Warnungsfeldzuordnung

Verwenden Sie als Anwender mit der Rolle „sn_si.admin“ die Felder aus dem Abschnitt „Beispielwarnungen“ auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ im rechten Bereich zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungsfelder von der linken Seite ziehen und auf ablegen SIRIncident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld für eingehende Warnungen einem Feld für ausgehende Security Incidents zu.

1. Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie die Warnungsfelder dem Security Incident zu. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
2. Ziehen Sie den Feldnamen, z. B. Kategorie , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.

   Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. Im folgenden Bild Kategorie Ist zugeordnet zu Kategorie Feld im Security Incident.

   
   
   

   Sie können jedoch einen beliebigen Wert von der linken Seite mit einem Feld auf der rechten Seite abgleichen. Stellen Sie sicher, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet ist.

   Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Warnungsfelder übersehen oder dupliziert werden, sind Felder farbcodiert. Die Farbcodierung der Warnungsfelder hilft Ihnen, die Warnungswerte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Dies hilft Ihnen, besser zu visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Warnungsinformationen nicht zugeordnet sind.

   Hellblaue Felder auf der linken Seite geben an, dass noch kein Warnungsfeld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Warnungsfeld mehreren Feldern in einem Security Incident zuordnen. Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

   Hinweis:

   1. Um einen Wert manuell in das Feld „Eingabeausdruck“ einzugeben, geben Sie ihn im Format ${fieldname}$ ein. Das Warnungsfeld wird dem Security Incident-Feld zugeordnet.
   2. Sie können erfasste Warnungen nicht zu zuordnen MITRE-ATT&CKFramework-Felder im Abschnitt „Security Incident-Zuordnung“. Wenn Sie die Felder weiterhin zuordnen, sind die Informationen nicht als Teil von verfügbar MITRE-ATT&CKKarte in MITRE-ATT&CKFramework-Abschnitt im Security Incident-Formular. Um zuzuordnen MITRE-ATT&CKTechniken verwenden Automatische Extraktionsfunktion Verfügbar als Teil von MITRE-ATT&CKFramework in Threat IntelligenceModul.
3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
   1. Rechts neben dem Formular in SIRKlicken Sie im Abschnitt „Incident-Feldzuordnung“ unten im Raster auf das Plussymbol (+). Ein neues Feld wird angezeigt.
   2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.

      In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung hat die Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Warnungsfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten nachzuverfolgen SIRIncident-Felder.

      
      
      
      Hinweis:

      Da mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incidents eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
   3. Geben Sie alternativ einen Wert in das Suchfeld für die neue Zeile ein.
   4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Warnungs-ID im Feld „Eingabeausdruck“ auszuwählen. Ordnen Sie es mit der Drag-and-Drop-Funktion neben Ihrem neuen Feld zu.
4. Fahren Sie mit der Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.
5. Nachdem Sie die vorherigen Feldzuordnungsschritte abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie diese Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

Formatfeldübersetzung

In bestimmten Fällen Warnungsfeldwerte in Microsoft Graph-Sicherheits-APIKann nicht direkt in die Felder im SIR Security Incident übersetzt werden. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skripteditor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Mit dem Skripteditor kann beispielsweise ein Kategoriewert von Malware-Warnung und Vireninfektion verschiedene Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe der Funktionalität „Formatfeldübersetzung“ in eine allgemeine schädliche Codeaktivität im Feld „Kategorie“ des SIR Security Incidents übersetzt werden.

Klicken Sie auf das Symbol {}, um den Skripteditor zu verwenden. Der Skripteditor wird angezeigt.

Bedingungen für Incident-Generierung

Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, damit Sie angeben können, welche Warnungen Security Incidents erstellen sollen und welche Warnungen herausgefiltert werden sollen, z. B. Warnungen mit niedriger Priorität. Sie können dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie diese Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie die Option „basierend auf Bedingungen filtern“ aus. Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.

   Die Optionen in den Auswahllisten für das erste Feld im Filterbedingungs-Generator entsprechen den Feldern, die im Abschnitt „Warnungsbeispielerfassung“ für die von Ihnen erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach der Warnung, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Sie müssen genau mit den Werten der Warnung übereinstimmen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, ziehen Sie es möglicherweise vor, zu Ihrem Microsoft Azure-Mandanten zurückzukehren und Ihre Warnungen auf die Stichwörter zu überprüfen.

2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
   • Wenn UND Ist ausgewählt, alle Bedingungen müssen übereinstimmen.
   • Wenn ODER Ist ausgewählt, jede Bedingung kann abgeglichen werden.
4. Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest

   Das folgende Bild ist ein Beispiel mit zwei Bedingungen, die abgeglichen werden müssen, bevor Security Incidents erstellt werden.

   
   
   

   Sie haben die auslösenden Bedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen übereinstimmen.

   Diese Art der Filterung hilft Ihnen, Sicherheitswarnungen zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur erforderliche Warnungen erfasst, ohne die Abfrage oder die ausgelöste Warnungskonfiguration ändern zu müssen.

Warnungszusammenfassungskriterien, um ähnliche Warnungen zu behandeln und doppelte Incidents zu verhindern

Definieren Sie zusätzliche Warnungszusammenfassungskriterien, die eine eingehende Warnung zu einer vorhandenen aggregieren SIRSecurity Incident, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Feldübereinstimmungswertkriterien für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Warnungsdaten in einem einzelnen Security Incident platziert werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:

1. Scrollen Sie im Formular zum Abschnitt „Warnungszusammenfassungskriterien“, und wählen Sie die Option „Zusammenfassungsbedingungen“ aus. Die Spalten mit übereinstimmenden Werten des Incident-Felds werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die auf konfiguriert sind SIRSecurity Incident.
2. Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in Ihrer Now Platform abgleichen möchten, und verschieben Sie sie in die Liste ausgewählt. Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder, z. B. erkennbare Elemente und Konfigurationselemente, denen mehrere Warnungsfeldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Warnungszusammenfassung nicht erfüllt, und ein neuer Security Incident wird erstellt. Siehe Screenshot unten für die Feldzuordnung mit mehreren Werten.
   
   
   

   Wenn eine neue Warnung allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Warnungen zu einem Security Incident werden in der zugehörigen Liste „zusammengefasste Microsoft Graph-Warnungen“ angezeigt. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.

3. (Optional) um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren. In der Arbeitsnotiz wird protokolliert, dass eine neue Warnung zusammen mit einem Link zu den Warnungsdetails und allen anderen Details hinzugefügt wurde, die dem Feld „Arbeitsnotiz“ in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

   Sie haben erfolgreich Werte aus einer Warnung zu Feldern auf einem zugeordnet SIRSecurity Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien einzuschränken. Sie haben auch Warnungen oder Ereignisse an vorhandene angehängt SIRSecurity Incidents.

4. Klicken Sie Auf Fahren Sie Fort Um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR Security Incident zugeordnet haben