Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar

  • Artikel

Aviseringar som utlöses i Microsofts säkerhetslösningar som är anslutna till Microsoft Sentinel, till exempel Microsoft Defender för Molnappar och Microsoft Defender za identitet, skapar inte incidenter automatiskt i Microsoft Sentinel. När du ansluter en Microsoft-lösning till Microsoft Sentinel matas som standard alla aviseringar som genereras i tjänsten in och lagras i tabellen SecurityAlert på din Microsoft Sentinel-arbetsyta. Du kan sedan använda dessa data som andra rådata som du matar in i Microsoft Sentinel.

Du kan enkelt konfigurera Microsoft Sentinel för att automatiskt skapa incidenter varje gång en avisering utlöses i en ansluten Microsoft-säkerhetslösning genom att följa anvisningarna i den här artikeln.

Viktigt!

Den här artikeln gäller inte om du har:

I dessa scenarier skapar Microsoft Defender XDR incidenter från aviseringar som genereras i Microsoft usluge.

Om du använder regler för att skapa incidenter för andra Microsoft-säkerhetslösningar eller produkter som inte är integrerade i Defender XDR, till exempel Microsoft Purview Insider Risk Management, och du planerar att registrera dig för den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen, ersätter du reglerna för incidentskapande med schemalagda analysregler.

Förutsättningar

Anslut din säkerhetslösning genom att installera lämplig lösning från innehållshubben i Microsoft Sentinel och konfigurera dataanslutningen. Mer information finns i Identifiera och hantera microsoft Sentinel-out-of-the-box-innehåll och Microsoft Sentinel-dataanslutningar.

Aktivera automatisk incidentgenerering i dataanslutningsappen

Det mest direkta sättet att automatiskt skapa incidenter från aviseringar som genereras från Microsofts säkerhetslösningar är att konfigurera lösningens dataanslutning för att skapa incidenter:

  1. Ansluta en Microsoft-säkerhetslösningsdatakälla.

    Skärmbild av konfigurationsskärmen för dataanslutningsappen.

  2. Under Skapa incidenter – Rekommenderas väljer du Aktivera för att aktivera standardanalysregeln som skapar incidenter automatiskt från aviseringar som genereras i den anslutna säkerhetstjänsten. Du kan sedan redigera den här regeln under Analys och sedan Aktiva regler.

    Viktigt!

    Om du inte ser det här avsnittet som det visas har du förmodligen aktiverat incidentintegrering i din Microsoft Defender XDR-anslutningsapp, eller så har du registrerat Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen.

    I båda fallen gäller inte den här artikeln för din miljö eftersom dina incidenter skapas av Microsoft Defender-korrelationsmotorn i stället för av Microsoft Sentinel.

Skapa regler för att skapa incidenter från en Microsoft Security-mall

Microsoft Sentinel tillhandahåller färdiga regelmallar för att skapa Microsoft-säkerhetsregler. Varje Microsoft-källlösning har en egen mall. Det finns till exempel en för Microsoft Defender za krajnju tačku, en för Microsoft Defender för molnet och så vidare. Skapa en regel från varje mall som motsvarar lösningarna i din miljö, för vilken du vill skapa incidenter automatiskt. Ändra reglerna för att definiera mer specifika alternativ för filtrering av vilka aviseringar som ska resultera i incidenter. Du kan till exempel välja att skapa Microsoft Sentinel-incidenter automatiskt endast från aviseringar med hög allvarlighetsgrad från Microsoft Defender za identitet.

  1. På Microsoft Sentinel-navigeringsmenyn går du till Konfiguration och väljer Analys.

  2. Välj fliken Regelmallar för att se alla analysregelmallar. Om du vill hitta fler regelmallar går du till innehållshubben i Microsoft Sentinel.

    Skärmbild av listan över regelmallar på analyssidan.

  3. Filtrera listan för Microsofts säkerhetsregeltyp för att se analysregelmallarna för att skapa incidenter från Microsoft-aviseringar.

    Skärmbild av microsofts lista över mallar för säkerhetsregler.

  4. Välj regelmallen för aviseringskällan som du vill skapa incidenter för. Välj sedan Skapa regel i informationsfönstret.

    Skärmbild av panelen med information om regelmallar.

  5. Ändra regelinformationen, filtrera de aviseringar som skapar incidenter efter allvarlighetsgrad eller text som finns i aviseringens namn.

    Om du till exempel väljer Microsoft Defender za identitet i fältet Microsofts säkerhetstjänst och väljer Hög i fältet Filtrera efter allvarlighetsgrad, skapar endast säkerhetsaviseringar med hög allvarlighetsgrad automatiskt incidenter i Microsoft Sentinel.

    Skärmbild av guiden för att skapa regler.

  6. Precis som med andra typer av analysregler väljer du fliken Automatiserat svar för att definiera automatiseringsregler som körs när incidenter skapas av den här regeln.

Skapa regler för att skapa incidenter från grunden

Du kan också skapa en ny Microsoft-säkerhetsregel som filtrerar aviseringar från olika Microsoft-säkerhetstjänster. På sidan Analys väljer du Skapa > microsofts regel för att skapa incidenter.

Skärmbild av hur du skapar en Microsoft-säkerhetsregel på sidan Analys.

Du kan skapa fler än en Microsoft Security-analysregel per Microsofts säkerhetstjänsttyp . Detta skapar inte dubblettincidenter om du tillämpar filter på varje regel som exkluderar varandra.

Nästa steg