自动根据 Microsoft 安全警报创建事件
如果警报是在连接到 Microsoft Sentinel 的 Microsoft 安全解决方案中触发的,则这些警报不会在 Microsoft Sentinel 中自动创建事件。 默认情况下,在将 Microsoft 解决方案连接到 Microsoft Sentinel 时,在该服务中生成的任何警报都将引入并存储在 Microsoft Sentinel 工作区的“SecurityAlert”表中。 然后即可使用该数据,就像使用引入到 Microsoft Sentinel 中时的任何其他原始数据一样。
可以按照本文中的说明操作,轻松地将 Microsoft Sentinel 配置为每次在连接的 Microsoft 安全解决方案中触发警报时自动创建事件。
先决条件
通过从 Microsoft Sentinel 中的“内容中心”安装相应的解决方案并设置数据连接器来连接安全解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容以及 Microsoft Sentinel 数据连接器。
在数据连接器中启用自动事件生成
从 Microsoft 安全解决方案生成的警报中自动创建事件的最直接方法是配置解决方案的数据连接器以创建事件:
连接 Microsoft 安全解决方案数据源。
在“创建事件 - 建议”下选择“启用”,以便启用默认的分析规则,这样,当连接的安全服务中生成警报时,就会自动创建事件。 然后,可以在“分析”下的“活动规则”中编辑此规则。
从 Microsoft 安全模板创建事件创建规则
Microsoft Sentinel 提供现成的规则模板,用于创建 Microsoft 安全规则。 每个 Microsoft 源解决方案都有自己的模板。 例如,Microsoft Defender for Endpoint 有一个,Microsoft Defender for Cloud 有一个,以此类推。 从每个模板中创建一个规则,该规则与你希望为其自动创建事件的环境中的解决方案相对应。 修改规则以定义更具体的选项,用于筛选哪些警报应导致事件。 例如,可以选择仅从 Microsoft Defender for Identity 的高严重性警报中自动创建 Microsoft Sentinel 事件。
从 Microsoft Sentinel 导航菜单中的“配置”下,选择“分析”。
选择“规则模板”选项卡,查看所有分析规则模板。 若要查找更多规则模板,请转到 Microsoft Sentinel 中的“内容中心”。
筛选列表以显示 Microsoft 安全规则类型,查看用于从 Microsoft 警报创建事件的分析规则模板。
选择要为其创建事件的警报来源的规则模板。 然后,在详细内容窗格中,选择“创建规则”。
请修改规则详细信息,以按警报严重性或警报名称中包含的文本来筛选将要创建事件的警报。
例如,如果在“Microsoft 安全服务”字段中选择“Microsoft Defender for Identity”,并在“按严重性筛选”字段中选择“高”,则只有严重性高的安全警报才会自动在 Microsoft Sentinel 中创建事件。
与其他类型的分析规则一样,选择“自动响应”选项卡可定义在此规则创建事件时运行的自动规则。
从头开始创建事件创建规则
也可创建新的 Microsoft 安全规则来筛选不同的 Microsoft 安全服务提供的警报。 在“分析”页上,选择“创建”>“Microsoft 事件创建规则”。
可以按“Microsoft 安全服务”类型创建多条 Microsoft 安全分析规则 。 如果在每个规则上应用相互排除的筛选器,则这不会创建重复的事件。
后续步骤
- 若要开始使用 Microsoft Sentinel,需要订阅 Azure。 如果你没有订阅,则可以注册试用版。
- 了解如何将数据载入 Microsoft Sentinel。