Vysvětlení možností prošetření incidentů a řízení případů v Microsoft Sentinelu
Microsoft Sentinel poskytuje kompletní plně funkční platformu pro správu případů pro vyšetřování a správu incidentů zabezpečení. Incidenty jsou název Microsoft Sentinelu pro soubory případu, které obsahují kompletní a neustále aktualizovanou chronologii bezpečnostní hrozby, ať už se jedná o jednotlivé důkazy (výstrahy), podezřelé a zúčastněné strany zájmu (entity), přehledy shromážděné a kurátorované odborníky na zabezpečení a modely AI/strojového učení, nebo komentáře a protokoly všech akcí provedených v průběhu vyšetřování.
Prostředí pro vyšetřování incidentů v Microsoft Sentinelu začíná stránkou Incidenty – nové prostředí navržené tak, aby vám poskytlo vše, co potřebujete pro šetření na jednom místě. Hlavním cílem tohoto nového prostředí je zvýšit efektivitu a efektivitu SOC, což snižuje střední dobu řešení (MTTR).
Tento článek vás provede fázemi typického vyšetřování incidentu a zobrazí vám všechny dostupné displeje a nástroje, které vám pomůžou.
Zvýšení vyspělosti SOC
Microsoft Sentinel poskytuje nástroje, které vám pomůžou dosáhnout vyšší úrovně vyspělosti operací zabezpečení (SecOps).
Standardizace procesů
Úkoly incidentu jsou seznamy úkolů, které mají analytici dodržovat, aby zajistili jednotný standard péče a zabránili tomu, aby se zmeškaly důležité kroky. Správci a inženýři SOC můžou tyto seznamy úkolů vyvíjet a automaticky je používat pro různé skupiny incidentů nebo na celém panelu. Analytici SOC pak můžou přistupovat k přiřazeným úkolům v rámci každého incidentu a označovat je při dokončení. Analytici také můžou ručně přidávat úkoly do otevřených incidentů, a to buď jako připomenutí sebe sama, nebo pro výhodu jiných analytiků, kteří můžou na incidentu spolupracovat (například kvůli změně směny nebo eskalaci).
Přečtěte si další informace o úkolech incidentů.
Auditovat řízení incidentů
Protokol aktivit incidentu sleduje akce prováděné u incidentu, ať už iniciované lidmi nebo automatizovanými procesy, a zobrazuje je spolu se všemi komentáři k incidentu. Tady můžete také přidat vlastní komentáře. Poskytuje kompletní záznam o všem, co se stalo, a zajišťuje důkladnost a odpovědnost.
Efektivní a efektivní zkoumání
Zobrazit časovou osu
První věc: Jako analytik, nejzásadnější otázka, na kterou chcete odpovědět, je, proč se tento incident upoutá na mou pozornost? Zadáním stránky s podrobnostmi incidentu odpovíte na tuto otázku: přímo uprostřed obrazovky se zobrazí widget Časová osa incidentu. Časová osa je deník všech výstrah , které představují všechny protokolované události, které jsou relevantní pro šetření, v pořadí, v jakém k nim došlo. Časová osa také zobrazuje záložky, snímky důkazů shromážděných při proaktivním vyhledávání a přidání do incidentu. Pokud chcete zobrazit úplné podrobnosti o všech položkách v tomto seznamu, vyberte ji. Mnoho z těchto podrobností, jako je původní upozornění, analytické pravidlo, které ho vytvořilo, a všechny záložky– se zobrazí jako odkazy, které můžete vybrat, abyste se mohli ponořit hlouběji a dozvědět se více.
Přečtěte si další informace o tom, co můžete dělat na časové ose incidentu.
Informace o podobných incidentech
Pokud něco, co jste zatím viděli ve svém incidentu, vypadá dobře, může to být dobrý důvod. Microsoft Sentinel zůstává o krok před vámi tím, že vám ukáže incidenty, které se nejvíce podobají otevřené události. Widget Podobné incidenty zobrazuje nejrelevavantnější informace o incidentech, které se považují za podobné, včetně data a času poslední aktualizace, posledního vlastníka, posledního stavu (včetně, pokud jsou zavřené, důvodu jejich uzavření) a důvodu podobnosti.
Šetření může být přínosné několika způsoby:
- Spot concurrent incidents that may be part of a larger attack strategy.
- Podobné incidenty použijte jako referenční body pro vaše aktuální šetření – podívejte se, jak byly řešeny.
- Identifikujte vlastníky minulých podobných incidentů, aby mohli využívat své znalosti.
Widget zobrazuje 20 nejčastěji podobných incidentů. Microsoft Sentinel rozhoduje, které incidenty jsou podobné, na základě společných prvků, včetně entit, pravidla analýzy zdrojového kódu a podrobností upozornění. Z tohoto widgetu můžete přejít přímo na všechny stránky s úplnými podrobnostmi těchto incidentů a zároveň zachovat připojení k aktuálnímu incidentu beze změny.
Přečtěte si další informace o tom, co můžete dělat s podobnými incidenty.
Prozkoumání hlavních přehledů
V dalším kroku budete mít široké přehledy o tom, co se stalo (nebo se stále děje) a lépe porozumět kontextu, budete zvědaví na to, jaké zajímavé informace už Microsoft Sentinel pro vás zjistil. Automaticky se zeptá na velké otázky týkající se entit ve vašem incidentu a zobrazí hlavní odpovědi ve widgetu Přehledy nahoře, které jsou viditelné na pravé straně stránky s podrobnostmi incidentu. Tento widget zobrazuje kolekci přehledů založených na analýze strojového učení i na kurátorování hlavních týmů odborníků na zabezpečení.
Jedná se o speciálně vybranou podmnožinu přehledů, které se zobrazují na stránkách entit, ale v tomto kontextu se zobrazí přehledy pro všechny entity v incidentu, což vám poskytne ucelenější představu o tom, co se děje. Úplná sada přehledů se zobrazí na kartě Entity pro každou entitu samostatně – viz níže.
Widget Top Insights odpovídá na otázky týkající se chování entity ve srovnání se svými partnerskými vztahy a vlastní historií, přítomností na seznamu ke zhlédnutí nebo analýzy hrozeb nebo jakýmkoli jiným druhem neobvyklého výskytu souvisejícího s ní.
Většina těchto přehledů obsahuje odkazy na další informace. Tyto odkazy otevřou panel Protokoly v kontextu, kde uvidíte zdrojový dotaz pro tento přehled spolu s jeho výsledky.
Zobrazení entit
Teď, když máte nějaký kontext a některé základní otázky zodpovězené, budete chtít získat podrobnější informace o hlavních hráčích jsou v tomto příběhu. Uživatelská jména, názvy hostitelů, IP adresy, názvy souborů a další typy entit můžou být ve vašem šetření "osoby, které vás zajímají". Microsoft Sentinel je najde všechny za vás a zobrazí je ve widgetu Entity společně s časovou osou. Výběrem entity z tohoto widgetu přejdete na výpis dané entity na kartě Entity na stejné stránce incidentu.
Karta Entity obsahuje seznam všech entit v incidentu. Když je vybrána entita v seznamu, otevře se boční panel obsahující zobrazení na základě stránky entity. Boční panel obsahuje tři karty:
Informace obsahují základní informace o entitě. U entity uživatelského účtu to může být například uživatelské jméno, název domény, identifikátor zabezpečení (SID), informace o organizaci, informace o zabezpečení a další.
Časová osa obsahuje seznam výstrah, které tuto entitu obsahují, a aktivity, které entita proběhla, jak se shromažďuje z protokolů, ve kterých se entita zobrazuje.
Přehledy obsahuje odpovědi na otázky týkající se chování entity v porovnání se svými partnerskými vztahy a vlastní historií, přítomnost na seznamu ke zhlédnutí nebo analýzy hrozeb nebo jakéhokoli jiného druhu neobvyklého výskytu souvisejícího s ní. Tyto odpovědi jsou výsledky dotazů definovaných odborníky v oblasti zabezpečení Microsoftu, kteří poskytují cenné a kontextové informace o zabezpečení entit na základě dat ze kolekce zdrojů.
Od listopadu 2023 zahrnuje panel Přehledy novou generaci přehledů, která je k dispozici ve verzi PREVIEW, ve formě widgetů pro rozšiřování společně se stávajícími přehledy. Pokud chcete tyto nové widgety využít, musíte povolit prostředí widgetu.
V závislosti na typu entity můžete z tohoto bočního panelu provést řadu dalších akcí:
- Přejděte na celou stránku entity entity a získejte ještě více podrobností o delším časového rozpětí nebo spusťte nástroj pro grafické šetření, který je na této entitě zarovnaný.
- Spuštěním playbooku proveďte konkrétní akce odpovědi nebo nápravy u entity (ve verzi Preview).
- Klasifikujte entitu jako indikátor ohrožení zabezpečení (IOC) a přidejte ji do seznamu analýzy hrozeb.
Každá z těchto akcí je aktuálně podporovaná pro určité typy entit, nikoli pro jiné. Následující tabulka ukazuje, které akce jsou podporovány pro které typy entit:
| Dostupné akce ▶ Typy entit ▼ |
Zobrazit kompletní podrobnosti (na stránce entity) |
Přidat do TI * | Spuštění playbooku * (Preview) |
|---|---|---|---|
| Uživatelský účet | ✔ | ✔ | |
| Hostitel | ✔ | ✔ | |
| IP adresa | ✔ | ✔ | ✔ |
| Adresa URL | ✔ | ✔ | |
| Název domény | ✔ | ✔ | |
| Soubor (hash) | ✔ | ✔ | |
| Prostředek Azure | ✔ | ||
| Zařízení IoT | ✔ |
* Pro entity, pro které jsou k dispozici akce Přidat do TI nebo Spustit playbook , můžete tyto akce provést přímo z widgetu Entity na kartě Přehled, aniž byste opustili stránku incidentu.
Prozkoumání protokolů
Teď se budete chtít dostat do podrobností, abyste věděli , co přesně se stalo? Z téměř všech výše uvedených míst můžete přejít k podrobnostem jednotlivých upozornění, entit, přehledů a dalších položek obsažených v incidentu, zobrazení původního dotazu a výsledků. Tyto výsledky se zobrazí na obrazovce Protokoly (Log Analytics), která se tady zobrazí jako rozšíření stránky podrobností incidentu, takže nezanecháte kontext šetření.
Uchovávejte záznamy v pořadí
Nakonec v zájmu transparentnosti, odpovědnosti a kontinuity budete chtít zaznamenat všechny akce, které byly na incidentu provedeny – ať už automatizovanými procesy nebo lidmi. V protokolu aktivit incidentu se zobrazí všechny tyto aktivity. Můžete také zobrazit všechny komentáře, které byly provedeny, a přidat vlastní. Protokol aktivit se neustále automaticky aktualizuje, i když je otevřený, takže můžete vidět změny v reálném čase.
Další kroky
V tomto dokumentu jste se dozvěděli, jak prostředí pro vyšetřování incidentů v Microsoft Sentinelu pomáhá provádět šetření v jednom kontextu. Další informace o správě a vyšetřování incidentů najdete v následujících článcích:
- Použití úloh ke správě incidentů v Microsoft Sentinelu
- Zkoumání entit pomocí stránek entit v Microsoft Sentinelu
- Automatizace zpracování incidentů v Microsoft Sentinelu pomocí pravidel automatizace
- Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu
- Proaktivní vyhledávání bezpečnostních hrozeb.