在 Microsoft Sentinel Azure 门户 中手动创建自己的事件

将 Microsoft Sentinel 作为安全信息和事件管理 (SIEM) 解决方案，安全运营的威胁检测和响应活动以调查和修正的事件为中心。 这些事件有两个主要来源：

• 当检测机制对Microsoft Sentinel从其连接的数据源引入的日志和警报进行操作时，会自动生成它们。

• 它们直接从其他连接的Microsoft安全服务 (引入，例如创建它们的Microsoft Defender XDR) 。

但是，威胁数据也可能来自未引入Microsoft Sentinel的其他源，或者任何日志中未记录的事件，但可以证明打开调查是正当的。 例如，员工可能会注意到一个无法识别的人员从事与组织的信息资产相关的可疑活动。 此员工可能会向安全运营中心 (SOC) 致电或发送电子邮件来报告活动。

Azure 门户中的Microsoft Sentinel允许安全分析师手动为任何类型的事件创建事件，而不考虑其来源或数据，因此你不会错过调查这些异常类型的威胁。

常见用例

为报告的事件创建事件

这是上述简介中所述的方案。

从外部系统的事件创建事件

基于日志未引入Microsoft Sentinel的系统的事件创建事件。 例如，基于短信的网络钓鱼活动可能会使用组织的公司品牌和主题来定位员工的个人移动设备。 你可能想要调查此类攻击，并且可以在 Microsoft Sentinel 中创建事件，以便有一个平台来管理调查、收集和记录证据以及记录响应和缓解操作。

基于搜寻结果创建事件

根据观察到的搜寻活动结果创建事件。 例如，当在特定调查 (或你自己的) 中搜寻威胁时，你可能会遇到完全不相关的威胁的证据，需要单独调查。

手动创建事件

有三种方法可以手动创建事件：

• 使用 Azure 门户创建事件
• 使用 Azure 逻辑应用，使用 Microsoft Sentinel 事件触发器创建事件。
• 使用 Microsoft Sentinel API 通过“事件”操作组创建事件。 它允许你获取、创建、更新和删除事件。

将Microsoft Sentinel载入Microsoft Defender门户后，手动创建的事件不会与 Defender 门户同步，不过仍可以在Azure 门户Microsoft Sentinel以及逻辑应用和 API 中查看和管理这些事件。

权限

手动创建事件需要以下角色和权限。

详细了解 Microsoft Sentinel 中的角色。

使用 Azure 门户创建事件

1. 选择“Microsoft Sentinel”，然后选择工作区。

2. 从Microsoft Sentinel导航菜单中，选择“事件”。

3. 在“ 事件 ”页上，从按钮栏中选择“ + 创建事件 (预览) ”。

   

   “ 创建事件 (预览版) ”面板将在屏幕右侧打开。

   

4. 相应地填写面板中的字段。

   • 标题

     • 输入为事件选择的标题。 事件将在此标题的队列中显示。
     • 必填。 长度不受限制的自由文本。 将剪裁空格。

   • 说明

     • 输入有关事件的描述性信息，包括事件的来源、涉及的任何实体、与其他事件的关系、已通知的人员等详细信息。
     • 可选。 最多 5000 个字符的可用文本。

   • 严重性

     • 从下拉列表中选择严重性。 所有Microsoft Sentinel支持的严重性都可用。
     • 必填。 默认为“中”。

   • 状态

     • 从下拉列表中选择状态。 所有Microsoft Sentinel支持的状态都可用。
     • 必填。 默认为“新建”。
     • 可以创建状态为“已关闭”的事件，然后在之后手动打开它以进行更改并选择其他状态。 从下拉列表中选择“已关闭”将激活 分类原因 字段，以便选择关闭事件的原因并添加注释。

   • Owner

     • 从租户中的可用用户或组中进行选择。 开始键入名称以搜索用户和组。 选择字段 (单击或点击“) ”以显示建议列表。 选择列表顶部的“分配给我”，将事件分配给自己。
     • 可选。

   • Tags

     • 使用标记对事件进行分类，并在队列中筛选和查找事件。
     • 通过选择 加号图标、在对话框中输入文本并选择 “确定”来创建标记。 自动完成将建议在工作区中在过去两周内使用的标记。
     • 可选。 自由文本。

5. 选择面板底部的“ 创建 ”。 几秒钟后，事件将创建并显示在事件队列中。

   如果为事件分配状态为“已关闭”，则在将状态筛选器更改为显示已关闭事件之前，该 事件 不会显示在队列中。 默认情况下，筛选器设置为仅显示状态为“新建”或“活动”的事件。

选择队列中的事件以查看其完整详细信息、添加书签、更改其所有者和状态等。

如果出于某种原因，在创建事件后改变了主意，可以从队列网格或事件本身中删除 它 。 必须具有Microsoft Sentinel参与者角色才能删除事件。

使用Azure逻辑应用创建事件

创建事件也可用作Microsoft Sentinel连接器中的逻辑应用操作，因此在Microsoft Sentinel playbook 中。

可以在事件触发器的 playbook 架构中找到 创建事件 (预览) 操作。

需要提供如下所述的参数：

• 从各自的下拉列表中选择 订阅、 资源组和 工作区名称 。

• 有关其余字段，请参阅上述说明， (使用Azure 门户) 创建事件下的说明。

  

Microsoft Sentinel提供了一些示例 playbook 模板，演示如何使用此功能：

• 使用 Microsoft 窗体创建事件
• 从共享电子邮件收件箱创建事件

可以在“Microsoft Sentinel自动化”页上的 playbook 模板库中找到它们。

使用 Microsoft Sentinel API 创建事件

事件操作组不仅可以创建，还可以更新 (编辑) 、获取 (检索) 、列表和删除事件。

使用以下终结点 创建事件 。 发出此请求后，事件将显示在门户中的事件队列中。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

下面是请求正文可能的外观示例：

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

注释

• 手动创建的事件不包含任何实体或警报。 因此，在将现有警报与事件关联之前，事件页中的“警报”选项卡将保持为空。

  “ 实体 ”选项卡也将保持为空，因为当前不支持 直接向 手动创建的事件添加实体。 (如果将警报与此事件关联，警报中的实体将显示在事件中。)

• 手动创建的事件也不会在队列中显示任何 产品名称 。

• 默认情况下，对事件队列进行筛选，以仅显示状态为“新建”或“活动”的事件。如果创建状态为“已关闭”的事件，则在将状态筛选器更改为显示已关闭事件之前，该事件不会显示在队列中。

后续步骤

有关更多信息，请参阅：

• 将警报与Microsoft Sentinel中的事件关联
• 删除Microsoft Sentinel中的事件
• 导航、会审和管理Microsoft Sentinel事件
• 深入调查Microsoft Sentinel事件