Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.
Beskeder, der udløses i Microsoft-sikkerhedsløsninger, der er forbundet til Microsoft Sentinel, f.eks. Microsoft Defender for Cloud Apps og Microsoft Defender for Identity, opretter ikke automatisk hændelser i Microsoft Sentinel. Når du opretter forbindelse mellem en Microsoft-løsning og Microsoft Sentinel, indtages og gemmes alle beskeder, der genereres i den pågældende tjeneste, som standard i tabellen SecurityAlert i dit Microsoft Sentinel arbejdsområde. Du kan derefter bruge disse data som alle andre rådata, du indtager i Microsoft Sentinel.
Du kan nemt konfigurere Microsoft Sentinel til automatisk at oprette hændelser, hver gang en besked udløses i en forbundet Microsoft-sikkerhedsløsning, ved at følge vejledningen i denne artikel.
Vigtigt!
Denne artikel gælder ikke , hvis du har:
- Aktiveret Microsoft Defender XDR hændelsesintegration, eller
- Onboardet Microsoft Sentinel til Microsoft Defender-portalen.
I disse scenarier opretter Microsoft Defender XDR hændelser fra beskeder, der genereres i Microsoft-tjenester.
Hvis du bruger regler for oprettelse af hændelser for andre Microsoft-sikkerhedsløsninger eller -produkter, der ikke er integreret i Defender XDR, f.eks. Microsoft Purview Styring af insider-risiko, og du planlægger at onboarde til Defender-portalen, skal du erstatte dine regler for oprettelse af hændelser med planlagte analyseregler.
Forudsætninger
Opret forbindelse til din sikkerhedsløsning ved at installere den relevante løsning fra Indholdshub i Microsoft Sentinel og konfigurere dataconnectoren. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug, og Microsoft Sentinel dataconnectors.
Aktivér automatisk generering af hændelser i dataconnector
Den mest direkte måde automatisk at oprette hændelser fra vigtige beskeder, der genereres fra Microsofts sikkerhedsløsninger, er ved at konfigurere løsningens dataconnector til at oprette hændelser:
Opret forbindelse til en datakilde til en Microsoft-sikkerhedsløsning.
Under Opret hændelser – anbefales skal du vælge Aktivér for at aktivere den standardanalyseregel, der automatisk opretter hændelser fra beskeder, der genereres i den forbundne sikkerhedstjeneste. Du kan derefter redigere denne regel under Analytics og derefter Aktive regler.
Vigtigt!
Hvis du ikke kan se dette afsnit som vist, har du sandsynligvis aktiveret hændelsesintegration i din Microsoft Defender XDR connector, eller du har onboardet Microsoft Sentinel til Defender-portalen.
I begge tilfælde gælder denne artikel ikke for dit miljø, da dine hændelser oprettes af Microsoft Defender korrelationsprogrammet i stedet for af Microsoft Sentinel.
Opret regler for oprettelse af hændelser ud fra en Microsoft Security-skabelon
Microsoft Sentinel indeholder foruddefinerede regelskabeloner til oprettelse af Microsoft Security-regler. Hver Microsoft-kildeløsning har sin egen skabelon. Der er f.eks. en til Microsoft Defender for Endpoint, en til Microsoft Defender til Cloud osv. Opret en regel ud fra hver skabelon, der svarer til løsningerne i dit miljø, som du vil oprette hændelser for automatisk. Rediger reglerne for at definere mere specifikke indstillinger for filtrering af, hvilke beskeder der skal resultere i hændelser. Du kan f.eks. vælge kun at oprette Microsoft Sentinel hændelser automatisk fra vigtige beskeder med høj alvorsgrad fra Microsoft Defender for Identity.
Vælg Analytics i navigationsmenuen Microsoft Sentinel under Konfiguration.
Vælg fanen Regelskabeloner for at se alle skabelonerne til analysereglen. Hvis du vil finde flere regelskabeloner, skal du gå til indholdshubben i Microsoft Sentinel.
Filtrer listen for microsoft-sikkerhedsregeltypen for at se skabelonerne til analysereglen til oprettelse af hændelser fra Microsoft-beskeder.
Vælg regelskabelonen for den beskedkilde, du vil oprette hændelser for. Vælg derefter Opret regel i detaljeruden.
Rediger regeloplysningerne, og filtrer de beskeder, der opretter hændelser efter alvorsgrad eller efter teksten i beskedens navn.
Hvis du f.eks. vælger Microsoft Defender for Identity i feltet Microsoft-sikkerhedstjeneste og vælger Høj i feltet Filtrer efter alvorsgrad, oprettes der automatisk hændelser i Microsoft Sentinel.
På samme måde som med andre typer analyseregler skal du vælge fanen Automatiseret svar for at definere automatiseringsregler , der kører, når hændelser oprettes af denne regel.
Opret regler for oprettelse af hændelser fra bunden
Du kan også oprette en ny Microsoft-sikkerhedsregel , der filtrerer beskeder fra forskellige Microsoft-sikkerhedstjenester. På siden Analytics skal du vælge Opret > Microsoft-regel for oprettelse af hændelser.
Du kan oprette mere end én Microsoft Security Analytics-regel pr. Microsoft-sikkerhedstjenestetype . Dette opretter ikke duplikerede hændelser, hvis du anvender filtre på hver regel, der udelukker hinanden.
Næste trin
- For at komme i gang med Microsoft Sentinel skal du have et abonnement på Microsoft Azure. Hvis du ikke har et abonnement, kan du tilmelde dig en gratis prøveversion.
- Få mere at vide om, hvordan du onboarder dine data for at Microsoft Sentinel og få indsigt i dine data og potentielle trusler.