Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktig
Manuell oppretting av hendelser, ved hjelp av portalen eller Logic Apps, er for øyeblikket i FORHÅNDSVERSJON. Se tilleggsvilkårene for bruk for Microsoft Azure previews for flere juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.
Manuell oppretting av hendelser er generelt tilgjengelig ved hjelp av API-en.
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.
Med Microsoft Sentinel som sikkerhetsinformasjons- og hendelsesbehandlingsløsning (SIEM), er sikkerhetsoperasjonenes trusselregistrerings- og responsaktiviteter sentrert rundt hendelser som du undersøker og utbedrer. Disse hendelsene har to hovedkilder:
De genereres automatisk når gjenkjenningsmekanismer opererer på loggene og varslene som Microsoft Sentinel inntak fra de tilkoblede datakildene.
De tas inn direkte fra andre tilkoblede Microsoft-sikkerhetstjenester (for eksempel Microsoft Defender XDR) som opprettet dem.
Trusseldata kan imidlertid også komme fra andre kilder som ikke er inntatt i Microsoft Sentinel, eller hendelser som ikke er registrert i noen logg, og likevel kan rettferdiggjøre åpning av en undersøkelse. En ansatt kan for eksempel legge merke til en ukjent person som deltar i mistenkelig aktivitet relatert til organisasjonens informasjonsressurser. Denne ansatte kan ringe eller sende e-post til sikkerhetsoperasjonssenteret (SOC) for å rapportere aktiviteten.
Microsoft Sentinel i Azure Portal lar sikkerhetsanalytikerne manuelt opprette hendelser for alle typer hendelser, uavhengig av kilde eller data, slik at du ikke går glipp av å undersøke disse uvanlige typene trusler.
Vanlige brukstilfeller
Opprette en hendelse for en rapportert hendelse
Dette er scenarioet som er beskrevet i innledningen ovenfor.
Opprette hendelser utenfor hendelser fra eksterne systemer
Opprett hendelser basert på hendelser fra systemer der loggene ikke blir inntatt i Microsoft Sentinel. En SMS-basert phishing-kampanje kan for eksempel bruke organisasjonens varemerking og temaer til å målrette mot ansattes personlige mobilenheter. Du vil kanskje undersøke et slikt angrep, og du kan opprette en hendelse i Microsoft Sentinel slik at du har en plattform for å administrere etterforskningen, samle inn og logge bevis og registrere svar- og begrensningshandlingene dine.
Opprette hendelser basert på jaktresultater
Opprett hendelser basert på observerte resultater av jaktaktiviteter. For eksempel, mens trusseljakt i sammenheng med en bestemt undersøkelse (eller på egen hånd), kan du komme over bevis på en helt urelatert trussel som garanterer sin egen separate undersøkelse.
Opprette en hendelse manuelt
Det finnes tre måter å opprette en hendelse på manuelt:
- Opprette en hendelse ved hjelp av Azure Portal
- Opprett en hendelse ved hjelp av Azure Logic Apps ved hjelp av Microsoft Sentinel Hendelse-utløseren.
- Opprett en hendelse ved hjelp av Microsoft Sentinel-API gjennom hendelsesoperasjonsgruppen. Den lar deg få, opprette, oppdatere og slette hendelser.
Når pålasting Microsoft Sentinel til Microsoft Defender-portalen, synkroniseres ikke manuelt opprettede hendelser med Defender-portalen, selv om de fortsatt kan vises og administreres i Microsoft Sentinel i Azure Portal, gjennom Logic Apps og API-en.
Tillatelser
Følgende roller og tillatelser kreves for å opprette en hendelse manuelt.
| Metode | Obligatorisk rolle |
|---|---|
| Azure Portal og API | Ett av følgende: |
| Azure Logic Apps | Ett av de ovennevnte, pluss: |
Mer informasjon om roller i Microsoft Sentinel.
Opprette en hendelse ved hjelp av Azure Portal
Velg Microsoft Sentinel, og velg arbeidsområdet.
Velg Hendelser fra navigasjonsmenyen Microsoft Sentinel.
Velg + Opprett hendelse (forhåndsvisning) fra knappelinjen på Hendelser-siden.
Panelet Opprett hendelse (forhåndsvisning) åpnes på høyre side av skjermen.
Fyll ut feltene i panelet tilsvarende.
Tittel
- Skriv inn en tittel du velger for hendelsen. Hendelsen vises i køen med denne tittelen.
- Nødvendig. Fri tekst med ubegrenset lengde. Mellomrom trimmes.
Beskrivelse
- Skriv inn beskrivende informasjon om hendelsen, inkludert detaljer som opprinnelsen til hendelsen, eventuelle enheter involvert, forhold til andre hendelser, hvem som ble informert og så videre.
- Valgfritt. Frigjør tekst med opptil 5000 tegn.
Alvorlighetsgraden
- Velg en alvorlighetsgrad fra rullegardinlisten. Alle Microsoft Sentinel støttede alvorsgrader er tilgjengelige.
- Nødvendig. Standardverdien «Middels».
Status
- Velg en status fra rullegardinlisten. Alle Microsoft Sentinel støttede statusene er tilgjengelige.
- Nødvendig. Standardverdien «Ny».
- Du kan opprette en hendelse med statusen «lukket», og deretter åpne den manuelt etterpå for å gjøre endringer og velge en annen status. Hvis du velger «lukket» fra rullegardinlisten, aktiveres klassifiseringsårsaksfeltene , slik at du kan velge en grunn til å lukke hendelsen og legge til kommentarer.
Eier
- Velg blant de tilgjengelige brukerne eller gruppene i leieren. Begynn å skrive inn et navn for å søke etter brukere og grupper. Velg feltet (klikk eller trykk) for å vise en liste over forslag. Velg «tilordne til meg» øverst på listen for å tilordne hendelsen til deg selv.
- Valgfritt.
Tags
- Bruk merker til å klassifisere hendelser og filtrere og finne dem i køen.
- Opprett koder ved å velge plusstegnikonet, skrive inn tekst i dialogboksen og velge OK. Automatisk fullføring foreslår merker som brukes i arbeidsområdet i løpet av de to foregående ukene.
- Valgfritt. Fri tekst.
Velg Opprett nederst i panelet. Etter noen sekunder opprettes hendelsen og vises i hendelseskøen.
Hvis du tilordner en hendelse statusen «Lukket», vises den ikke i køen før du endrer statusfilteret til å vise lukkede hendelser også. Filteret angis som standard til å vise bare hendelser med statusen Ny eller Aktiv.
Velg hendelsen i køen for å se alle detaljene, legge til bokmerker, endre eier og status og mer.
Hvis du av en eller annen grunn ombestemmer deg etter at du har opprettet hendelsen, kan du slette den fra kørutenettet eller fra selve hendelsen. Du må ha rollen Microsoft Sentinel bidragsyter for å kunne slette en hendelse.
Opprette en hendelse ved hjelp av Azure Logic Apps
Oppretting av en hendelse er også tilgjengelig som en Logic Apps-handling i Microsoft Sentinel-koblingen, og derfor i Microsoft Sentinel playbooks.
Du finner handlingen Opprett hendelse (forhåndsvisning) i strategiplanskjemaet for hendelsesutløseren.
Du må angi parametere som beskrevet nedenfor:
Velg navnet på abonnementet, ressursgruppen og arbeidsområdet fra de respektive rullegardinlistene.
For de gjenværende feltene kan du se forklaringene ovenfor (under Opprett en hendelse ved hjelp av Azure Portal).
Microsoft Sentinel inneholder noen eksempelmaler for strategiplan som viser deg hvordan du arbeider med denne funksjonen:
- Opprett hendelse med Microsoft Form
- Opprett hendelse fra delt e-postinnboks
Du finner dem i galleri for strategiplanmaler på Microsoft Sentinel Automation-siden.
Opprette en hendelse ved hjelp av Microsoft Sentinel-API
Med Hendelser-operasjonsgruppen kan du ikke bare opprette, men også oppdatere (redigere),hente,liste opp og slette hendelser.
Du oppretter en hendelse ved hjelp av følgende endepunkt. Etter at denne forespørselen er gjort, vil hendelsen være synlig i hendelseskøen i portalen.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Her er et eksempel på hvordan en forespørselstekst kan se ut:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Merknader
Hendelser som opprettes manuelt, inneholder ingen enheter eller varsler. Varsler-fanen på hendelsessiden forblir derfor tom til du relaterer eksisterende varsler til hendelsen.
Fanen Enheter forblir også tom, siden det å legge til enheter direkte i manuelt opprettede hendelser for øyeblikket ikke støttes. (Hvis du relaterer et varsel til denne hendelsen, vises enheter fra varselet i hendelsen.)
Manuelt opprettede hendelser viser heller ikke noe produktnavn i køen.
Hendelseskøen filtreres som standard for å vise bare hendelser med statusen «Ny» eller «Aktiv». Hvis du oppretter en hendelse med statusen Lukket, vises den ikke i køen før du endrer statusfilteret til å vise lukkede hendelser også.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: