将警报关联到 Microsoft Sentinel 中的事件

本文介绍如何将警报关联到 Microsoft Sentinel 中的事件。 使用此功能可以在调查过程中手动或自动向/从现有事件添加或删除警报,并随着调查的展开具体化事件范围。

重要

事件扩展功能目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

扩大事件的范围和影响力

此功能的用途之一是将来自一个数据源的警报包含在另一个数据源生成的事件中。 例如,可以从 Microsoft Defender for Cloud 添加警报。

此功能已内置在最新版本的 Microsoft Sentinel API 中,这意味着,可将它用于 Microsoft Sentinel 的逻辑应用连接器。 因此,如果满足特定的条件,则可以使用 playbook 自动将警报添加到事件。

还可以使用此自动化功能来添加对手动创建的事件的警报、创建自定义关联或定义自定义条件,以便在创建警报后将其分组到事件中。

限制

一个事件最多可以包含 150 个警报。 如果你尝试将某个警报添加到包含 150 个警报的事件,将会收到错误消息。

使用实体时间线添加警报(预览版)

新的事件体验(现为预览版)中推出的实体时间线展示了特定事件调查中的所有实体。 选择列表中的实体后,将在侧面板中显示一个微型实体页面。

  1. 从 Microsoft Sentinel 导航菜单中,选择“事件”。

    Screenshot of new incidents queue displayed in a grid.

  2. 选择要调查的事件。 在事件详细信息面板中,选择“查看完整详细信息”。

  3. 在事件页中,选择“实体”选项卡。

    Screenshot of entities tab in incident page.

  4. 从列表选择一个实体。

  5. 在实体页面侧面板中,选择“时间线”卡。

    Screenshot of entity timeline card in entities tab of incident page.

  6. 选择未处理事件外部的警报。 灰显的盾牌图标和表示严重性的虚线色带指示了这些。 选择该警报右侧的加号图标。

    Screenshot of appearance of external alert in entity timeline.

  7. 选择“确定”,确认将警报添加到事件中。 你将收到一条通知,该通知会确认已将警报添加到事件中,或会解释未添加警报的原因。 Screenshot of adding an alert to an incident in the entity timeline.

你会看到添加的警报现在显示在“概述”选项卡的未处理事件的“时间线”小组件中,与事件中的任何其他警报一样带有全彩色盾牌图标和实线色带。

添加的警报现在是事件的完整部分,已添加警报(过去不是成为事件的一部分)中的任何实体也已成为事件的一部分。 你现在可以浏览这些实体的时间线,以了解它们的现在有资格添加到事件中的其他警报。

移除事件中的警报

手动或自动添加到事件中的警报也可以从事件中移除。

  1. 从 Microsoft Sentinel 导航菜单中,选择“事件”。

  2. 选择要调查的事件。 在事件详细信息面板中,选择“查看完整详细信息”。

  3. 在“概述”选项卡的“事件时间线”小部件中,选择要从事件中移除的警报旁边的三个点。 在弹出菜单中,选择“移除警报”。

    Screenshot showing how to remove an alert from an incident in the incident timeline.

使用调查图添加警报

调查图是一个可以显示连接和模式的直观视觉工具,使分析人员能够提出正确的问题并跟踪线索。 可以使用调查图向/从事件添加或删除警报,从而扩大或缩小调查范围。

  1. 从 Microsoft Sentinel 导航菜单中,选择“事件”。

    Screenshot of incidents queue displayed in a grid.

  2. 选择要调查的事件。 在事件详细信息面板中选择“操作”按钮,然后从弹出菜单中选择“调查”。 这会打开调查图。

    Screenshot of incidents with alerts in investigation graph.

  3. 将鼠标悬停在任一实体上,以在其一侧显示“浏览查询”列表。 选择“相关警报”。

    Screenshot of alert exploration queries in investigation graph.

    相关警报将会显示并以虚线连接到实体。

    Screenshot of related alerts appearing in investigation graph.

  4. 将鼠标悬停在某个相关警报上,直到其一侧弹出一个菜单。 选择“将警报添加到事件(预览版)”。

    Screenshot of adding an alert to an incident in the investigation graph.

  5. 该警报及其所有实体和详细信息随即会添加到事件,它将在该事件中发挥其所有作用。 你将看到以下两种视觉表示形式:

    • 调查图中警报与实体的连接线已从虚线变为实线,与添加的警报中的实体的连接已添加到图中。

      Screenshot showing an alert added to an incident.

    • 现在,该警报与已经存在的警报将一起显示在此事件的时间线中。

      Screenshot showing an alert added to an incident's timeline.

特殊情况

将警报添加到事件时,根据具体的情况,系统可能会要求你确认请求或者在不同的选项之间进行选择。 下面是这种情况的一些示例、系统要求你做出的选择及其影响。

  • 要添加的警报已属于另一个事件。

    在这种情况下,你将看到一条消息,指出该警报是其他一个或多个事件的一部分,并询问你是否继续。 请选择“确定”以添加该警报,或选择“取消”以保留现状。

    将该警报添加到此事件不会将其从任何其他事件中删除。 警报可以关联到多个事件。 如果需要,可以使用上述消息提示中的链接手动从其他事件中删除警报。

  • 要添加的警报属于另一个事件,并且是这另一个事件中的唯一一个警报。

    这与上述情况不同,因为如果它是另一个事件中独有的警报,则在此事件中跟踪该警报可能导致另一个事件不相关。 因此,在这种情况下,你会看到以下对话框:

    Screenshot asking whether to keep or close other incident.

    • 选择“保留另一个事件”会将另一个事件保留原样,同时将警报添加到此事件。

    • 选择“关闭另一个事件”会将警报添加到此事件并关闭另一个事件,并添加关闭原因“不确定”和备注“警报已添加到另一个事件”以及打开的事件的编号。

    • 选择“取消”会保留现状, 不会对打开的事件或任何其他引用的事件进行更改。

    要选择其中哪个选项取决于你的特定需求;我们无法建议合适的选项。

使用 playbook 添加/删除警报

在 Microsoft Sentinel 连接器中,还可以以逻辑应用操作的形式在警报中添加和删除事件,因此也可以在 Microsoft Sentinel playbook 中执行此操作。 需要提供事件 ARM ID 和系统警报 ID 作为参数,可以在警报和事件触发器的 playbook 架构中找到这两个参数。

Microsoft Sentinel 在模板库中提供了一个示例 playbook 模板,其中演示了如何使用此功能:

Screenshot of playbook template for relating alerts to incidents.

下面是此 playbook 中使用“将警报添加到事件(预览版)”操作的方式,你可以参考此示例在其他位置使用该操作:

Screenshot of adding an alert to an incident using a playbook action.

使用 API 添加/删除警报

并非局限于在门户中使用此功能。 也可以通过 Microsoft Sentinel API 和事件关系操作组访问此功能。 使用此功能可以获取、创建、更新和删除警报与事件之间的关系。

创建关系

可以通过在警报与事件之间创建关系,将警报添加到事件。 使用以下终结点将警报添加到现有事件。 发出此请求后,警报将加入事件,并显示在门户上事件中的警报列表中。

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

请求正文如下所示:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
} 

删除关系

可以通过删除警报与事件之间的关系,从事件中删除警报。 使用以下终结点从现有事件中删除警报。 发出此请求后,该警报将不再连接到该事件或显示在该事件中。

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

列出警报关系

还可以使用此终结点和请求列出与特定事件相关的所有警报:

GET https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

特定错误代码

常规 API 文档列出了上述创建删除列出操作的预期响应代码。 错误代码仅作为常规类别列出。 下面是“其他状态代码”类别下列出的可能特定错误代码和消息:

代码 Message
400 错误请求 无法创建关系。 事件 {incidentIdentifier} 中已存在名称为 {relationName} 的不同关系类型。
400 错误请求 无法创建关系。 警报 {systemAlertId} 已存在于事件 {incidentIdentifier} 中。
400 错误请求 无法创建关系。 相关资源和事件应属于同一工作区。
404 未找到 资源“{systemAlertId}”不存在。
404 未找到 事件不存在。
409 冲突 无法创建关系。 事件 {incidentIdentifier} 与不同警报 {systemAlertId} 已存在名称为 {relationName} 的关系。

后续步骤

在本文中,你已了解如何使用 Microsoft Sentinel 门户和 API 将警报添加到事件以及删除警报。 有关详细信息,请参阅: