Warnungsfeldzuordnung

Als Benutzer mit der Rolle sn_si.admin verwenden Sie die Felder aus dem Abschnitt Beispielwarnungen auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ im rechten Bereich zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungsfelder aus der linken Seite ziehen und sie im Abschnitt SIR Incident-Zuordnung auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das Feld für eingehende Warnungen einem Feld für ausgehende Security Incidents zu.

1. Nachdem Sie die Beispieldaten abgerufen haben, besteht der nächste Schritt darin, die Warnungsfelder dem Security Incident zuzuordnen. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
2. Ziehen Sie den Feldnamen, z. B. Kategorie, in ein Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“.

   Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Kategorie dem Feld Kategorie im Security Incident zugeordnet.

   
   
   

   Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet wurde.

   Um sicherzustellen, dass im Zuordnungsprozess keine Warnungsfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Die Farbcodierung der Warnungsfelder hilft Ihnen, die bereits zugeordneten Warnungswerte nachzuverfolgen, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Warnungsinformationen nicht zugeordnet bleiben.

   Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Warnungsfeld ausgewählt und dem Security Incident zugeordnet wurde. Unter Umständen möchten Sie ein Feld für eingehende Warnungen mehreren Feldern in einem Security Incident zuordnen. Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

   Hinweis:

   1. Um manuell einen Wert in das Feld Eingabeausdruck einzugeben, geben Sie ihn im Format ${fieldname}$ ein. Das Warnungsfeld wird dem Feld „Security Incident“ zugeordnet.
   2. Sie können erfasste Warnungen nicht den Feldern des Frameworks MITRE-ATT&CK im Abschnitt „Zuordnung von Security Incidents“ zuordnen. Wenn Sie die Felder trotzdem zuordnen, sind die Informationen nicht als Teil der Karte MITRE-ATT&CKMITRE-ATT&CK im Abschnitt „Framework“ [] im Formular „Security Incident“ verfügbar. Um die Techniken MITRE-ATT&CK zuzuordnen, verwenden Sie die Funktion Automatische Extraktion, die als Teil des Frameworks MITRE-ATT&CKThreat Intelligence im Modul [] verfügbar ist.
3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
   1. Klicken Sie rechts im Formular im Abschnitt SIR Incident-Feldzuordnung unten im Raster auf das Pluszeichen (+). Ein neues Feld wird angezeigt.
   2. Erweitern Sie in der Spalte „Security Incident“ die angezeigte Auswahlliste, und wählen Sie ein Feld aus.

      In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist die Kategorie grau hinterlegt, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Warnungsfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Felder für Security Incidents auf der rechten Seite beim Nachverfolgen der bereits zugeordneten Incident-Felder SIR.

      
      
      
      Hinweis:

      Da für denselben Security Incident mehrere erkennbare Elemente angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der mehrere Optionen ausgewählt werden können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
   3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
   4. Wählen Sie auf der linken Seite des Formulars mit der linken Maustaste die Warnungs-ID aus, die Sie im Feld Eingabeausdruck verwenden möchten. Ordnen Sie es per Drag-and-Drop neben Ihrem neuen Feld zu.
4. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.
5. Nachdem Sie die vorhergehenden Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

Formatfeldübersetzung

In bestimmten Fällen werden Warnungsfeldwerte in Microsoft Graph-Sicherheits-API möglicherweise nicht direkt in die Felder im SIR-Security Incident übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten. Beispielsweise können mit dem Skript-Editor die Kategoriewerte „Malware-Warnung“ und „Virusinfizierung“ unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe des Formats in eine gemeinsame böswillige Code-Aktivität im Feld „Kategorie“ des SIR-Security Incident übersetzt werden Feldübersetzungsfunktion.

Klicken Sie auf das Symbol {}, um den Skript-Editor zu verwenden. Der Skript-Editor wird angezeigt.

Bedingungen für Incident-Generierung

Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um festzulegen, welche Warnungen Security Incidents erstellen und welche Warnungen herausgefiltert werden sollen (z. B. Warnungen mit niedriger Priorität). Dieselben Feldwerte können Sie im Builder für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

1. Scrollen Sie im Formular zum Abschnitt Bedingungen für Incident-Generierung, und wählen Sie die Option Basierend auf Bedingungen filtern aus. Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

   Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Erfassung des Warnungsbeispiels“ für die von Ihnen erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach der von Ihnen erfassten Warnung. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau den Werten der Warnung entsprechen. Wenn Sie sich bei den Werten, die Sie in die Filterfelder eingeben sollen, nicht sicher sind, kehren Sie möglicherweise zu Ihrem Microsoft Azure-Mandanten zurück und überprüfen Ihre Warnungen auf die Stichwörter.

2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
   • Wenn ANDausgewählt ist, müssen alle Bedingungen erfüllt sein.
   • Wenn ODERausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
4. Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest

   Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.

   
   
   

   Sie haben die Auslösebedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn die beiden von Ihnen eingegebenen Filterbedingungen erfüllt sind.

   Diese Art der Filterung hilft Ihnen, Sicherheitswarnungen zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur erforderliche Warnungen erfasst, ohne dass die Abfrage oder die Konfiguration der ausgelösten Warnung geändert werden muss.

Kriterien für die Zusammenfassung von Warnungen, um ähnliche Warnungen zu verarbeiten und doppelte Incidents zu vermeiden

Definieren Sie zusätzliche Kriterien für die Warnungszusammenfassung, die eine eingehende Warnung zu einem vorhandenen Security Incident SIR zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Warnungsdaten in einem einzigen Security Incident zusammengefasst werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:

1. Scrollen Sie im Formular zum Abschnitt Kriterien für Warnungszusammenfassung, und wählen Sie die Option Zusammenfassungsbedingungen aus. Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.
2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Ihrer Now Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt. Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, damit diese eingehende Warnung an einen vorhandenen Security Incident angehängt wird. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Warnungsfeldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Warnungszusammenfassung nicht erfüllt, und es wird ein neuer Security Incident erstellt. Screenshot unten für Feldzuordnung mit mehreren Werten.
   
   
   

   Wenn eine neue Warnung allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, die mit Security Incidents arbeiten, können Sie alle hinzugefügten aggregierten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle aggregierten Warnungen zu einem Security Incident werden in der zugehörigen Liste „Aggregierte Microsoft Graph-Warnungen“ angezeigt. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen zu vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „Zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

3. (Optional) Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die dem Security Incident kürzlich hinzugefügt wurde, aktivieren Sie das Kontrollkästchen zum Aktivieren dieser Option. Die Arbeitsnotiz protokolliert, dass eine neue Warnung hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und allen anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

   Sie haben erfolgreich Werte aus einer Warnung Feldern in einem Security Incident SIR zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents anhand von Filterkriterien einzuschränken. Sie haben Warnungen oder Ereignisse auch an vorhandene SIR Security Incidents angehängt.

4. Klicken Sie auf „ Fortsetzen“, um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR-Security Incident zugeordnet haben