Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Manuellt skapande av incidenter, med hjälp av portalen eller Logic Apps, finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Skapande av manuella incidenter är allmänt tillgängligt med hjälp av API:et.
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).
Med Microsoft Sentinel som siem-lösning (säkerhetsinformation och händelsehantering) är dina säkerhetsåtgärders hotidentifierings- och svarsaktiviteter inriktade på incidenter som du undersöker och åtgärdar. Dessa incidenter har två huvudkällor:
De genereras automatiskt när identifieringsmekanismer fungerar på loggar och aviseringar som Microsoft Sentinel inmatningar från dess anslutna datakällor.
De matas in direkt från andra anslutna Microsoft-säkerhetstjänster (till exempel Microsoft Defender XDR) som skapade dem.
Hotdata kan dock också komma från andra källor som inte matas in i Microsoft Sentinel, eller händelser som inte registreras i någon logg, och kan ändå motivera att du öppnar en undersökning. En anställd kan till exempel märka att en okänd person ägnar sig åt misstänkt aktivitet relaterad till organisationens informationstillgångar. Den här medarbetaren kan ringa eller skicka ett e-postmeddelande till SOC (Security Operations Center) för att rapportera aktiviteten.
Microsoft Sentinel i Azure Portal gör det möjligt för säkerhetsanalytiker att manuellt skapa incidenter för alla typer av händelser, oavsett källa eller data, så att du inte går miste om att undersöka dessa ovanliga typer av hot.
Vanliga användningsfall
Skapa en incident för en rapporterad händelse
Det här är scenariot som beskrivs i introduktionen ovan.
Skapa incidenter av händelser från externa system
Skapa incidenter baserat på händelser från system vars loggar inte matas in i Microsoft Sentinel. En SMS-baserad nätfiskekampanj kan till exempel använda organisationens företagsanpassning och teman för att rikta in sig på anställdas personliga mobila enheter. Du kanske vill undersöka en sådan attack och du kan skapa en incident i Microsoft Sentinel så att du har en plattform för att hantera din undersökning, samla in och logga bevis och registrera dina åtgärder för svar och åtgärder.
Skapa incidenter baserat på jaktresultat
Skapa incidenter baserat på de observerade resultaten av jaktaktiviteter. När du till exempel letar efter hot i samband med en viss undersökning (eller på egen hand) kan du stöta på bevis för ett helt orelaterat hot som motiverar en egen separat undersökning.
Skapa en incident manuellt
Det finns tre sätt att skapa en incident manuellt:
- Skapa en incident med hjälp av Azure Portal
- Skapa en incident med Azure Logic Apps med utlösaren Microsoft Sentinel incident.
- Skapa en incident med hjälp av Microsoft Sentinel-API:et via åtgärdsgruppen Incidenter. Det gör att du kan hämta, skapa, uppdatera och ta bort incidenter.
När du har registrerat Microsoft Sentinel till Microsoft Defender-portalen synkroniseras inte manuellt skapade incidenter med Defender-portalen, även om de fortfarande kan visas och hanteras i Microsoft Sentinel i Azure Portal och via Logic Apps och API:et.
Behörigheter
Följande roller och behörigheter krävs för att skapa en incident manuellt.
| Metod | Obligatorisk roll |
|---|---|
| Azure Portal och API | Något av följande: |
| Azure Logic Apps | Något av ovanstående plus: |
Läs mer om roller i Microsoft Sentinel.
Skapa en incident med hjälp av Azure Portal
Välj Microsoft Sentinel och välj din arbetsyta.
På navigeringsmenyn Microsoft Sentinel väljer du Incidenter.
På sidan Incidenter väljer du + Skapa incident (förhandsversion) i knappfältet.
Panelen Skapa incident (förhandsversion) öppnas till höger på skärmen.
Fyll i fälten i panelen.
Titel
- Ange en rubrik som du väljer för incidenten. Incidenten visas i kön med den här rubriken.
- Obligatoriskt. Fritext med obegränsad längd. Blanksteg kommer att trimmas.
Beskrivning
- Ange beskrivande information om incidenten, inklusive information som incidentens ursprung, eventuella enheter som är inblandade, relation till andra händelser, vem som informerades och så vidare.
- Valfri. Fritext upp till 5 000 tecken.
Allvarlighetsgrad
- Välj en allvarlighetsgrad i listrutan. Alla Microsoft Sentinel allvarlighetsgrad som stöds är tillgängliga.
- Obligatoriskt. Standardvärdet är "Medel".
Status
- Välj en status i listrutan. Alla Microsoft Sentinel statusar som stöds är tillgängliga.
- Obligatoriskt. Standardvärdet är "Ny".
- Du kan skapa en incident med statusen "stängd" och sedan öppna den manuellt efteråt för att göra ändringar och välja en annan status. Om du väljer "stängd" i listrutan aktiveras klassificeringsorsaksfält så att du kan välja en orsak till att stänga incidenten och lägga till kommentarer.
Ägare
- Välj mellan tillgängliga användare eller grupper i din klientorganisation. Börja skriva ett namn för att söka efter användare och grupper. Markera fältet (klicka eller tryck) om du vill visa en lista med förslag. Välj "tilldela till mig" överst i listan för att tilldela incidenten till dig själv.
- Valfri.
Taggar
- Använd taggar för att klassificera incidenter och filtrera och hitta dem i kön.
- Skapa taggar genom att välja plusteckenikonen, ange text i dialogrutan och välja OK. Automatisk komplettering föreslår taggar som används på arbetsytan under de senaste två veckorna.
- Valfri. Fritext.
Välj Skapa längst ned på panelen. Efter några sekunder skapas incidenten och visas i incidentkön.
Om du tilldelar en incident statusen "Stängd" visas den inte i kön förrän du ändrar statusfiltret så att även stängda incidenter visas. Filtret anges som standard för att endast visa incidenter med statusen "Ny" eller "Aktiv".
Välj incidenten i kön för att se fullständig information, lägga till bokmärken, ändra ägare och status med mera.
Om du av någon anledning ändrar dig när du skapar incidenten kan du ta bort den från körutnätet eller inifrån själva incidenten. Du måste ha rollen Microsoft Sentinel deltagare för att kunna ta bort en incident.
Skapa en incident med Azure Logic Apps
Att skapa en incident är också tillgängligt som en Logic Apps-åtgärd i Microsoft Sentinel-anslutningsappen och därför i Microsoft Sentinel spelböcker.
Du hittar åtgärden Skapa incident (förhandsversion) i spelboksschemat för incidentutlösaren.
Du måste ange parametrar enligt beskrivningen nedan:
Välj ditt prenumerations-, resursgrupps- och arbetsytenamn i respektive listruta.
De återstående fälten finns i förklaringarna ovan (under Skapa en incident med hjälp av Azure Portal).
Microsoft Sentinel tillhandahåller några exempel på spelboksmallar som visar hur du arbetar med den här funktionen:
- Skapa incident med Microsoft-formulär
- Skapa incident från inkorgen för delad e-post
Du hittar dem i galleriet med spelboksmallar på sidan Microsoft Sentinel Automation.
Skapa en incident med hjälp av Microsoft Sentinel-API:et
Med åtgärdsgruppen Incidenter kan du inte bara skapa, utan även uppdatera (redigera), hämta (hämta), lista och ta bort incidenter.
Du skapar en incident med hjälp av följande slutpunkt. När den här begäran har gjorts visas incidenten i incidentkön i portalen.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Här är ett exempel på hur en begärandetext kan se ut:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Kommentar
Incidenter som skapas manuellt innehåller inga entiteter eller aviseringar. Därför förblir fliken Aviseringar på incidentsidan tom tills du relaterar befintliga aviseringar till din incident.
Fliken Entiteter förblir också tom eftersom det för närvarande inte stöds att lägga till entiteter direkt till manuellt skapade incidenter. (Om du relaterar en avisering till den här incidenten visas entiteter från aviseringen i incidenten.)
Manuellt skapade incidenter visar inte heller något produktnamn i kön.
Incidentkön filtreras som standard för att endast visa incidenter med statusen "Ny" eller "Aktiv". Om du skapar en incident med statusen "Stängd" visas den inte i kön förrän du ändrar statusfiltret så att även stängda incidenter visas.
Nästa steg
Mer information finns i: