Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
Manuaalinen tapausten luominen portaalin tai Logic Appsin avulla on tällä hetkellä ESIKATSELU-tilassa. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot-kohdassa on muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.
Manuaalinen tapausten luominen on yleisesti saatavilla ohjelmointirajapinnan avulla.
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.
Suojaustietoina ja tapahtumienhallintaratkaisuna Microsoft Sentinel suojaustoimintojen uhkien tunnistamis- ja reagointitoiminnot keskittyvät tapauksiin, joita tutkit ja korjaat. Näillä tapauksilla on kaksi päälähdettä:
Ne luodaan automaattisesti, kun tunnistusmekanismit toimivat lokeissa ja hälytyksissä, jotka Microsoft Sentinel sen yhdistetyistä tietolähteistä.
Niitä saa suoraan muista yhdistetyistä Microsoftin suojauspalveluista (kuten Microsoft Defender XDR), jotka loivat ne.
Uhkatiedot voivat kuitenkin olla peräisin myös muista lähteistä, joita ei ole käsitelty Microsoft Sentinel, tai tapahtumista, joita ei ole tallennettu mihinkään lokiin, ja ne voivat silti oikeuttaa tutkinnan aloittamisen. Työntekijä saattaa esimerkiksi huomata tunnistamattoman henkilön, joka harjoittaa epäilyttävää toimintaa, joka liittyy organisaatiosi tietovaroihin. Tämä työntekijä voi soittaa tai lähettää sähköpostia suojaustoimintokeskukseen (SOC) ilmoittaakseen aktiviteetin.
Microsoft Sentinel Azure-portaali avulla suojausanalyytikot voivat luoda manuaalisesti tapauksia minkä tahansa tyyppisille tapahtumille sen lähteestä tai tiedoista riippumatta, joten et jää paitsi näiden epätavallisten uhkien tutkimisesta.
Yleiset käyttötapaukset
Tapahtuman luominen raportoidulle tapahtumalle
Tämä on yllä olevassa johdannossa kuvattu skenaario.
Tapausten luominen ulkoisista järjestelmistä
Luo tapahtumia sellaisten järjestelmien tapahtumien perusteella, joiden lokeja ei sisällytetä Microsoft Sentinel. Esimerkiksi tekstiviestipohjainen tietojenkalastelukampanja saattaa käyttää organisaatiosi yritysbrändiyhteyksiä ja teemoja työntekijöiden henkilökohtaisten mobiililaitteiden kohdentamiseen. Haluat ehkä tutkia tällaista hyökkäystä ja voit luoda tapahtuman Microsoft Sentinel, jotta sinulla on alusta, jolla voit hallita tutkimuksiasi, kerätä ja kirjata todisteita sekä tallentaa vastaus- ja lieventämistoimintosi.
Metsästystuloksiin perustuvien tapausten luominen
Luo tapauksia metsästystoiminnan havaittujen tulosten perusteella. Vaikka esimerkiksi uhkien metsästys tietyn tutkimuksen yhteydessä (tai yksin), saatat törmätä todisteisiin täysin toisiinsa liittymättömästä uhasta, joka oikeuttaa oman erillisen tutkimuksensa.
Luo tapaus manuaalisesti
On kolme tapaa luoda tapaus manuaalisesti:
- Tapahtuman luominen Azure-portaali avulla
- Luo tapaus Azure Logic Appsin avulla käyttämällä Microsoft Sentinel Incident-käynnistintä.
- Luo tapaus Microsoft Sentinel-ohjelmointirajapinnan avullaTapahtumat-operaatioryhmän kautta. Sen avulla voit hakea, luoda, päivittää ja poistaa tapauksia.
Kun Microsoft Sentinel on otettu käyttöön Microsoft Defender-portaalissa, manuaalisesti luotuja tapauksia ei synkronoida Defender-portaalin kanssa, vaikka niitä voidaan edelleen tarkastella ja hallita Microsoft Sentinel Azure-portaali sekä Logic Appsin ja ohjelmointirajapinnan kautta.
Käyttöoikeudet
Tapahtuman manuaaliseen luomiseen tarvitaan seuraavat roolit ja käyttöoikeudet.
| Menetelmä | Pakollinen rooli |
|---|---|
| Azure-portaali ja ohjelmointirajapinta | Jokin seuraavista: |
| Azure Logic Apps | Yksi edellä mainituista plus: |
Lue lisätietoja rooleista Microsoft Sentinel.
Tapahtuman luominen Azure-portaali avulla
Valitse Microsoft Sentinel ja valitse työtilasi.
Valitse Microsoft Sentinel siirtymisvalikosta Tapaukset.
Valitse Tapaukset-sivulla+ Luo tapaus (esikatselu) painikepalkista.
Luo tapaus (esikatselu) -paneeli avautuu näytön oikealle puolelle.
Täytä paneelin kentät vastaavasti.
Title
- Anna tapahtumalle valitsemasi otsikko. Tapaus näkyy jonossa, jossa on tämä otsikko.
- Tarvitaan. Vapaa teksti, jonka pituus on rajoittamaton. Välilyönnit rajataan.
Kuvaus
- Anna tapahtumasta kuvaavia tietoja, kuten tapahtuman alkuperä, mukana olevat entiteetit, muihin tapahtumiin liittyvät tiedot ja niin edelleen.
- Valinnainen. Vapaata tekstiä enintään 5 000 merkkiä.
Vakavuus
- Valitse vakavuus avattavasta luettelosta. Kaikki Microsoft Sentinel tukemat vakavuusasteet ovat käytettävissä.
- Tarvitaan. Oletusarvo on "Normaali".
Tila
- Valitse tila avattavasta luettelosta. Kaikki Microsoft Sentinel tuetut tilat ovat käytettävissä.
- Tarvitaan. Oletusarvo on Uusi.
- Voit luoda tapahtuman, jonka tila on "suljettu", ja avata sen sitten manuaalisesti myöhemmin, jotta voit tehdä muutoksia ja valita eri tilan. Kun valitset avattavasta valikosta "suljettu", aktivoi luokituksen syy -kentät, joiden avulla voit valita syyn tapahtuman sulkemiselle ja lisätä kommentteja.
Omistaja
- Valitse vuokraajan käytettävissä olevista käyttäjistä tai ryhmistä. Aloita käyttäjien ja ryhmien etsiminen kirjoittamalla nimi. Valitse kenttä (napsauta tai napauta), jos haluat näyttää ehdotusluettelon. Valitse "määritä minulle" luettelon yläosasta ja määritä tapaus itsellesi.
- Valinnainen.
Tunnisteet
- Tunnisteiden avulla voit luokitella tapaukset sekä suodattaa ja paikantaa ne jonossa.
- Luo tunnisteita valitsemalla plusmerkkikuvake, kirjoittamalla tekstiä valintaikkunaan ja valitsemalla OK. Automaattinen täydennys ehdottaa tunnisteita, joita käytetään työtilassa kahden edellisen viikon aikana.
- Valinnainen. Vapaa teksti.
Valitse luo paneelin alareunasta. Muutaman sekunnin kuluttua tapaus luodaan ja se näkyy tapahtumajonossa.
Jos määrität tapahtumalle tilan "Suljettu", se ei näy jonossa, ennen kuin muutat tilasuodatinta näyttämään myös suljetut tapaukset. Suodatin on oletusarvoisesti määritetty näyttämään vain tapaukset, joiden tila on "Uusi" tai "Aktiivinen".
Valitse tapaus jonossa, jotta näet sen täydelliset tiedot, lisää kirjanmerkkejä, muuta sen omistajaa ja tilaa ja paljon muuta.
Jos jostain syystä muutat mielesi tapahtuman luomisen jälkeen, voit poistaa sen jonoruudukosta tai itse tapahtumasta. Sinulla on oltava osallistujan Microsoft Sentinel rooli, jotta voit poistaa tapahtuman.
Tapauksen luominen Azure Logic Appsin avulla
Tapauksen luominen on käytettävissä myös Logic Apps -toimintona Microsoft Sentinel-liittimessä ja siksi Microsoft Sentinel-pelikirjoissa.
Löydät Tapahtuma-käynnistimen Luo tapaus (esikatselu) -toiminnon playbook-rakenteesta.
Sinun on annettava alla kuvatut parametrit:
Valitse Tilaus-, Resurssi-ryhmä- ja Työtila-nimi niiden avattavasta luettelosta.
Katso jäljellä olevat kentät edellä olevista selityksistä (kohdasta Luo tapaus käyttämällä Azure-portaali).
Microsoft Sentinel toimittaa joitakin mallivedon malleja, jotka näyttävät, miten voit käyttää tätä ominaisuutta:
- Luo tapaus Microsoft Formilla
- Luo tapaus jaetusta sähköpostin Saapuneet-kansiosta
Löydät ne Microsoft Sentinel Automaatio-sivun playbook-mallivalikoimasta.
Tapahtuman luominen Microsoft Sentinel-ohjelmointirajapinnan avulla
Tapahtumat-toimintoryhmän avulla voit paitsi luoda, myös päivittää (muokata), hakea (noutaa), luetteloita ja poistaa tapauksia.
Voit luoda tapahtuman käyttämällä seuraavaa päätepistettä. Kun tämä pyyntö on tehty, tapaus näkyy portaalin tapausjonossa.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Tässä on esimerkki siitä, miltä pyynnön runko voi näyttää:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Huomautuksia
Manuaalisesti luodut tapaukset eivät sisällä entiteettejä tai hälytyksiä. Siksi Tapaus-sivun Ilmoitukset-välilehti pysyy tyhjänä, kunnes liität olemassa olevat hälytykset tapahtumaasi.
Myös Entiteetit-välilehti pysyy tyhjänä, sillä entiteettien lisäämistä suoraan manuaalisesti luotuihin tapauksiin ei tällä hetkellä tueta. (Jos liität hälytyksen tähän tapaukseen, hälytyksen entiteetit näkyvät tapahtumassa.)
Manuaalisesti luodut tapaukset eivät myöskään näytä jonossa mitään tuotteen nimeä .
Tilannejono suodatetaan oletusarvoisesti näyttämään vain tapaukset, joiden tila on "Uusi" tai "Aktiivinen". Jos luot tapahtuman, jonka tila on "Suljettu", se ei näy jonossa, ennen kuin muutat tilasuodatinta näyttämään myös suljetut tapaukset.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: