Mapeie o. Microsoft Azure Sentinelcampos de incidente

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • Mapeie o indivíduo Microsoft Azure Sentinelcampos de incidente para os campos no SIRincidente de segurança para que você possa criar incidentes com os dados mapeados.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Na página de mapeamento, na seção Mapeamento de campo do Azure Sentinel, selecione um dos métodos de ingestão de amostra.
      Tabela 1. Métodos de ingestão de amostra
      Campo Descrição
      Todos os campos Incidente e Entidade padrão Use este método de ingestão para exibir a lista estática de todos os incidentes e campos de entidade. Este método contém somente nomes de campo padrão sem valores.

      Você pode usar essas informações para mapear com SIRcampos.
      Recupere incidentes recentes do Azure Sentinel Use este método de ingestão para importar os dados de incidentes e entidades mais recentes.

      Se o incidente do Azure Sentinel contiver os dados da entidade, os dados da entidade serão recuperados e estarão disponíveis para mapeamento na seção Campos de origem do Azure Sentinel. Às vezes, o incidente do Azure Sentinel pode não conter os dados da entidade e, portanto, os campos da entidade não estão disponíveis para mapeamento em tal cenário.

      Se o incidente do Azure Sentinel contiver vários alertas, o alerta mais antigo que faz parte do incidente será mostrado na seção de mapeamento. Também durante a ingestão, os valores de campo de alerta de segurança mais antigos serão usados.

      Você pode ingerir 5 incidentes de amostra por padrão e um máximo de 20 incidentes de amostra.

      Os valores do campo de incidente de amostra são preenchidos quando o perfil ingesta os incidentes de amostra. Você pode mapear esses incidentes para Campos de destino de incidente de SIR . Os campos e valores do incidente aparecem como guias individuais.
      Importar dados de amostra Clique em Importar dados de amostra Para importar incidentes de amostra do Azure Sentinel.

      Este botão aparece quando você seleciona o método de ingestão Recuperar incidentes Sentinel recentes do Azure.

      Recuperando incidentes de amostra de Microsoft Azure Sentinelo servidor pode demorar um momento.

      Mapeie esses incidentes recuperados para Campos de destino de incidente de SIR . Os campos e valores do incidente aparecem como guias individuais.
      Mapeamento de campo de incidentes do Azure Sentinel
    2. Para adicionar campos aos campos padrão exibidos no incidente de segurança, execute as seguintes ações:
      1. Na seção Campos de destino de incidente SIR, clique em Botão Mapear outro campo. Botão Mapear outro campo.
        Ele mostra uma lista de SIRcampos, a partir dos quais você pode selecionar um campo para que um novo campo seja exibido.
      2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.
        Nota:
        Vários observáveis podem ser exibidos no mesmo incidente de segurança. Por exemplo, o. Observável o campo pode ser mapeado várias vezes com valores diferentes. Da mesma forma, o. Item de configuração e. Campos de anotações de trabalho suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, verá uma mensagem de erro informando que este campo não oferece suporte a vários valores. Da mesma forma, se um campo em um incidente de segurança tiver uma lista da qual você pode escolher várias opções e você tentar mapear uma opção para esse campo que não seja exibida na lista, o campo não será preenchido no incidente de segurança.
      3. Na seção Campos de origem do Azure Sentinel, arraste e solte o campo para mapeá-lo para o novo campo.
      4. Ao marcar a caixa de seleção que corresponde a um campo, todas as mudanças novas ou atualizadas feitas no Azure Sentinel atualizarão automaticamente os respectivos dados do incidente DE SIR com os novos dados do incidente.
        Nota:
        No sistema de base, a propriedade do sistema sn_sec_sentinel.incident_updates é definida como verdadeira por padrão para receber o. Microsoft Azure SentinelAtualizações relacionadas a novos alertas vinculados ao SIR.
        • Por padrão, os campos Usuários afetados, Itens de configuração e Observáveis são verificados. Isso significa que sempre que houver novos observáveis ou itens de configuração associados, ou usuários afetados que são adicionados ao incidente, essas informações serão extraídas e preenchidas automaticamente nas respectivas listas relacionadas na Resposta a incidentes de segurança (SIR) durante esse intervalo de pesquisa.
        • Para quaisquer outros campos, você deve marcar a caixa de seleção que corresponde a um campo para todas as mudanças novas ou atualizadas feitas no registro de incidente do Azure Sentinel no Azure Sentinel. Isso atualizará automaticamente os respectivos dados do incidente SIR com os novos dados do incidente.
        Importante:
        A due diligence deve ser feita antes de selecionar esta funcionalidade, pois substituir os dados existentes pode resultar em dados instáveis para o analista trabalhar e qualquer outra automação definida, mesmo pelos valores de campo do incidente de segurança, também pode ser afetada. Portanto, é muito importante fazer a due diligence antes de selecionar qualquer funcionalidade de substituição.
    3. Para remover um campo, use Botão RemoverBotão Remover item ao lado do campo Expressão de entrada na seção Campos de destino do incidente SIR.
    4. Para mapear um valor de campo da seção Campos de origem do Sentinel do Azure para um campo na seção Campos de destino do incidente do SIR, use uma das seguintes ações:
      1. Arraste o nome do campo (por exemplo, ID) e solte-o ao lado de um nome de campo na coluna Campos de destino do incidente de SIR.

        Você pode corresponder qualquer valor da seção Campos de origem do Sentinel do Azure a um campo na seção Campos de destino do incidente DO SIR. Os campos são codificados por cores para que você não ignore ou duplique os campos de incidente no processo de mapeamento. Os campos azuis claros indicam que um campo de incidente ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de incidente de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Dessa forma, você pode visualizar quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de incidente importante restante permanece não mapeada.

      2. Você pode adicionar uma combinação de texto e campo.
        Por exemplo, O nome do incidente é . Aqui O nome do incidente é pode ser inserido manualmente enquanto (nome) É mapeado na seção Campos de origem do Azure Sentinel.
      3. Você pode inserir manualmente e mapear diretamente um incidente de origem ou campo de entidade para um campo de destino.
        • Para mapear manualmente um campo de incidente de origem, use o⁠formato "nome do campo". Por exemplo, para mapear a gravidade de um campo de incidente, o formato é ⁠(propriedades(severidade)) .
        • Para adicionar manualmente um campo de entidade de origem, use ⁠nome da entidade: campo da entidade formato. Por exemplo, para mapear um campo de entidade Descrição do alerta de segurança da entidade, o formato é ⁠Security Alert: Properties(description) .
      Esta integração classifica determinados subtipos observáveis. Quando você mapeia um campo Azure Sentinel com o campo OBSERVÁVEL SIR, o. Now Platformautoclassifica o observável. Se você quiser mapear genericamente o Observável Sentinel do Azure de entrada para o tipo de observável em SIR, Em seguida, arraste e solte o campo Azure Sentinel no campo Observável. No entanto, se você souber do tipo de observável para o observável Azure Sentinel de entrada em SIR, em seguida, mapeie especificamente para SIRCampo de tipo de observável. Alguns exemplos de tipos de observáveis específicos em SIRIncluir observável (nome do domínio), observável (endereço de e-mail), observável (endereço IP (V4)) e observável (nome do host).

      Se os campos de entrada do Azure Sentinel contiverem algum MITRE-ATT&CKe mapeie-as para MITRE-ATT&CKCampo de técnica. Certifique-se de que o campo Azure Sentinel de entrada contenha MITRE-ATT&CKID da técnica ou nome da técnica.

      Às vezes, os valores de campo de incidente em Microsoft Azure SentinelPode não ser traduzido diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos.

    5. Para formatar uma tradução de campo para um novo campo de um incidente sentinela do Azure para corresponder a um valor de campo em um incidente de segurança, clique em Clique aqui link no Campos de destino de incidente de SIR cabeçalho.
    6. Para modificar os campos compatíveis com a tradução de campos, clique em Botão de formato de campoícone de tradução de campo de formato de script.
      Os campos compatíveis com a tradução de campo são Categoria , Item de configuração e. Prioridade . Por exemplo, clique em Botão de formato de campoÍcone ao lado da Categoria. O editor de script Tradução de campo do Azure Sentinel é aberto.
    7. Insira as mudanças no script e clique em Atualizar Para salvar as mudanças e retornar à página Mapeamento.
      Por exemplo, para Categoria, defina o seguinte no editor de scripts:
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      Esse mapeamento garante que um perfil use somente categorias configuradas.
    8. Continue seu mapeamento adicionando ou removendo valores de campo.
      Você pode usar os mesmos valores de campo no construtor de condições de geração de incidentes para definir critérios adicionais que um incidente de entrada deve atender para criar um incidente de segurança.
    9. Para ir para a seção Filtragem e agregação, clique em Continuar .

    O que Fazer Depois

    Defina e defina condições de filtro para que você possa especificar quais incidentes devem criar incidentes de segurança. Você pode usar os mesmos valores de campo (definidos na seção Mapeamento) no construtor de condições de geração de incidentes (na seção Filtragem e agregação) para definir critérios adicionais que um incidente de entrada deve atender para criar um incidente de segurança.