Warnungsfeldzuordnung

Verwenden Sie als Benutzer mit der Rolle „sn_si.admin“ die Felder aus dem Abschnitt „Beispielwarnungen“ auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte SIR-Incident-Feldzuordnung im rechten Bereich zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungsfelder von der linken Seite ziehen und sie im Incident-Zuordnungsabschnitt SIR auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das eingehende Warnungsfeld einem ausgehenden Security Incident-Feld zu.

1. Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie im nächsten Schritt die Warnungsfelder dem Security Incident zu. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken und halten Sie einen blauen Feldnamen auf der linken Seite des Formulars.
2. Ziehen Sie den Feldnamen, z. B. Kategorie, in ein Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident.

   Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Kategorie dem Feld Kategorie im Security Incident zugeordnet.

   
   
   

   Sie können jedoch jeden Wert auf der linken Seite mit einem Feld auf der rechten Seite abgleichen. Vergewissern Sie sich, dass der Wert während des Vorschauschritts dem Security Incident korrekt zugeordnet wurde.

   Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Warnungsfelder übersehen oder dupliziert werden, sind die Felder farbcodiert. Die Farbcodierung der Warnungsfelder hilft Ihnen, die Warnungswerte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Warnungsinformationen nicht zugeordnet wurden.

   Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Warnungsfeld ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie ein eingehendes Warnungsfeld mehr als einem Feld in einem Security Incident zuordnen. Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

   Hinweis:

   1. Um manuell einen Wert in das Feld Eingabeausdruck einzugeben, geben Sie ihn im Format ${fieldname}$ ein. Das Warnungsfeld wird dem Security Incident-Feld zugeordnet.
   2. Sie können erfasste Warnungen nicht den MITRE-ATT&CK Framework-Feldern im Security Incident-Zuordnungsabschnitt zuordnen. Wenn Sie die Felder weiterhin zuordnen, sind die Informationen nicht als Teil der Karte [ MITRE-ATT&CK im Abschnitt MITRE-ATT&CK „ Framework“ im Security Incident-Formular verfügbar. Um die MITRE-ATT&CK -Techniken zuzuordnen, verwenden Sie die automatische Extraktionsfunktion, die als Teil des MITRE-ATT&CK Frameworks im Threat Intelligence -Modul verfügbar ist.
3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen.
   1. Klicken Sie rechts im Formular im Abschnitt SIR Incident-Feldzuordnung am unteren Rand des Rasters auf das Pluszeichen (+). Ein neues Feld wird angezeigt.
   2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.

      In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert dargestellt. In der folgenden Abbildung hat die Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Warnungsfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite, die bereits zugeordneten SIR Incident-Felder nachzuverfolgen.

      
      
      
      Hinweis:

      Da mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
   3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
   4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um die gewünschte Warnungs-ID im Feld Eingabeausdruck auszuwählen. Ordnen Sie es mit der Drag-and-Drop-Funktion neben Ihrem neuen Feld zu.
4. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder daraus entfernen.
5. Nachdem Sie die vorherigen Schritte der Feldzuordnung abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

Formatfeldübersetzung

In bestimmten Fällen werden Warnungsfeldwerte in Microsoft Graph-Sicherheits-API möglicherweise nicht direkt in die Felder des SIR-Security Incident übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Zum Beispiel kann mit dem Skript-Editor ein Kategoriewert von Malware-Warnung und Virusinfection unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können in eine gemeinsame böswillige Codeaktivität im Feld Kategorie des SIR-Security Incident mit Format übersetzt werden Feldübersetzungsfunktion.

Um den Skript-Editor zu verwenden, klicken Sie auf das Symbol {}. Der Skript-Editor wird angezeigt.

Bedingungen für die Incident-Generierung

Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um anzugeben, welche Warnungen Security Incidents erstellen sollen und welche Warnungen herausgefiltert werden sollen, z. B. Warnungen mit niedriger Priorität. Sie können dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.

1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und wählen Sie die Option Basierend auf Bedingungen filtern aus. Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

   Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Warnungsbeispielerfassung“ für die erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich in Abhängigkeit von der Warnung, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten der Warnung übereinstimmen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu Ihrem Microsoft Azure-Mandanten zurück und überprüfen Ihre Warnungen auf die Stichwörter.

2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND oder ODER.
   • Wenn UNDausgewählt ist, müssen alle Bedingungen erfüllt sein.
   • Wenn ORausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
4. Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest

   Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.

   
   
   

   Sie haben die Auslösebedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

   Diese Art der Filterung hilft Ihnen, Sicherheitswarnungen zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn zusätzliche Filterkriterien festgelegt werden, werden nur erforderliche Warnungen erfasst, ohne dass die Abfrage oder die Konfiguration der ausgelösten Warnung geändert werden muss.

Warnungszusammenfassungskriterien, um ähnliche Warnungen zu behandeln und doppelte Incidents zu verhindern

Definieren Sie zusätzliche Warnungszusammenfassungskriterien, die eine eingehende Warnung zu einem vorhandenen SIR Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Warnungsdaten in einem einzigen Security Incident platziert werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:

1. Scrollen Sie im Formular zum Abschnitt „Warnungszusammenfassungskriterien“, und wählen Sie die Option Zusammenfassungsbedingungen aus. Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle benutzerdefinierten Felder enthalten, die im Security Incident SIR konfiguriert wurden.
2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Now Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt. Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Warnungsfeldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte abgeglichen wird, sind die Bedingungen für die Warnungszusammenfassung nicht erfüllt, und es wird ein neuer Security Incident erstellt. Im Screenshot unten sehen Sie die Zuordnung von Feldern mit mehreren Werten.
   
   
   

   Wenn eine neue Warnung mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der an Security Incidents arbeitet, können Sie alle hinzugefügten zusammengefassten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Warnungen zu einem Security Incident werden in der zugehörigen Liste Zusammengefasste Microsoft Graph-Warnungen angezeigt. Diese Liste enthält die zugehörigen Zeitstempel und zusammengefassten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen zu vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

3. (Optional) Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie diese Option. Die Arbeitsnotiz protokolliert, dass eine neue Warnung hinzugefügt wurde, zusammen mit einem Link zu den Warnungsdetails und anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

   Sie haben erfolgreich Werte aus einer Warnung zu Feldern in einem SIR Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien zu begrenzen. Sie haben auch Warnungen oder Events an vorhandene SIR Security Incidents angehängt.

4. Klicken Sie auf Fortsetzen, um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR-Security Incident zugeordnet haben