Ordnen Sie zu Microsoft Azure SentinelIncident-Felder
Ordnen Sie die Person zu Microsoft Azure SentinelIncident-Felder zu den Feldern auf SIRSecurity Incident, damit Sie Incidents mit den zugeordneten Daten erstellen können.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
-
Wählen Sie auf der Zuordnungsseite im Abschnitt „Azure-Sentinel-Feldzuordnung“ eine der Beispielerfassungsmethoden aus.
Tabelle : 1. Beispiel für Erfassungsmethoden Feld Beschreibung Alle Standard-Incident- und Entitätsfelder Verwenden Sie diese Erfassungsmethode, um die statische Liste aller Incidents und Entitätsfelder anzuzeigen. Diese Methode enthält nur Standardfeldnamen ohne Werte. Sie können diese Informationen verwenden, um eine Zuordnung zu vorzunehmen SIRFelder.
Ruft die letzten Azure Sentinel-Incidents ab Verwenden Sie diese Erfassungsmethode, um die neuesten Incident- und Entitätsdaten zu importieren. Wenn der Azure-Sentinel-Incident die Entitätsdaten enthält, werden die Entitätsdaten abgerufen, und sie sind für die Zuordnung im Abschnitt „Azure-Sentinel-Quellfelder“ verfügbar. Manchmal enthält der Azure-Sentinel-Incident möglicherweise nicht die Entitätsdaten, daher sind die Entitätsfelder in einem solchen Szenario nicht für die Zuordnung verfügbar.
Wenn der Azure Sentinel-Incident mehrere Warnungen enthält, wird die früheste Warnung, die Teil des Incidents ist, im Zuordnungsabschnitt angezeigt. Auch während der Erfassung werden die frühesten Sicherheitswarnungsfeldwerte verwendet.
Sie können standardmäßig 5 Beispiel-Incidents und maximal 20 Beispiel-Incidents erfassen.
Die Feldwerte für Beispielincidents werden ausgefüllt, wenn das Profil die Beispielincidents erfasst. Sie können diese Incidents dem zuordnen SIR-Incident-Zielfelder . Die Incident-Felder und -Werte werden als einzelne Registerkarten angezeigt.
Importieren Sie Beispieldaten Klicken Sie Auf Importieren Sie Beispieldaten Dient zum Importieren von Beispiel-Incidents aus Azure Sentinel. Diese Schaltfläche wird angezeigt, wenn Sie die Erfassungsmethode „Letzte Azure Sentinel-Incidents abrufen“ auswählen.
Beispiel-Incidents werden von abgerufen Microsoft Azure SentinelDer Server kann einen Moment dauern.
Ordnen Sie diese abgerufenen Incidents zu SIR-Incident-Zielfelder . Die Incident-Felder und -Werte werden als einzelne Registerkarten angezeigt.
-
Führen Sie die folgenden Aktionen aus, um den Standardfeldern, die im Security Incident angezeigt werden, Felder hinzuzufügen:
-
Klicken Sie im Abschnitt SIR-Incident-Zielfelder auf
Schaltfläche „weiteres Feld zuordnen“.
Zeigt eine Liste von an SIRFelder, aus denen Sie ein Feld auswählen können, aus dem ein neues Feld angezeigt werden soll. - Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie dann ein Feld aus. Hinweis:Mehrere erkennbare Elemente können für denselben Security Incident angezeigt werden. Beispiel: Erkennbares Element Das Feld kann mehrmals verschiedenen Werten zugeordnet werden. Ebenso wird Konfigurationselement Und Arbeitsnotizfelder Unterstützt mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird eine Fehlermeldung angezeigt, dass dieses Feld nicht mehrere Werte unterstützt. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
- Ziehen Sie Ihr Feld im Abschnitt „Azure-Sentinel-Quellfelder“ per Drag-and-Drop, um es Ihrem neuen Feld zuzuordnen.
-
Wenn Sie das Kontrollkästchen aktivieren, das einem Feld entspricht, werden bei allen neuen oder aktualisierten Änderungen, die in Azure Sentinel vorgenommen wurden, die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
Hinweis:Im Basissystem ist die Systemeigenschaft „sn_sec_sentinel.incident_updates“ standardmäßig auf „wahr“ festgelegt, um zu empfangen Microsoft Azure SentinelUpdates im Zusammenhang mit neuen Warnungen, die mit SIR verknüpft sind.
- Standardmäßig sind die Felder „Betroffene Anwender“, „Konfigurationselemente“ und „erkennbare Elemente“ aktiviert. Dies bedeutet, dass immer dann, wenn neue erkennbare Elemente oder zugehörige Konfigurationselemente oder betroffene Anwender dem Incident hinzugefügt werden, diese Informationen während dieses Abfrageintervalls automatisch extrahiert und in den entsprechenden zugehörigen Listen in der Security Incident Response (SIR) ausgefüllt werden.
- Für alle anderen Felder müssen Sie das Kontrollkästchen aktivieren, das einem Feld für alle neuen oder aktualisierten Änderungen entspricht, die im Azure Sentinel-Incident-Datensatz in Azure Sentinel vorgenommen wurden. Dadurch werden die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
Wichtig:Vor der Auswahl dieser Funktionalität muss eine Sorgfaltspflicht durchgeführt werden, da das Überschreiben der vorhandenen Daten zu instabilen Daten für den Analysten führen kann, und jede andere Automatisierung, die auch durch die Feldwerte des Security Incidents festgelegt wird, kann ebenfalls betroffen sein. Daher ist es sehr wichtig, die Sorgfaltspflicht durchzuführen, bevor Sie eine Überschreibungsfunktion auswählen.
-
Klicken Sie im Abschnitt SIR-Incident-Zielfelder auf
-
Verwenden Sie zum Entfernen eines Felds
Schaltfläche „Element entfernen“ neben dem Feld „Eingabeausdruck“ im Abschnitt „SIR-Incident-Zielfelder“.
-
Um einen Feldwert aus dem Abschnitt „Azure-Sentinel-Quellfelder“ einem Feld im Abschnitt „SIR-Incident-Zielfelder“ zuzuordnen, verwenden Sie eine der folgenden Aktionen:
-
Ziehen Sie den Feldnamen (z. B. ID), und legen Sie ihn neben einem Feldnamen in der Spalte SIR-Incident-Zielfelder ab.
Sie können einen beliebigen Wert aus dem Abschnitt „Azure-Sentinel-Quellfelder“ mit einem Feld im Abschnitt „SIR-Incident-Zielfelder“ abgleichen. Felder sind farbcodiert, damit Sie Incident-Felder im Zuordnungsprozess nicht übersehen oder duplizieren. Hellblaue Felder geben an, dass ein Incident-Feld noch nicht ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Incident-Feld mehreren Feldern in einem Security Incident zuordnen. Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Auf diese Weise können Sie visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Incident-Informationen nicht zugeordnet sind.
-
Sie können eine Kombination aus Text und Feld hinzufügen.
Beispiel: Incident-Name ist ${Name}$ . Hier Incident-Name ist Kann während manuell eingegeben werden ${Name}$ Wird aus dem Abschnitt „Azure-Sentinel-Quellfelder“ zugeordnet.
-
Sie können ein Quell-Incident- oder Entitätsfeld direkt manuell eingeben und einem Zielfeld zuordnen.
- Um ein Quell-Incident-Feld manuell zuzuordnen, verwenden Sie dasFormat $ {field Name}$. Um beispielsweise einen Schweregrad eines Incident-Felds zuzuordnen, lautet das Format ${properties(severity)}$ .
- Verwenden Sie zum manuellen Hinzufügen eines Quellentitätsfelds ${Entitätsname: Entitätsfeld}$ Format. Um beispielsweise ein Entitätsfeld „Beschreibung“ der Entitätssicherheitswarnung zuzuordnen, lautet das Format ${SecurityAlert: Properties(description)}$ .
Diese Integration klassifiziert bestimmte Untertypen erkennbarer Elemente. Wenn Sie ein Azure-Sentinel-Feld dem Feld „erkennbares SIR-Element“ zuordnen, der Now PlatformKlassifiziert das erkennbare Element automatisch. Wenn Sie das eingehende erkennbare Azure-Sentinel-Element generisch dem erkennbaren Typ in zuordnen möchten SIR, Drag-and-Drop des Azure-Hinweismelds in das Feld „erkennbares Element“. Wenn Sie jedoch den Typ des erkennbaren Elements für das eingehende Azure-Sentinel-Element in kennen SIR, Und ordnen Sie dann speziell zu zu SIRTypfeld des erkennbaren Elements. Einige Beispiele für bestimmte Typen erkennbarer Elemente in SIRSchließen Sie erkennbares Element (Domänenname), erkennbares Element (E-Mail-Adresse), erkennbares Element (IP-Adresse (v4)) und erkennbares Element (Hostname) ein.Wenn Ihre eingehenden Azure-Sentinel-Felder irgendwelche enthalten MITRE-ATT&CKInformationen, ordnen Sie sie dann zu MITRE-ATT&CKTechnikfeld. Stellen Sie sicher, dass das Feld „eingehender Azure-Sentinel“ enthält MITRE-ATT&CKTechnik-ID oder Technikname.
Manchmal Incident-Feldwerte in Microsoft Azure SentinelKann nicht direkt in die Felder im SIR Security Incident übersetzt werden. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skripteditor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.
-
Ziehen Sie den Feldnamen (z. B. ID), und legen Sie ihn neben einem Feldnamen in der Spalte SIR-Incident-Zielfelder ab.
- Um eine Feldübersetzung für ein neues Feld aus einem Azure-Sentinel-Incident so zu formatieren, dass sie einem Feldwert in einem Security Incident entspricht, klicken Sie auf Klicken Sie hier Link in SIR-Incident-Zielfelder Header.
-
Klicken Sie auf , um die Felder zu ändern, die die Feldübersetzung unterstützen
Symbol für Übersetzung des Skriptformatfelds.
Die Felder, die die Feldübersetzung unterstützen, sind Kategorie , Konfigurationselement , Und Priorität . Klicken Sie beispielsweise aufSymbol neben der Kategorie. Der Skripteditor für Azure-Sentinel-Feldübersetzung wird geöffnet.
-
Geben Sie alle Änderungen am Skript ein, und klicken Sie auf Aktualisieren Um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.
Definieren Sie beispielsweise für Kategorie Folgendes im Skripteditor:
Diese Zuordnung stellt sicher, dass ein Profil nur konfigurierte Kategorien verwendet."<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>". -
Setzen Sie Ihre Zuordnung fort, indem Sie Feldwerte hinzufügen oder entfernen.
Sie können dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehender Incident erfüllen muss, um einen Security Incident zu erstellen.
- Um zum Abschnitt „Filtern und Zusammenfassung“ zu wechseln, klicken Sie auf Fahren Sie Fort .