Manuelles Erstellen eigener Vorfälle in Microsoft Sentinel

Wichtig

Die manuelle Vorfallerstellung über das Portal oder Logic Apps befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die manuelle Vorfallerstellung steht in der Regel über die API zur Verfügung.

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Mit Microsoft Sentinel als Ihre SIEM-Lösung (Security Information and Event Management) konzentrieren sich die Bedrohungserkennungs- und Reaktionsaktivitäten Ihrer Sicherheitsvorgänge auf Vorfälle, die Sie untersuchen und beheben. Diese Vorfälle haben zwei Hauptquellen:

  • Sie werden automatisch generiert, wenn Erkennungsmechanismen anhand von Protokollen und Warnungen ausgeführt werden, die Microsoft Sentinel aus den mit ihm verbundenen Datenquellen erfasst.

  • Sie werden direkt von anderen verbundenen Microsoft-Sicherheitsdiensten (z. B. Microsoft Defender XDR) erfasst, die sie erstellt haben.

Bedrohungsdaten können jedoch auch aus anderen Quellen stammen, die nicht in Microsoft Sentinel erfasst wurden, oder von Ereignissen, die in keinem Protokoll erfasst wurden, und können dennoch die Einleitung einer Untersuchung rechtfertigen. Beispielsweise kann ein*e Mitarbeiter*in feststellen, dass eine nicht erkannte Person verdächtige Aktivitäten im Zusammenhang mit den Informationsressourcen Ihrer Organisation ausführt. Diese*r Mitarbeiter*in kann unter Umständen das Security Operations Center (SOC) anrufen oder ihm eine E-Mail senden, um die Aktivität zu melden.

Microsoft Sentinel ermöglicht es Ihren Sicherheitsanalyst*innen, unabhängig von der Quelle oder den Daten Vorfälle für jeden Ereignistyp manuell zu erstellen, sodass Sie es nicht versäumen, diese ungewöhnlichen Arten von Bedrohungen zu untersuchen.

Gängige Anwendungsfälle

Erstellen eines Vorfalls zu einem gemeldeten Ereignis

Dies ist das oben in der Einführung beschriebene Szenario.

Erstellen von Vorfällen aufgrund von Ereignissen in externen Systemen

Erstellen Sie Vorfälle basierend auf Ereignissen in Systemen, deren Protokolle nicht in Microsoft Sentinel erfasst werden. Beispielsweise kann eine SMS-basierte Phishingkampagne das Branding und das Corporate Design Ihrer Organisation verwenden, um die Mitarbeiter über ihre privaten mobilen Geräte zu erreichen. Möglicherweise möchten Sie einen solchen Angriff untersuchen, und Sie können einen Vorfall in Microsoft Sentinel erstellen, damit Sie über eine Plattform zum Verwalten Ihrer Untersuchung, zum Sammeln und Protokollieren von Beweisen und zum Erfassen Ihrer Reaktion und Aktionen zur Abschwächung des Angriffs verfügen.

Erstellen von Vorfällen basierend auf Suchergebnissen

Erstellen Sie Vorfälle basierend auf den beobachteten Ergebnissen der Suchaktivitäten. Während die Bedrohungssuche beispielsweise in Bezug auf eine bestimmte Untersuchung durchgeführt wird (oder auf eigene Faust), könnten Sie Beweise für eine davon unabhängige Bedrohung finden, die ihre eigene separate Untersuchung erforderlich macht.

Manuelles Erstellen eines Vorfalls

Es gibt drei Möglichkeiten, einen Vorfall manuell zu erstellen:

Nach dem Onboarding von Microsoft Sentinel in die einheitliche Plattform für Sicherheitsvorgänge im Microsoft Defender-Portal werden manuell erstellte Vorfälle nicht mit der einheitlichen Plattform synchronisiert, sie können jedoch weiterhin in Microsoft Sentinel im Azure-Portal und über Logic Apps und die API angezeigt und verwaltet werden.

Erstellen eines Vorfalls im Azure-Portal

  1. Wählen Sie Microsoft Sentinel aus und anschließend Ihren Arbeitsbereich aus.

  2. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

  3. Wählen Sie auf der Seite Vorfälle die Option + Vorfall erstellen (Vorschau) aus der Schaltflächenleiste aus.

    Screenshot des Hauptvorfallbildschirms mit der Schaltfläche zum manuellen Erstellen eines neuen Vorfalls.

    Der Bereich Vorfall erstellen (Vorschau) wird rechts auf dem Bildschirm angezeigt.

    Screenshot des Bereichs für die manuelle Erstellung eines Vorfalls mit leeren Feldern.

  4. Füllen Sie die Felder in dem Bereich entsprechend aus.

    • Titel

      • Geben Sie einen Titel Ihrer Wahl für den Vorfall ein. Der Vorfall wird in der Warteschlange mit diesem Titel angezeigt.
      • Erforderlich. Freitext mit unbegrenzter Länge. Leerzeichen werden gekürzt.
    • Beschreibung

      • Geben Sie beschreibende Informationen zu dem Vorfall ein, z. B. Details wie den Ursprung des Vorfalls, alle beteiligten Entitäten, die Beziehung zu anderen Ereignissen, wer informiert wurde usw.
      • Optional. Freitext bis zu 5000 Zeichen
    • Severity

      • Wählen Sie aus der Dropdownliste einen Schweregrad aus. Es stehen alle von Microsoft Sentinel unterstützten Schweregrade zur Verfügung.
      • Erforderlich. Die Standardeinstellung lautet „Mittel“.
    • Status

      • Wählen Sie aus der Dropdownliste einen Status aus. Es stehen alle von Microsoft Sentinel unterstützten Status zur Verfügung.
      • Erforderlich. Der Standardwert lautet „Neu“.
      • Sie können einen Vorfall mit dem Status „geschlossen“ erstellen und ihn anschließend manuell öffnen, um Änderungen vorzunehmen und einen anderen Status auszuwählen. Wenn Sie „geschlossen“ aus dem Dropdown-Menü auswählen, werden die Felder für den Klassifizierungsgrund angezeigt, aus denen Sie einen Grund für das Schließen des Vorfalls auswählen und in die Sie Kommentare eingeben können. Screenshot der Felder für den Klassifizierungsgrund für das Schließen eines Vorfalls.
    • Besitzer

      • Treffen Sie Ihre Auswahl aus den verfügbaren Benutzern oder Gruppen in Ihrem Mandanten. Beginnen Sie mit der Eingabe eines Namens, um nach Benutzern und Gruppen zu suchen. Wählen Sie das Feld (durch Klicken oder Tippen) aus, um eine Liste mit Vorschlägen anzuzeigen. Wählen Sie oben in der Liste „Mir zuweisen“ aus, um sich den Vorfall selbst zuzuweisen.
      • Optional.
    • Tags

      • Verwenden Sie Tags, um Vorfälle zu klassifizieren und um sie in der Warteschlange zu filtern und zu suchen.
      • Erstellen Sie Tags, indem Sie das Pluszeichen auswählen, Text in das Dialogfeld eingeben und OK auswählen. Im Rahmen der automatischen Vervollständigung werden Tags vorgeschlagen, die im Laufe der letzten beiden Wochen in dem Arbeitsbereich verwendet worden sind.
      • Optional. Freitext
  5. Wählen Sie unten in dem Bereich Erstellen aus. Nach wenigen Sekunden wird der Vorfall erstellt und in der Vorfallwarteschlange angezeigt.

    Wenn Sie einem Vorfall den Status „Geschlossen“ zuweisen, wird er erst in der Warteschlange angezeigt, wenn Sie den Filter für den Status so ändern, dass auch geschlossene Vorfälle angezeigt werden. Der Filter ist standardmäßig so eingestellt, dass nur Vorfälle mit dem Status „Neu“ oder „Aktiv“ angezeigt werden.

Wählen Sie den Vorfall aus der Warteschlange aus, um sämtliche Details dazu anzuzeigen, Textmarken hinzuzufügen, den Besitzer und den Status zu ändern usw.

Wenn Sie ihre Meinung nach dem Erstellen des Vorfalls aus irgendeinem Grund ändern, können Sie sie aus dem Warteschlangenraster oder aus dem Vorfall selbst löschen.

Erstellen eines Vorfalls mithilfe von Azure Logic Apps

Sie können einen Vorfall auch als Logic Apps-Aktion im Microsoft Sentinel-Connector und damit in den Microsoft Sentinel-Playbooks erstellen.

Die Aktion Vorfall erstellen (Vorschau) finden Sie im Playbook-Schema für den Vorfallauslöser.

Screenshot der Logic App-Aktion zum Erstellen eines Vorfalls im Microsoft Sentinel-Connector.

Sie müssen, wie unten beschrieben, Parameter angeben:

  • Wählen Sie aus den entsprechenden Dropdownlisten den Abonnement-, Ressourcengruppen- und Arbeitsbereichsnamen aus.

  • Weitere Felder finden Sie in den obigen Erläuterungen (unter Erstellen eines Vorfalls im Azure-Portal).

    Screenshot der Aktionsparameter zur Erstellung von Vorfällen im Microsoft Sentinel-Connector.

Microsoft Sentinel stellt einige Beispiel-Playbookvorlagen zur Verfügung, die Ihnen zeigen, wie Sie mit dieser Funktion arbeiten können:

  • Erstellen eines Vorfalls mit Microsoft Form
  • Erstellen eines Vorfalls aus dem freigegebenem E-Mail-Posteingang

Sie finden sie auf der Seite Microsoft Sentinel Automation im Playbook-Vorlagenkatalog.

Erstellen eines Vorfalls mithilfe der Microsoft Sentinel-API

Mit der Vorgangsgruppe Vorfälle können Sie Vorfälle nicht nur erstellen, sondern auch aktualisieren (bearbeiten), abrufen, auflisten und löschen.

Mithilfe des folgenden Endpunkts können Sie Vorfälle erstellen. Nach dieser Anforderung wird der Vorfall in der Vorfallwarteschlange im Portal angezeigt.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Hier sehen Sie ein Beispiel für einen möglichen Anforderungstext:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Notizen

  • Manuell erstellte Vorfälle enthalten weder Entitäten noch Warnungen. Daher bleibt die Registerkarte Warnungen auf der Vorfallseite leer, bis Sie vorhandene Warnungen mit Ihrem Vorfall verknüpfen.

    Die Registerkarte Entitäten bleibt ebenfalls leer, da das direkte Hinzufügen von Entitäten zu manuell erstellten Vorfällen derzeit nicht unterstützt wird. (Wenn Sie eine Warnung mit diesem Vorfall verknüpfen, werden Entitäten aus der Warnung in dem Vorfall angezeigt.)

  • Bei manuell erstellten Vorfällen werden auch keine Produktnamen in der Warteschlange angezeigt.

  • Die Vorfallwarteschlange wird standardmäßig so gefiltert, dass nur Vorfälle mit dem Status „Neu“ oder „Aktiv“ angezeigt werden. Wenn Sie einen Vorfall mit einem Status „Geschlossen“ erstellen, wird er erst in der Warteschlange angezeigt, wenn Sie den Statusfilter so ändern, dass geschlossene Vorfälle angezeigt werden.

Nächste Schritte

Weitere Informationen finden Sie unter