Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Die manuelle Vorfallerstellung über das Portal oder Logic Apps befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Die manuelle Vorfallerstellung steht in der Regel über die API zur Verfügung.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Benutzer ebenfalls automatisch eingebunden und vom Azure-Portal zum Defender-Portal umgeleitet. Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Mit Microsoft Sentinel als Ihre SIEM-Lösung (Security Information and Event Management) werden die Bedrohungserkennungs- und Reaktionsaktivitäten Ihrer Sicherheitsvorgänge auf Vorfälle zentriert, die Sie untersuchen und beheben. Diese Vorfälle haben zwei Hauptquellen:
Sie werden automatisch generiert, wenn Erkennungsmechanismen anhand von Protokollen und Warnungen ausgeführt werden, die Microsoft Sentinel aus den mit ihm verbundenen Datenquellen erfasst.
Sie werden direkt von anderen verbundenen Microsoft-Sicherheitsdiensten (z. B. Microsoft Defender XDR) aufgenommen, die sie erstellt haben.
Bedrohungsdaten können jedoch auch aus anderen Quellen stammen, die nicht in Microsoft Sentinel aufgenommen wurden, oder Ereignisse, die nicht in einem Protokoll aufgezeichnet wurden, und dennoch das Öffnen einer Untersuchung rechtfertigen. Beispielsweise kann ein*e Mitarbeiter*in feststellen, dass eine nicht erkannte Person verdächtige Aktivitäten im Zusammenhang mit den Informationsressourcen Ihrer Organisation ausführt. Diese*r Mitarbeiter*in kann unter Umständen das Security Operations Center (SOC) anrufen oder ihm eine E-Mail senden, um die Aktivität zu melden.
Microsoft Sentinel im Azure-Portal ermöglicht Ihren Fachkräften für Sicherheitsanalysen, unabhängig von der Quelle oder den Daten Incidents für jeden Ereignistyp manuell zu erstellen, sodass Sie es nicht versäumen, diese ungewöhnlichen Typen von Bedrohungen zu untersuchen.
Gängige Anwendungsfälle
Erstellen eines Vorfalls zu einem gemeldeten Ereignis
Dies ist das oben in der Einführung beschriebene Szenario.
Erstellen von Vorfällen aufgrund von Ereignissen in externen Systemen
Erstellen Sie Vorfälle basierend auf Ereignissen in Systemen, deren Protokolle nicht in Microsoft Sentinel erfasst werden. Beispielsweise kann eine SMS-basierte Phishingkampagne das Branding und das Corporate Design Ihrer Organisation verwenden, um die Mitarbeiter über ihre privaten mobilen Geräte zu erreichen. Möglicherweise möchten Sie einen solchen Angriff untersuchen, und Sie können einen Vorfall in Microsoft Sentinel erstellen, damit Sie über eine Plattform zum Verwalten Ihrer Untersuchung, zum Sammeln und Protokollieren von Beweisen und zum Erfassen Ihrer Reaktion und Aktionen zur Abschwächung des Angriffs verfügen.
Erstellen von Vorfällen basierend auf Suchergebnissen
Erstellen Sie Vorfälle basierend auf den beobachteten Ergebnissen der Suchaktivitäten. Während die Bedrohungssuche beispielsweise in Bezug auf eine bestimmte Untersuchung durchgeführt wird (oder auf eigene Faust), könnten Sie Beweise für eine davon unabhängige Bedrohung finden, die ihre eigene separate Untersuchung erforderlich macht.
Manuelles Erstellen eines Vorfalls
Es gibt drei Möglichkeiten, einen Vorfall manuell zu erstellen:
- Erstellen eines Vorfalls mithilfe des Azure-Portals
- Erstellen eines Vorfalls in den Azure Logic Apps mithilfe des Microsoft Sentinel-Vorfallauslösers
- Erstellen Sie einen Vorfall mithilfe der Microsoft Sentinel-API über die Vorgangsgruppe "Vorfälle ". Sie ermöglicht Ihnen das Abrufen, Erstellen, Aktualisieren und Löschen von Vorfällen.
Nach dem Onboarding von Microsoft Sentinel in das Microsoft Defender-Portal werden manuell erstellte Vorfälle nicht mit dem Defender-Portal synchronisiert, sie können jedoch weiterhin in Microsoft Sentinel im Azure-Portal und über Logic Apps und die API angezeigt und verwaltet werden.
Erlaubnisse
Die folgenden Rollen und Berechtigungen sind erforderlich, um einen Vorfall manuell zu erstellen.
| Methode | Erforderliche Rolle |
|---|---|
| Azure-Portal und -API | Eins der folgenden: |
| Azure Logic Apps | Eines der obigen, plus: |
Erfahren Sie mehr über Rollen in Microsoft Sentinel.
Erstellen eines Vorfalls im Azure-Portal
Wählen Sie Microsoft Sentinel aus, und wählen Sie Ihren Arbeitsbereich aus.
Wählen Sie im Microsoft Sentinel-Navigationsmenü "Vorfälle" aus.
Wählen Sie auf der Seite "Vorfälle " in der Schaltflächenleiste +Vorfall erstellen (Vorschau) aus.
Der Bereich " Vorfall erstellen" (Vorschau) wird auf der rechten Seite des Bildschirms geöffnet.
Füllen Sie die Felder in dem Bereich entsprechend aus.
Titel
- Geben Sie einen Titel Ihrer Wahl für den Vorfall ein. Der Vorfall wird in der Warteschlange mit diesem Titel angezeigt.
- Erforderlich. Freitext mit unbegrenzter Länge. Leerzeichen werden gekürzt.
Beschreibung
- Geben Sie beschreibende Informationen zu dem Vorfall ein, z. B. Details wie den Ursprung des Vorfalls, alle beteiligten Entitäten, die Beziehung zu anderen Ereignissen, wer informiert wurde usw.
- Wahlfrei. Freitext bis zu 5000 Zeichen
Schweregrad
- Wählen Sie aus der Dropdownliste einen Schweregrad aus. Es stehen alle von Microsoft Sentinel unterstützten Schweregrade zur Verfügung.
- Erforderlich. Die Standardeinstellung lautet „Mittel“.
Status
- Wählen Sie aus der Dropdownliste einen Status aus. Es stehen alle von Microsoft Sentinel unterstützten Status zur Verfügung.
- Erforderlich. Der Standardwert lautet „Neu“.
- Sie können einen Vorfall mit dem Status „geschlossen“ erstellen und ihn anschließend manuell öffnen, um Änderungen vorzunehmen und einen anderen Status auszuwählen. Wenn Sie in der Dropdownliste "geschlossen" auswählen, werden Klassifizierungsgrundfelder für Sie aktiviert, um einen Grund für das Schließen des Vorfalls auszuwählen und Kommentare hinzuzufügen.
Eigentümer
- Treffen Sie Ihre Auswahl aus den verfügbaren Benutzern oder Gruppen in Ihrem Mandanten. Beginnen Sie mit der Eingabe eines Namens, um nach Benutzern und Gruppen zu suchen. Wählen Sie das Feld (durch Klicken oder Tippen) aus, um eine Liste mit Vorschlägen anzuzeigen. Wählen Sie oben in der Liste „Mir zuweisen“ aus, um sich den Vorfall selbst zuzuweisen.
- Wahlfrei.
Stichwörter
- Verwenden Sie Tags, um Vorfälle zu klassifizieren und um sie in der Warteschlange zu filtern und zu suchen.
- Erstellen Sie Tags, indem Sie das Pluszeichensymbol auswählen, Text in das Dialogfeld eingeben und "OK" auswählen. Im Rahmen der automatischen Vervollständigung werden Tags vorgeschlagen, die im Laufe der letzten beiden Wochen in dem Arbeitsbereich verwendet worden sind.
- Wahlfrei. Freitext
Wählen Sie unten im Bereich "Erstellen" aus. Nach wenigen Sekunden wird der Vorfall erstellt und in der Vorfallwarteschlange angezeigt.
Wenn Sie einem Vorfall den Status "Geschlossen" zuweisen, wird er erst in der Warteschlange angezeigt, wenn Sie den Statusfilter so ändern, dass auch geschlossene Vorfälle angezeigt werden. Der Filter ist standardmäßig so eingestellt, dass nur Vorfälle mit dem Status „Neu“ oder „Aktiv“ angezeigt werden.
Wählen Sie den Vorfall aus der Warteschlange aus, um sämtliche Details dazu anzuzeigen, Textmarken hinzuzufügen, den Besitzer und den Status zu ändern usw.
Wenn Sie ihre Meinung nach dem Erstellen des Vorfalls aus irgendeinem Grund ändern, können Sie sie aus dem Warteschlangenraster oder aus dem Vorfall selbst löschen. Sie müssen über die Rolle "Microsoft Sentinel-Mitwirkender" verfügen, um einen Vorfall zu löschen.
Erstellen eines Vorfalls mithilfe von Azure Logic Apps
Sie können einen Vorfall auch als Logic Apps-Aktion im Microsoft Sentinel-Connector und damit in den Microsoft Sentinel-Playbooks erstellen.
Sie finden die Aktion "Vorfall erstellen (Vorschau)" im Playbook-Schema für den Vorfalltrigger.
Sie müssen, wie unten beschrieben, Parameter angeben:
Wählen Sie Ihr Abonnement, Ressourcengruppe und Arbeitsbereichsname aus den jeweiligen Dropdownlisten aus.
Die verbleibenden Felder finden Sie in den obigen Erläuterungen (unter Erstellen eines Vorfalls mithilfe des Azure-Portals).
Microsoft Sentinel stellt einige Beispiel-Playbookvorlagen zur Verfügung, die Ihnen zeigen, wie Sie mit dieser Funktion arbeiten können:
- Vorfallsbericht mit Microsoft-Formular erstellen
- Erstellen eines Vorfalls aus dem freigegebenem E-Mail-Posteingang
Sie finden sie in der Vorlagengalerie der Playbooks auf der Microsoft Sentinel Seite Automatisierung.
Erstellen eines Vorfalls mithilfe der Microsoft Sentinel-API
Mit der Vorgangsgruppe "Vorfälle" können Sie Vorfälle nicht nur erstellen, sondern auch aktualisieren (bearbeiten), abrufen (Abrufen), auflisten und löschen.
Sie erstellen einen Vorfall mit dem folgenden Endpunkt. Nach dieser Anforderung wird der Vorfall in der Vorfallwarteschlange im Portal angezeigt.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Hier sehen Sie ein Beispiel für einen möglichen Anforderungstext:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Notizen
Manuell erstellte Vorfälle enthalten weder Entitäten noch Warnungen. Daher bleibt die Registerkarte " Warnungen " auf der Vorfallseite leer, bis Sie vorhandene Warnungen mit Ihrem Vorfall verknüpfen.
Die Registerkarte "Entitäten " bleibt ebenfalls leer, da das direkte Hinzufügen von Entitäten zu manuell erstellten Vorfällen derzeit nicht unterstützt wird. (Wenn Sie eine Warnung mit diesem Vorfall verknüpfen, werden Entitäten aus der Warnung in dem Vorfall angezeigt.)
Bei manuell erstellten Vorfällen werden auch keine Produktnamen in der Warteschlange angezeigt.
Die Vorfallwarteschlange wird standardmäßig so gefiltert, dass nur Vorfälle mit dem Status „Neu“ oder „Aktiv“ angezeigt werden. Wenn Sie einen Vorfall mit einem Status „Geschlossen“ erstellen, wird er erst in der Warteschlange angezeigt, wenn Sie den Statusfilter so ändern, dass geschlossene Vorfälle angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie unter