Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Manuel oprettelse af hændelser ved hjælp af portalen eller Logic Apps findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Manuel oprettelse af hændelser er generelt tilgængelig ved hjælp af API'en.
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.
Med Microsoft Sentinel som din SIEM-løsning (security information and event management) er dine sikkerhedshandlingers trusselsregistrerings- og svaraktiviteter centreret om hændelser, som du undersøger og afhjælper. Disse hændelser har to primære kilder:
De genereres automatisk, når der arbejdes med registreringsmekanismer på de logge og beskeder, der Microsoft Sentinel fra de forbundne datakilder.
De indtages direkte fra andre forbundne Microsoft-sikkerhedstjenester (f.eks. Microsoft Defender XDR), der har oprettet dem.
Trusselsdata kan dog også komme fra andre kilder, der ikke indtages i Microsoft Sentinel, eller hændelser, der ikke er registreret i nogen log, og alligevel kan retfærdiggøre åbning af en undersøgelse. En medarbejder kan f.eks. bemærke en ukendt person, der er involveret i mistænkelig aktivitet, der er relateret til organisationens informationsaktiver. Denne medarbejder kan ringe til eller sende en mail til SOC (Security Operations Center) for at rapportere aktiviteten.
Microsoft Sentinel i Azure Portal gør det muligt for dine sikkerhedsanalytikere manuelt at oprette hændelser for enhver type hændelse, uanset kilden eller dataene, så du ikke går glip af at undersøge disse usædvanlige typer trusler.
Almindelige use cases
Opret en hændelse for en rapporteret hændelse
Dette er det scenarie, der er beskrevet i introduktionen ovenfor.
Opret hændelser ud af hændelser fra eksterne systemer
Opret hændelser baseret på hændelser fra systemer, hvis logge ikke overføres til Microsoft Sentinel. En sms-baseret phishing-kampagne kan f.eks. bruge organisationens firmabranding og temaer til at målrette medarbejdernes personlige mobilenheder. Det kan være en god idé at undersøge et sådant angreb, og du kan oprette en hændelse i Microsoft Sentinel, så du har en platform til at administrere din undersøgelse, indsamle og logføre beviser og registrere dine svar- og afhjælpningshandlinger.
Opret hændelser baseret på jagtresultater
Opret hændelser baseret på de observerede resultater af jagtaktiviteter. For eksempel, mens trusselsjagt i forbindelse med en bestemt undersøgelse (eller på egen hånd), kan du støde på beviser på en helt ikke-relateret trussel, der berettiger til sin egen separate undersøgelse.
Opret en hændelse manuelt
Der er tre måder at oprette en hændelse manuelt på:
- Opret en hændelse ved hjælp af Azure Portal
- Opret en hændelse ved hjælp af Azure Logic Apps ved hjælp af udløseren Microsoft Sentinel Hændelse.
- Opret en hændelse ved hjælp af api'en Microsoft Sentinel via handlingsgruppen Hændelser. Det giver dig mulighed for at hente, oprette, opdatere og slette hændelser.
Når du har onboardet Microsoft Sentinel til Microsoft Defender-portalen, synkroniseres manuelt oprettede hændelser ikke med Defender-portalen, selvom de stadig kan ses og administreres i Microsoft Sentinel i Azure Portal og via Logic Apps og API'en.
Tilladelser
Følgende roller og tilladelser er påkrævet for at oprette en hændelse manuelt.
| Metode | Påkrævet rolle |
|---|---|
| Azure Portal og API | Et af følgende: |
| Azure Logic Apps | En af ovenstående plus: |
Få mere at vide om roller i Microsoft Sentinel.
Opret en hændelse ved hjælp af Azure Portal
Vælg Microsoft Sentinel, og vælg dit arbejdsområde.
Vælg Hændelser i navigationsmenuen Microsoft Sentinel.
På siden Hændelser skal du vælge + Opret hændelse (prøveversion) på knaplinjen.
Panelet Opret hændelse (prøveversion) åbnes i højre side af skærmen.
Udfyld felterne i panelet tilsvarende.
Titel
- Angiv en titel, som du vælger til hændelsen. Hændelsen vises i køen med denne titel.
- Kræves. Fri tekst med ubegrænset længde. Mellemrum beskæres.
Beskrivelse
- Angiv beskrivende oplysninger om hændelsen, herunder oplysninger som f.eks. hændelsens oprindelse, alle involverede enheder, relation til andre hændelser, der blev informeret osv.
- Valgfri. Fritekst på op til 5000 tegn.
Sværhedsgraden
- Vælg en alvorsgrad på rullelisten. Alle Microsoft Sentinel understøttede severities er tilgængelige.
- Kræves. Som standard "Mellem".
Status
- Vælg en status på rullelisten. Alle Microsoft Sentinel understøttede statusser er tilgængelige.
- Kræves. Som standard "Ny".
- Du kan oprette en hændelse med statussen "lukket" og derefter åbne den manuelt bagefter for at foretage ændringer og vælge en anden status. Hvis du vælger "lukket" på rullelisten, aktiveres felter med klassificeringsårsager , så du kan vælge en årsag til at lukke hændelsen og tilføje kommentarer.
Ejer
- Vælg mellem de tilgængelige brugere eller grupper i din lejer. Begynd at skrive et navn for at søge efter brugere og grupper. Vælg feltet (klik eller tryk) for at få vist en liste over forslag. Vælg "Tildel til mig" øverst på listen for at tildele hændelsen til dig selv.
- Valgfri.
Mærker
- Brug mærker til at klassificere hændelser og til at filtrere og finde dem i køen.
- Opret mærker ved at vælge plustegnsikonet, skrive tekst i dialogboksen og vælge OK. Automatisk fuldførelse foreslår mærker, der bruges i arbejdsområdet i løbet af de seneste to uger.
- Valgfri. Fri tekst.
Vælg Opret nederst i panelet. Efter et par sekunder oprettes hændelsen og vises i hændelseskøen.
Hvis du tildeler en hændelse statussen "Lukket", vises den ikke i køen, før du ændrer statusfilteret for også at vise lukkede hændelser. Filteret er som standard angivet til kun at vise hændelser med statussen "Ny" eller "Aktiv".
Vælg hændelsen i køen for at se de fulde oplysninger, tilføje bogmærker, ændre dens ejer og status og meget mere.
Hvis du af en eller anden grund skifter mening efter det faktum, at du har oprettet hændelsen, kan du slette den fra køgitteret eller fra selve hændelsen. Du skal have rollen Microsoft Sentinel bidragyder for at slette en hændelse.
Opret en hændelse ved hjælp af Azure Logic Apps
Oprettelse af en hændelse er også tilgængelig som en Logic Apps-handling i Microsoft Sentinel connector og derfor i Microsoft Sentinel playbooks.
Du kan finde handlingen Opret hændelse (prøveversion) i playbook-skemaet for hændelsesudløseren.
Du skal angive parametre som beskrevet nedenfor:
Vælg dit abonnement, din ressourcegruppe og dit arbejdsområde på deres respektive rullemenuer.
Du kan se de resterende felter i forklaringerne ovenfor (under Opret en hændelse ved hjælp af Azure Portal).
Microsoft Sentinel indeholder nogle eksempler på playbook-skabeloner, der viser dig, hvordan du arbejder med denne funktion:
- Opret hændelse med Microsoft Form
- Opret hændelse fra delt indbakke
Du kan finde dem i galleriet med skabeloner til playbooks på siden Microsoft Sentinel Automation.
Opret en hændelse ved hjælp af API'en til Microsoft Sentinel
Handlingsgruppen Hændelser giver dig ikke kun mulighed for at oprette, men også opdatere (redigere), hente (hente), vise og slette hændelser.
Du opretter en hændelse ved hjælp af følgende slutpunkt. Når denne anmodning er foretaget, er hændelsen synlig i hændelseskøen på portalen.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Her er et eksempel på, hvordan en brødtekst i en anmodning kan se ud:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Bemærkninger
Hændelser, der er oprettet manuelt, indeholder ingen enheder eller beskeder. Fanen Beskeder på hændelsessiden forbliver derfor tom, indtil du relaterer eksisterende beskeder til din hændelse.
Fanen Enheder forbliver også tom, da tilføjelse af objekter direkte til manuelt oprettede hændelser ikke understøttes i øjeblikket. Hvis du relaterer en besked til denne hændelse, vises enheder fra beskeden i hændelsen.
Manuelt oprettede hændelser viser heller ikke noget Produktnavn i køen.
Hændelseskøen filtreres som standard, så der kun vises hændelser med statussen "Ny" eller "Aktiv". Hvis du opretter en hændelse med statussen "Lukket", vises den ikke i køen, før du ændrer statusfilteret for også at vise lukkede hændelser.
Næste trin
Du kan finde flere oplysninger under: