 如果您沒有訂用帳戶,可以註冊免費試用。
- 了解如何將資料上線到 Microsoft Sentinel,並了解您的資料和潛在威脅。