Ordnen Sie die Incident-Felder Microsoft Azure Sentinel zu

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Ordnen Sie die einzelnen Incident-Felder Microsoft Azure Sentinel den Feldern im Security Incident SIR zu, damit Sie Incidents mit den zugeordneten Daten erstellen können.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wählen Sie auf der Zuordnungsseite im Abschnitt „Azure Sentinel-Feldzuordnung“ eine der Beispiel-Erfassungsmethoden aus.
      Tabelle : 1. Beispiel für Erfassungsmethoden
      Feld Beschreibung
      Alle standardmäßigen Incident- und Entitätsfelder Verwenden Sie diese Erfassungsmethode, um die statische Liste aller Incidents und Entitätsfelder anzuzeigen. Diese Methode enthält nur Standardfeldnamen ohne Werte.

      Sie können diese Informationen für die Zuordnung zu den Feldern SIR verwenden.
      Rufen Sie aktuelle Azure Sentinel-Incidents ab Verwenden Sie diese Erfassungsmethode, um die neuesten Incident- und Entitätsdaten zu importieren.

      Wenn der Azure Sentinel-Incident die Entitätsdaten enthält, werden die Entitätsdaten abgerufen und stehen für die Zuordnung im Abschnitt „Azure Sentinel-Quellfelder“ zur Verfügung. Manchmal enthält der Azure Sentinel-Incident die Entitätsdaten nicht, und daher sind die Entitätsfelder in einem solchen Szenario nicht für die Zuordnung verfügbar.

      Wenn der Azure Sentinel-Incident mehrere Warnungen enthält, wird die früheste Warnung, die Teil des Incident ist, im Zuordnungsabschnitt angezeigt. Während der Erfassung werden auch die frühesten Feldwerte der Sicherheitswarnung verwendet.

      Sie können standardmäßig 5 Beispiel-Incidents und maximal 20 Beispiel-Incidents erfassen.

      Die Beispiel-Incident-Feldwerte werden ausgefüllt, wenn das Profil die Beispiel-Incidents erfasst. Sie können diese Incidents den SIR-Incident-Zielfeldern zuordnen. Die Incident-Felder und -Werte werden als einzelne Registerkarten angezeigt.
      Importieren Sie Beispieldaten Klicken Sie auf Beispieldaten importieren, um Beispiel-Incidents aus Azure Sentinel zu importieren.

      Diese Schaltfläche wird angezeigt, wenn Sie die Erfassungsmethode Letzte Azure Sentinel-Incidents abrufen auswählen.

      Das Abrufen von Beispiel-Incidents vom Microsoft Azure Sentinel -Server kann einen Moment dauern.

      Ordnen Sie diese abgerufenen Incidents den SIR-Incident-Zielfeldernzu. Die Incident-Felder und -Werte werden als einzelne Registerkarten angezeigt.
      Feldzuordnung von Azure Sentinel-Incidents
    2. Führen Sie die folgenden Aktionen aus, um den Standardfeldern, die im Security Incident angezeigt werden, Felder hinzuzufügen:
      1. Klicken Sie im Abschnitt „SIR-Incident-Zielfelder“ auf die Schaltfläche Weiteres Feld zuordnen. Schaltfläche „Weiteres Feld zuordnen“.
        Sie zeigt eine Liste von SIR Feldern, aus der Sie ein Feld für ein neues Feld auswählen können, das angezeigt werden soll.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie dann ein Feld aus.
        Hinweis:
        Mehrere erkennbare Elemente können für denselben Security Incident angezeigt werden. Beispielsweise kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird eine Fehlermeldung angezeigt, die besagt, dass dieses Feld nicht mehrere Werte unterstützt. Wenn ein Feld in einem Security Incident eine Liste enthält, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Verschieben Sie Ihr Feld per Drag-and-Drop aus dem Abschnitt „Azure Sentinel-Quellfelder“, um es Ihrem neuen Feld zuzuordnen.
      4. Wenn Sie das Kontrollkästchen aktivieren, das einem Feld entspricht, werden durch neue oder aktualisierte Änderungen in Azure Sentinel die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
        Hinweis:
        Im Basissystem ist die Systemeigenschaft sn_sec_sentinel.incident_updates standardmäßig auf True festgelegt, um die Microsoft Azure Sentinel Aktualisierungen im Zusammenhang mit neuen Warnungen zu erhalten, die mit SIR verknüpft sind.
        • Standardmäßig sind die Felder Betroffene Benutzer, Konfigurationselemente und erkennbare Elemente aktiviert. Dies bedeutet, dass immer dann, wenn dem Incident neue erkennbare Elemente oder zugeordnete Konfigurationselemente oder betroffene Benutzer hinzugefügt werden, diese Informationen während dieses Abfrageintervalls automatisch extrahiert und in die entsprechenden zugehörigen Listen in Security Incident Response (SIR) eingetragen werden.
        • Für alle anderen Felder müssen Sie das Kontrollkästchen aktivieren, das einem Feld für neue oder aktualisierte Änderungen entspricht, die im Azure Sentinel-Incident-Datensatz in Azure Sentinel vorgenommen werden. Dadurch werden die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
        Wichtig:
        Vor der Auswahl dieser Funktionalität ist eine Due-Diligence-Prüfung erforderlich, da das Überschreiben der vorhandenen Daten zu instabilen Daten für den Analysten führen kann und jede andere Automatisierung, die auch nur durch die Feldwerte des Security Incident festgelegt wird, ebenfalls betroffen sein kann. Daher ist es sehr wichtig, die Due Diligence durchzuführen, bevor Sie eine Überschreibungsfunktion auswählen.
    3. Um ein Feld zu entfernen, verwenden Sie die Schaltfläche Entfernen Schaltfläche „Element entfernen“ neben dem Eingabeausdrucksfeld im Abschnitt „SIR-Incident-Zielfelder“.
    4. Um einen Feldwert aus dem Abschnitt „Azure Sentinel-Quellfelder“ einem Feld im Abschnitt „SIR-Incident-Zielfelder“ zuzuordnen, verwenden Sie eine der folgenden Aktionen:
      1. Ziehen Sie den Feldnamen (z. B. id) in die Spalte SIR-Incident-Zielfelder neben einem Feldnamen.

        Sie können einen beliebigen Wert aus dem Abschnitt „Azure Sentinel-Quellfelder“ mit einem Feld im Abschnitt „SIR-Incident-Zielfelder“ abgleichen. Felder sind farbcodiert, damit Sie Incident-Felder im Zuordnungsprozess nicht übersehen oder duplizieren. Hellblaue Felder zeigen an, dass noch kein Incident-Feld ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie ein eingehendes Incident-Feld mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Auf diese Weise können Sie visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Incident-Informationen nicht zugeordnet wurden.

      2. Sie können eine Kombination aus Text und Feld hinzufügen.
        Beispiel: Incident-Name ist ${name}$. Hier kann der Incident-Name manuell eingegeben werden, während ${name}$ aus dem Abschnitt „Azure Sentinel-Quellfelder“ zugeordnet wird.
      3. Sie können ein Quell-Incident- oder -Entitätsfeld direkt manuell eingeben und einem Zielfeld zuordnen.
        • Um ein Quell-Incident-Feld manuell zuzuordnen, verwenden Sie das Format $⁠{field name}$. Um beispielsweise ein Incident-Feld Schweregrad zuzuordnen, lautet das Format$⁠{properties(severity)}$.
        • Um ein Quellentitätsfeld manuell hinzuzufügen, verwenden Sie das Format $⁠{Entitätsname: Entitätsfeld}$. Um beispielsweise ein Entitätsfeld Beschreibung der Entität Sicherheitswarnung zuzuordnen, lautet das Format $⁠{SecurityAlert: properties(description)}$.
      Diese Integration klassifiziert bestimmte erkennbare Untertypen. Wenn Sie ein Azure Sentinel-Feld dem erkennbaren SIR-Feld zuordnen, klassifiziert Now Platform das erkennbare Element automatisch. Wenn Sie das eingehende erkennbare Azure Sentinel-Element generisch dem erkennbaren Typ in SIRzuordnen möchten, ziehen Sie das Feld Azure Sentinel per Drag-and-Drop in das Feld Erkennbares Element. Wenn Sie jedoch den erkennbaren Typ für das eingehende erkennbare Azure Sentinel-Element in SIRkennen, ordnen Sie dies speziell dem Feld „Erkennbarer Typ SIR “ zu. Einige Beispiele für bestimmte erkennbare Typen in SIR sind: Erkennbares Element (Domänenname), erkennbares Element (E-Mail-Adresse), erkennbares Element (IP-Adresse (V4)) und erkennbares Element (Hostname).

      Wenn Ihre eingehenden Azure Sentinel-Felder Informationen von MITRE-ATT&CK enthalten, ordnen Sie sie dem Feld „Technik“ von MITRE-ATT&CK zu. Stellen Sie sicher, dass das eingehende Azure Sentinel-Feld die Technik-ID oder den Techniknamen MITRE-ATT&CK enthält.

      Manchmal werden Incident-Feldwerte in Microsoft Azure Sentinel nicht direkt in die Felder des SIR-Security Incident übertragen. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

    5. Um eine Feldübersetzung für ein neues Feld aus einem Azure Sentinel-Incident so zu formatieren, dass er einem Feldwert in einem Security Incident entspricht, klicken Sie auf den Link Hier klicken im Header „ SIR-Incident-Zielfelder “.
    6. Um die Felder zu ändern, die die Feldübersetzung unterstützen, klicken Sie auf die Schaltfläche Feldformat Skriptformat Feldübersetzungssymbol.
      Die Felder, die die Feldübersetzung unterstützen, sind Kategorie, Konfigurationselementund Priorität. Klicken Sie beispielsweise auf das Schaltflächensymbol „Feldformat“ neben der Kategorie. Der Skript-Editor für Azure Sentinel-Feldübersetzungen wird geöffnet.
    7. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um die Änderungen zu speichern und zur Seite „Zuordnung“ zurückzukehren.
      Definieren Sie beispielsweise für Kategorie Folgendes im Skript-Editor:
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      Durch diese Zuordnung wird sichergestellt, dass ein Profil nur konfigurierte Kategorien verwendet.
    8. Setzen Sie die Zuordnung fort, indem Sie Feldwerte hinzufügen oder entfernen.
      Sie können dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehender Incident erfüllen muss, um einen Security Incident zu erstellen.
    9. Klicken Sie auf Fortfahren, um zum Abschnitt Filtern und Zusammenfassung zu wechseln.

    Nächste Maßnahme

    Definieren und legen Sie Filterbedingungen fest, damit Sie angeben können, welche Incidents Security Incidents erstellen sollen. Sie können dieselben Feldwerte (im Abschnitt „Zuordnung“ definiert) im Generator für Bedingungen für die Incident-Generierung (im Abschnitt „Filtern und Zusammenfassung“ ) verwenden, um zusätzliche Kriterien zu definieren, die ein eingehender Incident erfüllen muss, um einen Security Incident zu erstellen.