Definieren von Filter- und Zusammenfassungskriterien

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Sie können Filterbedingungen definieren und festlegen, um festzulegen, welche eingehenden Microsoft Azure Sentinel Incidents Security Incidents erstellen sollen. Sie können auch zusätzliche Incident-Feldkriterien definieren, die es ermöglichen, einen eingehenden Incident an einen offenen Security Incident anzuhängen, anstatt einen Incident zu erstellen.

    Legen Sie die Filterbedingungen für Security Incidents fest

    Legen Sie die Filterbedingungen so fest, dass Security Incidents nur erstellt werden, wenn die Filterbedingungen erfüllt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Diese Art der Filterung hilft Ihnen, Security Incidents zu isolieren, und begrenzt die Anzahl der von Ihnen erstellten Security Incidents. Wenn Sie zusätzliche Filterkriterien festlegen, werden nur die erforderlichen Incidents erfasst, ohne dass die Abfrage oder die Konfiguration der ausgelösten Incidents geändert werden muss.

    Prozedur

    1. Um die Kriterien zu definieren, die ein eingehender Incident Microsoft Azure Sentinel erfüllen muss, damit ein Security Incident erstellt wird, wählen Sie Basierend auf Bedingungen filternaus.

      Die Optionen im ersten Feld der Filterbedingungen entsprechen den Feldern, die im Abschnitt „Azure Sentinel – Beispiel-Incident-Erfassung“ für den von Ihnen erfassten Incident angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach dem von Ihnen erfassten Incident. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden. Vergewissern Sie sich, dass die von Ihnen definierten Kriterien mit den Werten des incident übereinstimmen.

      Verwenden Sie die Filterbedingung enthält für die folgenden Felder mit mehreren Werten:
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      Da die Filterbedingung nur Zeichenfolgen abrufen kann, müssen Sie für die obigen Felder die Filterbedingung „ Enthält “ verwenden, um sicherzustellen, dass die Daten ordnungsgemäß gefiltert werden.

      Abbildung : 1. Bedingungen für die Generierung von Security Incidents
      Generator für Filterbedingungen.
    2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators die Filter für die erste Zeile fest.
    3. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER.
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
    4. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.

    Definieren Sie Zusammenfassungsbedingungen

    Definieren Sie zusätzliche Kriterien für die Incident-Zusammenfassung, die einen eingehenden Incident zu einem vorhandenen SIR-Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Wenn Sie für jedes Profil Kriterien für Feldabgleichwerte verwenden, kann diese zusätzliche Zusammenfassung die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Incident-Daten in einem einzigen Security Incident zusammengefasst werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn ein neuer Incident allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird der Incident automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der mit Security Incidents arbeiten, können Sie alle hinzugefügten aggregierten Incidents in einer zugehörigen Liste zu einem Security Incident anzeigen.

    Alle aggregierten Incidents für einen Security Incident werden in der zugehörigen Liste „Aggregierte Azure Sentinel-Incidents“ angezeigt. Diese Liste enthält die zugehörigen Zeitstempel und aggregierten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum Incidents zu vorhandenen Security Incidents hinzugefügt werden.

    Prozedur

    1. Um zusätzliche Incident-Feldkriterien zu definieren, die es ermöglichen, einen eingehenden Incident Microsoft Azure Sentinel an einen offenen Security Incident anzuhängen, anstatt einen neuen Incident zu erstellen, wählen Sie die Option Zusammenfassungsbedingungen (siehe folgende Abbildung).
      Abbildung : 2. Zusammenfassungsbedingungen
      Zusammenfassung, um zusätzliche Filterkriterien für Incidents zu definieren.
    2. Geben Sie im Feld Incident-Felder mit übereinstimmenden Werten die Feldwerte ein, die mit vorhandenen Security Incidents in Ihrer Instanz Now Platform abgeglichen werden sollen.
      Alle Feldwerte, die Sie im Eingabefeld für die Mehrfachauswahl ausgewählt haben, müssen übereinstimmen, damit die Zusammenfassungskriterien erfüllt sind und dieser eingehende Incident an einen vorhandenen Security Incident angehängt werden kann. Diese Auswahl impliziert, dass es sich um eine UND -Bedingung handelt, bei der Felder wie erkennbare Elemente und Konfigurationselemente, die mehrere Feldwerte aufweisen können, zugeordnet werden. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Zusammenfassung des Azure Sentinel-Incident nicht erfüllt, und es wird ein neuer Security Incident erstellt.
    3. Um mehrere Feldabgleichbedingungen hinzuzufügen, klicken Sie auf Neues Kriterium hinzufügen
      Die Zusammenfassung erfolgt, wenn eine der von Ihnen definierten Feldbedingungen für die Mehrfachauswahl erfüllt ist. Diese Auswahl impliziert die ODER -Bedingung.
    4. Um die Arbeitsnotiz für einen neuen Incident zu aktualisieren, wenn sie einem Security Incident hinzugefügt wird, wählen Sie Arbeitsnotiz für neuen Incident protokollierenaus.

      In der Arbeitsnotiz wird protokolliert, dass ein neuer Incident hinzugefügt wurde, und sie enthält einen Link zu den Incident-Details. Die Protokoll-Arbeitsnotiz aktualisiert auch weitere Details, die Sie dem Feld „Arbeitsnotiz“ in Ihrem Zuordnungsabschnitt hinzufügen.

    5. Klicken Sie zum Konfigurieren des Zeitplans auf Fortfahren.

    Nächste Maßnahme

    Legen Sie einen Zeitplan fest, um die Incident-Daten und erfassten Incidents abzurufen, die den Kriterien im Profil entsprechen.