Navigace a vyšetřování incidentů v Microsoft Sentinelu

Microsoft Sentinel poskytuje kompletní plně funkční platformu pro správu případů pro vyšetřování incidentů zabezpečení. Stránka s podrobnostmi o incidentu je vaše centrální místo, ze kterého můžete spustit šetření, shromažďovat všechny relevantní informace a všechny příslušné nástroje a úkoly na jedné obrazovce.

Tento článek vás provede všemi panely a možnostmi dostupnými na stránce s podrobnostmi o incidentu, které vám pomůžou rychleji, efektivněji a efektivněji prošetřit vaše incidenty a zkrátit dobu řešení (MTTR).

Projděte si pokyny pro předchozí verzi vyšetřování incidentů.

Incidenty jsou vaše soubory případu, které obsahují agregaci všech relevantních důkazů pro konkrétní vyšetřování. Každý incident se vytvoří (nebo přidá do) na základě důkazů (výstrah) generovaných analytickými pravidly nebo importovanými z produktů zabezpečení třetích stran, které vytvářejí vlastní výstrahy. Incidenty dědí entity obsažené v výstrahách a také vlastnosti výstrah, jako jsou závažnost, stav a taktika a techniky MITRE ATT&CK.

Požadavky

• K vyšetřování incidentů se vyžaduje přiřazení role Responder microsoft Sentinelu.

  Přečtěte si další informace o rolích v Microsoft Sentinelu.

• Pokud máte uživatele typu host, který potřebuje přiřadit incidenty, musí být uživateli přiřazena role Čtenář adresáře ve vašem tenantovi Microsoft Entra. Běžní uživatelé (bez hosta) mají tuto roli ve výchozím nastavení přiřazenou.

Procházení a třídění incidentů

Stránka Incidenty

1. V navigační nabídce Služby Microsoft Sentinel v části Správa hrozeb vyberte Incidenty.

   Na stránce Incidenty najdete základní informace o všech otevřených incidentech.

   • V horní části obrazovky máte počty otevřených incidentů, ať už nové nebo aktivní, a počty otevřených incidentů podle závažnosti. Máte také banner s akcemi, které můžete provést mimo konkrétní incident – buď v mřížce jako celku, nebo u několika vybraných incidentů.

   • V centrálním podokně máte mřížku incidentů, seznam incidentů filtrovaný ovládacími prvky filtrování v horní části seznamu a panel hledání pro vyhledání konkrétních incidentů.

   • Na pravé straně máte podokno podrobností, které zobrazuje důležité informace o incidentu zvýrazněné v centrálním seznamu spolu s tlačítky pro provádění určitých konkrétních akcí v souvislosti s tímto incidentem.

   

2. Váš tým operací zabezpečení může mít zavedená pravidla automatizace, která provádějí základní třídění nových incidentů a přiřazují je správným pracovníkům.

   V takovém případě vyfiltrujte seznam incidentů podle vlastníka , abyste omezili seznam na incidenty přiřazené vám nebo vašemu týmu. Tato filtrovaná sada představuje vaši osobní úlohu.

   Jinak můžete provést základní třídění sami. Můžete začít filtrováním seznamu incidentů podle dostupných kritérií filtrování, stavu, závažnosti nebo názvu produktu. Další informace najdete v tématu Hledání incidentů.

3. Proveďte prioritu konkrétního incidentu a okamžitě proveďte určité akce přímo z podokna podrobností na stránce Incidenty , aniž byste museli zadávat celou stránku podrobností incidentu.

   • Prozkoumejte incidenty XDR v programu Microsoft Defender v programu Microsoft Defender: Postupujte podle odkazu Prošetření v XDR v programu Microsoft Defender a přejděte na paralelní incident na portálu Defender. Všechny změny, které v incidentu provedete v XDR v programu Microsoft Defender, se budou synchronizovat se stejným incidentem v Microsoft Sentinelu.

   • Otevřete seznam přiřazených úkolů: Incidenty, pro které byly přiřazeny všechny úkoly, zobrazí počet dokončených a celkových úkolů a odkaz Zobrazit úplné podrobnosti . Pomocí odkazu otevřete panel Úkolů incidentu a zobrazte seznam úkolů pro tento incident.

   • Přiřazení vlastnictví incidentu uživateli nebo skupině výběrem z rozevíracího seznamu Vlastník

     

     Nedávno vybraní uživatelé a skupiny se zobrazí v horní části obrázkového rozevíracího seznamu.

   • Aktualizujte stav incidentu (například z možnosti Nový na Aktivní nebo Uzavřeno) výběrem z rozevíracího seznamu Stav . Při zavření incidentu budete muset zadat důvod. Pokyny najdete níže.

   • Závažnost incidentu můžete změnit výběrem z rozevíracího seznamu Závažnost .

   • Přidejte značky pro kategorizaci incidentů. Možná se budete muset posunout dolů do dolní části podokna podrobností, abyste viděli, kam přidat značky.

   • Přidejte komentáře k protokolování akcí, nápadů, otázek a dalších věcí. Možná se budete muset posunout dolů do dolní části podokna podrobností, abyste viděli, kam přidat komentáře.

4. Pokud jsou informace v podokně podrobností dostatečné k zobrazení výzvy k dalším nápravě nebo akcím pro zmírnění rizik, vyberte tlačítko Akce v dolní části podokna podrobností a proveďte jednu z následujících akcí:

   • Prošetření: Pomocí nástroje pro grafické šetření můžete zjišťovat vztahy mezi výstrahami, entitami a aktivitami, a to jak v rámci tohoto incidentu, tak i mezi ostatními incidenty.

   • Spusťte playbook (Preview): Spusťte playbook na tomto incidentu a proveďte konkrétní akce rozšiřování, spolupráce nebo reakce, jako jsou vaši inženýři SOC.

   • Vytvořit pravidlo automatizace: Vytvořte pravidlo automatizace, které se bude spouštět jenom u incidentů, jako je tento (vygenerovaný stejným analytickým pravidlem) v budoucnu, aby se snížila vaše budoucí úloha nebo aby se zohlednila dočasná změna požadavků (například pro penetrační test).

   • Vytvoření týmu (Preview): Vytvoření týmu v Microsoft Teams pro spolupráci s dalšími jednotlivci nebo týmy napříč odděleními při řešení incidentu

   

5. Pokud potřebujete další informace o incidentu, vyberte Zobrazit úplné podrobnosti v podokně podrobností a zobrazte podrobnosti incidentu v plném rozsahu, včetně výstrah a entit v incidentu, seznamu podobných incidentů a vybraných přehledů.

V dalších částech tohoto článku si můžete projít typickým studijním programem šetření, naučit se v procesu o všech informacích, které tam uvidíte, a všechny akce, které můžete provést.

Podrobné zkoumání incidentu

Microsoft Sentinel nabízí kompletní plnohodnotné prostředí pro vyšetřování incidentů a správu případů, abyste mohli vyšetřovat, opravovat a řešit incidenty rychleji a efektivněji. Tady je stránka s podrobnostmi o novém incidentu:

Příprava země správně

Když nastavujete prošetření incidentu, sestavte věci, které budete potřebovat ke směrování pracovního postupu. Následující nástroje najdete na panelu tlačítek v horní části stránky incidentu přímo pod nadpisem.

1. Výběrem možnosti Úkoly zobrazíte úkoly přiřazené k tomuto incidentu nebo přidáte vlastní úkoly.

   Přečtěte si další informace o používání úloh incidentů ke zlepšení standardizace procesů v SOC.

2. Vyberte protokol aktivit, abyste zjistili, jestli u tohoto incidentu už byly provedeny nějaké akce – například pomocí pravidel automatizace – a všech komentářů, které byly provedeny. Tady můžete také přidat vlastní komentáře. Další informace o protokolu aktivit najdete níže.

3. Výběrem možnosti Protokoly můžete kdykoli otevřít úplné prázdné okno dotazu Log Analytics na stránce incidentu. Vytvořte a spusťte dotaz, související nebo ne, aniž byste opustili incident. Takže pokaždé, když vás napadnou náhlé inspiraci, aby si pronásledovat myšlenku, nemějte obavy, že přerušíte tok. Protokoly jsou pro vás.

   Další informace o protokolech najdete níže.

Na kartě Přehled a Entity se také zobrazí tlačítko Akce incidentu. Tady máte k dispozici stejné akce popsané výše, které jsou k dispozici na tlačítku Akce v podokně podrobností na stránce mřížky Incidenty . Na levém panelu podrobností je k dispozici jediný chybějící nástroj Prošetření.

Rekapitulace dostupných akcí pod tlačítkem Akce incidentu:

• Spuštění playbooku: Spuštěním playbookuna tomto incidentu můžete provést konkrétní akce rozšiřování, spolupráce nebo reakce, jako jsou vaši technici SOC, kteří mohli zpřístupnit.

• Vytvořit pravidlo automatizace: Vytvořte pravidlo automatizace, které se bude spouštět jenom u incidentů, jako je tento (vygenerovaný stejným analytickým pravidlem) v budoucnu, aby se snížila vaše budoucí úloha nebo aby se zohlednila dočasná změna požadavků (například pro penetrační test).

• Vytvoření týmu (Preview): Vytvoření týmu v Microsoft Teams pro spolupráci s dalšími jednotlivci nebo týmy napříč odděleními při řešení incidentu Pokud už byl pro tento incident vytvořen tým, zobrazí se tato položka nabídky jako Open Teams.

Získání celého obrázku na stránce s podrobnostmi o incidentu

Levý panel stránky s podrobnostmi incidentu obsahuje stejné informace o incidentu, které jste viděli na stránce Incidenty napravo od mřížky , a je to skoro beze změny z předchozí verze. Tento panel je vždy zobrazen bez ohledu na to, která karta se zobrazuje na zbytku stránky. Odtud můžete zobrazit základní informace o incidentu a přejít k podrobnostem následujícími způsoby:

• Výběrem možnosti Události, Výstrahy nebo Záložky otevřete panel Protokoly na stránce incidentu. Na panelu Protokoly se zobrazí dotaz podle toho, které ze tří vybraných možností, a můžete procházet výsledky dotazu podrobně, aniž byste se museli od incidentu vysouvat. Přečtěte si další informace o protokolech.

• Vyberte některou z položek v části Entity , které chcete zobrazit na kartě Entity. (Tady se zobrazí jenom první čtyři entity incidentu. Podívejte se na zbývající položky tak , že vyberete Zobrazit vše nebo ve widgetu Entity na kartě Přehled nebo na kartě Entity.) Zjistěte, co můžete dělat na kartě Entity.

  

Můžete také vybrat možnost Prozkoumat a otevřít incident v grafickém nástroji pro šetření, který diagramuje vztahy mezi všemi prvky incidentu.

Tento panel lze také sbalit do levého okraje obrazovky tak, že vyberete malou dvojitou šipku směřující vlevo vedle rozevíracího seznamu Vlastník . I v tomto minimalizovaném stavu ale budete moct změnit vlastníka, stav a závažnost.

Zbývající stránka s podrobnostmi incidentu je rozdělená na dvě karty– Přehled a Entity.

Karta Přehled obsahuje následující widgety, z nichž každá představuje zásadní cíl vašeho šetření.

• Widget Časová osa incidentu zobrazuje časovou osu výstrah a záložek v incidentu, což vám může pomoct rekonstruovat časovou osu aktivity útočníka. Výběrem jednotlivé položky zobrazíte všechny její podrobnosti, abyste mohli přejít k podrobnostem dál.

  Další informace o widgetu časová osa incidentů najdete níže.

• Ve widgetu Podobné incidenty uvidíte kolekci až 20 dalších incidentů, které nejvíce podobají aktuálnímu incidentu. To vám umožní zobrazit incident v širším kontextu a pomůže vám to směrovat šetření.

  Další informace o widgetu Podobné incidenty najdete níže.

• Widget Entity zobrazuje všechny entity , které byly v upozorněních identifikovány. Jedná se o objekty, které hrály roli v incidentu, ať už se jedná o uživatele, zařízení, adresy, soubory nebo jiné typy. Vyberte entitu, aby se zobrazily její úplné podrobnosti (které se zobrazí na kartě Entity – viz níže).

  Přečtěte si další informace o widgetu Entity níže.

• Nakonec ve widgetu Top Insights uvidíte kolekci výsledků dotazů definovaných odborníky v oblasti zabezpečení Microsoftu, kteří poskytují cenné a kontextové informace o zabezpečení všech entit v incidentu na základě dat ze kolekce zdrojů.

  Přečtěte si další informace o widgetu Top Insights níže.

Karta Entity zobrazuje úplný seznam entit v incidentu (stejné jako ve widgetu Entity výše). Když ve widgetu vyberete entitu, budete přesměrováni sem, abyste viděli úplnou dokumentaci entity – její identifikaci, časovou osu jeho aktivity (v rámci incidentu i mimo incident) a úplnou sadu přehledů o entitě, stejně jako byste viděli na celé stránce entity (ale omezený na časový rámec odpovídající incidentu).

Časová osa incidentu

Widget Časová osa incidentu zobrazuje časovou osu výstrah a záložek v incidentu, což vám může pomoct rekonstruovat časovou osu aktivity útočníka.

Můžete prohledat seznam výstrah a záložek nebo seznam filtrovat podle závažnosti, taktiky nebo typu obsahu (upozornění nebo záložky), abyste našli položku, kterou chcete sledovat.

Počáteční zobrazení časové osy okamžitě informuje o několika důležitých věcech týkajících se každé položky, ať už upozornění nebo záložky:

• Datum a čas vytvoření výstrahy nebo záložky.
• Typ položky, upozornění nebo záložky označený ikonou a popisem při najetí myší na ikonu
• Název výstrahy nebo záložky, který je tučným písmem na prvním řádku položky
• Závažnost výstrahy označená barevným pásem podél levého okraje a ve formě slova na začátku třídílného "podnadpisu" výstrahy.
• Poskytovatel upozornění v druhé části podnadpisu. Pro záložky tvůrce záložky.
• Taktika MITRE ATT&CK spojená s výstrahou označená ikonami a nástroji Tipy ve třetí části titulku.

Když najedete myší na libovolnou ikonu nebo neúplný textový prvek, zobrazí se popis s úplným textem této ikony nebo textového prvku. Tento nástroj Tipy se hodí, když se zobrazený text zkrátí kvůli omezené šířce widgetu. Podívejte se na příklad na tomto snímku obrazovky:

Výběrem jednotlivé výstrahy nebo záložky zobrazíte její úplné podrobnosti.

• Podrobnosti o upozornění zahrnují závažnost a stav výstrahy, analytická pravidla, která ho vygenerovala, produkt, který výstrahu vytvořil, entity uvedené v upozornění, přidružené taktiky a techniky MITRE ATT&CK a interní ID upozornění systému.

  Vyberte odkaz ID upozornění systému, abyste mohli přejít k podrobnostem ještě dál v upozornění, otevřete panel Protokoly a zobrazte dotaz, který vygeneroval výsledky a události, které výstrahu aktivovaly.

• Podrobnosti o záložkách nejsou úplně stejné jako podrobnosti o upozorněních, ale obsahují i entity, taktiky a techniky MITRE ATT&CK a ID záložky, zahrnují také nezpracovaný výsledek a informace o tvůrci záložek.

  Výběrem odkazu Zobrazit protokoly záložek otevřete panel Protokoly a zobrazte dotaz, který vygeneroval výsledky uložené jako záložku.

  

Ve widgetu časové osy incidentu můžete také provést následující akce s upozorněními a záložkami:

• Spuštěním playbooku na upozornění proveďte okamžitou akci pro zmírnění hrozby. Někdy potřebujete zablokovat nebo izolovat hrozbu, než budete pokračovat ve vyšetřování. Přečtěte si další informace o spouštění playbooků u upozornění.

• Odeberte výstrahu z incidentu. Výstrahy přidané do incidentů po jejich vytvoření můžete odebrat, pokud je posuzujete tak, aby nebyly relevantní. Přečtěte si další informace o odebírání výstrah z incidentů.

• Odeberte záložku z incidentu nebo upravte tato pole v záložce, která se dají upravit (nezobrazují se).

  

Podobné incidenty

Jako analytik bezpečnostních operací budete chtít při vyšetřování incidentu věnovat pozornost většímu kontextu. Například budete chtít zjistit, jestli se dříve nebo právě stalo jiné incidenty, jako je tato situace.

• Možná budete chtít identifikovat souběžné incidenty, které můžou být součástí stejné větší strategie útoku.

• Možná budete chtít identifikovat podobné incidenty v minulosti, abyste je použili jako referenční body pro vaše aktuální šetření.

• Možná budete chtít identifikovat vlastníky minulých podobných incidentů, najít lidi ve vašem SOC, kteří můžou poskytnout více kontextu nebo komu můžete eskalovat šetření.

Podobný widget incidentů na stránce s podrobnostmi incidentu zobrazuje až 20 dalších incidentů, které jsou nejvíce podobné aktuálnímu incidentu. Podobnost se počítá podle interních algoritmů Microsoft Sentinelu a incidenty se seřadí a zobrazí se v sestupném pořadí podobnosti.

Stejně jako u widgetu časové osy incidentu můžete najet myší na jakýkoli text, který se nekompletně zobrazuje kvůli šířce sloupce, aby se zobrazil celý text.

Existují tři kritéria, podle kterých se určuje podobnost:

• Podobné entity: Incident se považuje za podobný jinému incidentu, pokud oba zahrnují stejné entity. Čím více entit jsou dva incidenty společné, tím více se považují za podobné.

• Podobné pravidlo: Incident se považuje za podobný jinému incidentu, pokud byly oba vytvořeny stejným analytickým pravidlem.

• Podobné podrobnosti výstrahy: Incident se považuje za podobný jinému incidentu, pokud sdílí stejný název, název produktu nebo vlastní podrobnosti.

Důvody, proč se incident zobrazí v seznamu podobných incidentů, se zobrazí ve sloupci Důvod podobnosti. Najeďte myší na ikonu informací a zobrazte společné položky (entity, název pravidla nebo podrobnosti).

Podobnost incidentů se počítá na základě dat z 14 dnů před poslední aktivitou v incidentu, které jsou koncovým časem poslední výstrahy v incidentu.

Podobnost incidentu se přepočítá pokaždé, když zadáte stránku s podrobnostmi incidentu, takže se výsledky můžou lišit mezi relacemi, pokud byly vytvořeny nebo aktualizovány nové incidenty.

Získejte přehled o vašem incidentu na nejvyšší úrovni.

Odborníci na zabezpečení Microsoft Sentinelu vytvořili dotazy, které automaticky pokládají velké otázky týkající se entit ve vašem incidentu. Horní odpovědi můžete zobrazit ve widgetu Top Insights , který je viditelný na pravé straně stránky s podrobnostmi incidentu. Tento widget zobrazuje kolekci přehledů založených na analýze strojového učení i na kurátorování hlavních týmů odborníků na zabezpečení.

Jedná se o některé ze stejných přehledů, které se zobrazují na stránkách entit, speciálně vybrané pro rychlé třídění a pochopení rozsahu hrozby. Z stejného důvodu se společně zobrazují přehledy všech entit v incidentu, abyste získali ucelenější představu o tom, co se děje.

Tady jsou aktuálně vybrané přehledy s nejvyššími informacemi (seznam se může změnit):

1. Akce podle účtu
2. Akce u účtu
3. Přehledy UEBA
4. Indikátory hrozeb související s uživatelem
5. Přehledy seznamu ke zhlédnutí (Preview)
6. Neobvyklý počet událostí zabezpečení
7. Aktivita přihlášení k Windows.
8. Vzdálená připojení IP adresy.
9. Vzdálená připojení IP adresy se shodou TI.

Každý z těchto přehledů (s výjimkou těch, které se týkají seznamu ke zhlédnutí, prozatím) obsahuje odkaz, který můžete vybrat a otevřít podkladový dotaz na panelu Protokoly , který se otevře na stránce incidentu. Pak můžete přejít k podrobnostem o výsledcích dotazu.

Časový rámec widgetu Top Insights je od 24 hodin před nejstarší výstrahou v incidentu do doby poslední výstrahy.

Prozkoumání entit incidentu

Widget Entity zobrazuje všechny entity , které byly v výstrahách incidentu identifikovány. Jedná se o objekty, které hrály roli v incidentu, ať už se jedná o uživatele, zařízení, adresy, soubory nebo jiné typy.

Můžete prohledávat seznam entit ve widgetu entit nebo filtrovat seznam podle typu entity, které vám pomůžou najít entitu.

Pokud už víte, že konkrétní entita je známým indikátorem ohrožení zabezpečení, vyberte tři tečky na řádku entity a výběrem možnosti Přidat do TIpřidejte entitu do analýzy hrozeb. (Tato možnost je dostupná pro podporované typy entit.)

Pokud chcete pro konkrétní entitu aktivovat automatickou sekvenci odpovědí, vyberte tři tečky a zvolte Spustit playbook (Preview). (Tato možnost je dostupná pro podporované typy entit.)

Výběrem entity zobrazíte její úplné podrobnosti. Když vyberete entitu, přesunete se z karty Přehled na kartu Entity, další část stránky s podrobnostmi incidentu.

Karta Entity

Karta Entity zobrazuje seznam všech entit v incidentu.

Podobně jako widget entit je možné tento seznam prohledávat a filtrovat podle typu entity. Hledání a filtry použité v jednom seznamu se na druhý nepoužije.

Vyberte řádek v seznamu pro informace dané entity, které se mají zobrazit na bočním panelu vpravo.

Pokud se název entity zobrazí jako odkaz, výběr názvu entity vás přesměruje na celou stránku entity mimo stránku vyšetřování incidentu. Pokud chcete zobrazit jenom boční panel bez opuštění incidentu, vyberte řádek v seznamu, kde se entita zobrazuje, ale nevybírejte její název.

Můžete zde provést stejné akce, které můžete provést z widgetu na stránce přehledu. Vyberte tři tečky v řádku entity a spusťte playbook nebo přidejte entitu do analýzy hrozeb.

Tyto akce můžete provést také tak, že vyberete tlačítko vedle možnosti Zobrazit úplné podrobnosti v dolní části bočního panelu. Tlačítko bude číst akce Přidat do TI, Spustit playbook (Preview) nebo Entity – v takovém případě se zobrazí nabídka s dalšími dvěma možnostmi.

Samotné tlačítko Zobrazit úplné podrobnosti vás přesměruje na celou stránku entity entity.

Boční panel obsahuje tři karty:

• Informace obsahují identifikační informace o entitě. Například u entity uživatelského účtu to může být například uživatelské jméno, název domény, identifikátor zabezpečení (SID), informace o organizaci, informace o zabezpečení a další a IP adresa, která by zahrnovala například geografickou polohu.

• Časová osa obsahuje seznam výstrah, záložek a anomálií , které tuto entitu obsahují, a také aktivity, které entita provedla, jak se shromažďuje z protokolů, ve kterých se entita zobrazuje. Všechna upozornění představující tuto entitu budou v tomto seznamu bez ohledu na to, jestli výstrahy patří k tomuto incidentu.

  Výstrahy, které nejsou součástí incidentu, se zobrazí jinak: ikona štítu se zobrazí šedě, barevný pruh závažnosti bude tečkovaná čára místo plné čáry a na pravé straně řádku výstrahy bude tlačítko se znaménkem plus.

  

  Výběrem znaménka plus přidejte výstrahu k tomuto incidentu. Po přidání výstrahy do incidentu se do incidentu přidají také všechny ostatní entity výstrahy (které ještě nebyly součástí incidentu). Teď můžete šetření dále rozšířit tím, že se podíváte na časové osy těchto entit pro související výstrahy.

  Tato časová osa je omezená na výstrahy a aktivity za posledních sedm dnů. Pokud se chcete vrátit zpět, přejděte na časovou osu na stránce celé entity, jejíž časový rámec je přizpůsobitelný.

• Přehledy obsahuje výsledky dotazů definovaných výzkumníky v oblasti zabezpečení Microsoftu, které poskytují cenné a kontextové informace o zabezpečení entit na základě dat ze kolekce zdrojů. Mezi tyto přehledy patří widget Top Insights a mnoho dalších. Jsou to stejné, které se zobrazují na celé stránce entity, ale v omezeném časovém rámci: počínaje 24 hodinami před nejstarší výstrahou v incidentu a končí časem poslední výstrahy.

  Většinapřehledch

Zaměřte se na šetření

Zjistěte, jak můžete rozšířit nebo zúžit rozsah vyšetřování přidáním výstrah do incidentů nebo odebráním výstrah z incidentů.

Podrobnější informace o datech v protokolech

V kontextu šetření budete moct vybrat odkaz, který otevře podkladový dotaz na panelu Protokoly . Pokud jste se dostali na panel Protokoly z některého z těchto odkazů, zobrazí se odpovídající dotaz v okně dotazu a dotaz se spustí automaticky a vygeneruje odpovídající výsledky, které můžete prozkoumat.

Prázdný panel Protokolů můžete na stránce s podrobnostmi incidentu kdykoli zavolat, pokud si myslíte, že dotaz, který chcete zkusit při zkoumání, a přitom zůstat v kontextu. Uděláte to tak, že v horní části stránky vyberete Protokoly .

Pokud jste ale spustili dotaz, jehož výsledky chcete uložit, skončíte na panelu Protokoly:

1. Zaškrtněte políčko vedle řádku, ze kterého chcete uložit výsledky. Pokud chcete uložit všechny výsledky, zaškrtněte políčko v horní části sloupce.

2. Uložte označené výsledky jako záložku. Máte dvě možnosti, jak to udělat:

   • Vyberte Přidat záložku k aktuálnímu incidentu , abyste vytvořili záložku a přidali ji do otevřeného incidentu. Dokončete proces podle pokynů k záložce. Po dokončení se záložka zobrazí na časové ose incidentu.

   • Vyberte Přidat záložku a vytvořte záložku , aniž byste ji přidali k žádnému incidentu. Dokončete proces podle pokynů k záložce. Tuto záložku najdete společně s ostatními, které jste vytvořili na stránce Proaktivní vyhledávání , pod kartou Záložky . Odtud ho můžete přidat k tomuto nebo jinému incidentu.

3. Po vytvoření záložky (nebo pokud se rozhodnete ne), výběrem možnosti Hotovo zavřete panel Protokoly .

Auditování a komentáře k incidentům

Při vyšetřování incidentu budete chtít důkladně zdokumentovat kroky, které provedete, a to jak zajistit přesné hlášení pro správu, tak zajistit bezproblémovou spolupráci a spolupráci mezi kolegy. Budete také chtít jasně vidět záznamy o všech akcích provedených v incidentu jinými uživateli, včetně automatizovaných procesů. Microsoft Sentinel poskytuje protokol aktivit, bohaté prostředí pro audit a komentování, které vám to pomůže.

Incidenty můžete také automaticky rozšířit komentáři. Když například spustíte playbook u incidentu, který načte relevantní informace z externích zdrojů (například kontrola souboru malwaru v VirusTotalu), můžete playbook umístit do komentářů incidentu spolu s dalšími informacemi, které definujete.

Protokol aktivit se automaticky aktualizuje, i když je otevřený, abyste vždy viděli změny v reálném čase. Budete také upozorněni na všechny změny provedené v protokolu aktivit v době, kdy je otevřený.

Pokud chcete zobrazit protokol aktivit a komentářů nebo přidat vlastní komentáře:

1. V horní části stránky s podrobnostmi incidentu vyberte protokol aktivit.
2. Pokud chcete protokol filtrovat tak, aby se zobrazovaly jenom aktivity nebo jenom komentáře, vyberte ovládací prvek filtru v horní části protokolu.
3. Pokud chcete přidat komentář, zadejte ho do editoru formátovaného textu v dolní části panelu protokolu aktivit incidentu.
4. Výběrem možnosti Komentář komentář odešlete. Komentář se teď zobrazí v horní části protokolu.

Důležité informace o komentářích

Při použití komentářů k incidentům je potřeba vzít v úvahu několik aspektů.

Podporovaný vstup:

• Text: Komentáře v Microsoft Sentinelu podporují textové vstupy ve formátu prostého textu, základní kód HTML a Markdown. Do okna komentáře můžete také vložit zkopírovaný text, HTML a Markdown.

• Odkazy: Odkazy musí být ve formě značek ukotvení HTML a musí mít parametr target="_blank". Příklad:

  <a href="https://www.url.com" target="_blank">link text</a>
  

  Poznámka:

  Pokud máte playbooky, které vytvářejí komentáře v incidentech, musí odkazy v těchto komentářích nyní odpovídat této šabloně i kvůli změně formátu komentářů.

• Obrázky: Do komentářů můžete vkládat odkazy na obrázky a obrázky se budou zobrazovat přímo, ale obrázky už musí být hostované ve veřejně přístupném umístění, jako je Dropbox, OneDrive, Disk Google a podobně. Obrázky se nedají nahrát přímo do komentářů.

Limit velikosti:

• Na komentář: Jeden komentář může obsahovat až 30 000 znaků.

• Každý incident: Jeden incident může obsahovat až 100 komentářů.

  Poznámka:

  Limit velikosti jednoho záznamu incidentu v tabulce SecurityIncident v Log Analytics je 64 kB. Pokud tento limit překročíte, komentáře (počínaje nejstarším) budou zkráceny, což může mít vliv na komentáře, které se zobrazí v rozšířených výsledcích hledání .

  Skutečné záznamy incidentů v databázi incidentů nebudou ovlivněny.

Kdo může upravit nebo odstranit:

• Úpravy: Oprávnění k jeho úpravám má jenom autor komentáře.

• Odstranění: K odstranění komentářů mají oprávnění jenom uživatelé s rolí Přispěvatel Microsoft Sentinelu. I autor komentáře musí mít tuto roli, aby ji mohl odstranit.

Vizuální zkoumání incidentů pomocí grafu šetření

Pokud dáváte přednost vizuálnímu, grafickému znázornění výstrah, entit a propojení mezi nimi v rámci vyšetřování, můžete pomocí klasického grafu šetření provést i mnoho věcí, které jsou popsány výše. Nevýhodou grafu je, že nakonec budete muset přepínat kontexty mnohem více.

Graf šetření vám poskytuje:

• Vizuální kontext z nezpracovaných dat: Dynamický vizuální graf zobrazuje relace entit extrahované automaticky z nezpracovaných dat. Díky tomu můžete snadno zobrazit připojení mezi různými zdroji dat.

• Úplné zjišťování rozsahu šetření: Rozšiřte rozsah šetření pomocí předdefinovaných dotazů pro zkoumání, abyste mohli zobrazit úplný rozsah porušení zabezpečení.

• Předdefinované kroky šetření: Pomocí předdefinovaných možností zkoumání se ujistěte, že kladete správné otázky tváří v tvář hrozbě.

Použití grafu šetření:

1. Vyberte incident a pak vyberte Prozkoumat. Tím přejdete do grafu šetření. Graf poskytuje ilustrativní mapu entit přímo připojených k upozornění a každému prostředku připojenému dále.

   

   Důležité

   • Incident budete moct prošetřit jenom v případě, že analytické pravidlo nebo záložka, které ho vygenerovaly, obsahuje mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

   • Graf šetření v současné době podporuje vyšetřování incidentů do 30 dnů.

2. Výběrem entity otevřete podokno Entity , abyste mohli zkontrolovat informace o dané entitě.

   

3. Rozbalte šetření tak, že najedete myší na každou entitu, aby se zobrazil seznam otázek, které navrhli naši odborníci na zabezpečení a analytici na jednotlivé typy entit, abyste prohlubovali šetření. Těmto možnostem říkáme dotazy pro zkoumání.

   

   Můžete například požádat o související výstrahy. Pokud vyberete průzkumný dotaz, výsledné nároky se přidají zpět do grafu. V tomto příkladu výběr souvisejících výstrah vrátil do grafu následující výstrahy:

   

   Podívejte se, že související výstrahy se zobrazují připojeny k entitě tečkovanými čárami.

4. U každého dotazu pro zkoumání můžete vybrat možnost otevření nezpracovaných výsledků událostí a dotazu použitého v Log Analytics výběrem událostí>.

5. Aby bylo možné incident pochopit, graf vám poskytne paralelní časovou osu.

   

6. Najeďte myší na časovou osu, abyste viděli, ke kterým věcem v grafu došlo v jakém okamžiku.

   

Uzavření incidentu

Po vyřešení konkrétního incidentu (například po dosažení závěru vyšetřování) byste měli nastavit stav incidentu na Uzavřeno. Když to uděláte, budete požádáni o klasifikaci incidentu zadáním důvodu, proč ho zavřete. Tento krok je povinný. V rozevíracím seznamu klikněte na Vybrat klasifikaci a zvolte jednu z následujících možností:

• Pravdivě pozitivní – podezřelá aktivita
• Neškodné pozitivní – podezřelé, ale očekávané
• Falešně pozitivní – nesprávná logika upozornění
• Falešně pozitivní – nesprávná data
• Neurčeno

Další informace o falešně pozitivních a neškodných pozitivních informacích najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.

Po výběru vhodné klasifikace přidejte do pole Komentář nějaký popisný text. To bude užitečné v případě, že se potřebujete vrátit k tomuto incidentu. Po dokončení klikněte na Použít a incident se zavře.

Hledání incidentů

Pokud chcete rychle najít konkrétní incident, zadejte do vyhledávacího pole nad mřížkou incidentů hledaný řetězec a stisknutím klávesy Enter upravte seznam incidentů zobrazených odpovídajícím způsobem. Pokud váš incident není součástí výsledků, můžete hledání zúžit pomocí rozšířených možností hledání .

Pokud chcete upravit parametry hledání, vyberte tlačítko Hledat a pak vyberte parametry, ve kterých chcete hledání spustit.

Příklad:

Ve výchozím nastavení se vyhledávání incidentů spouští pouze v hodnotách ID incidentu, názvu, značek, vlastníka a názvu produktu. V podokně hledání se posuňte dolů v seznamu, abyste vybrali jeden nebo více dalších parametrů, které chcete vyhledat, a vyberte Použít pro aktualizaci parametrů hledání. Vyberte Nastavit výchozí resetování vybraných parametrů na výchozí možnost.

Poznámka:

Hledání v poli Vlastník podporuje jména i e-mailové adresy.

Použití rozšířených možností vyhledávání změní chování hledání následujícím způsobem:

Chování hledání	Popis
Barva tlačítka Hledání	Barva tlačítka hledání se změní v závislosti na typech parametrů, které se aktuálně používají ve vyhledávání. Pokud jsou vybrány pouze výchozí parametry, tlačítko je šedé. Jakmile vyberete různé parametry, například pokročilé parametry hledání, tlačítko se změní na modrou.
Automatická aktualizace	Použití rozšířených parametrů hledání vám brání v výběru, aby se výsledky automaticky aktualizovaly.
Parametry entity	Pro rozšířené vyhledávání jsou podporovány všechny parametry entity. Při hledání v libovolném parametru entity se vyhledávání spustí ve všech parametrech entity.
Hledání řetězců	Hledání řetězce slov zahrnuje všechna slova ve vyhledávacím dotazu. U vyhledávacích řetězců se rozlišují malá a velká písmena.
Podpora napříč pracovními prostory	Rozšířené vyhledávání se nepodporuje v zobrazeních napříč pracovními prostory.
Počet zobrazených výsledků hledání	Pokud používáte pokročilé parametry hledání, zobrazí se najednou jenom 50 výsledků.

Tip

Pokud nemůžete najít incident, který hledáte, odeberte parametry hledání a rozbalte hledání. Pokud výsledky hledání mají příliš mnoho položek, přidejte další filtry, abyste výsledky zúžili.

Další kroky

V tomto článku jste zjistili, jak začít zkoumat incidenty pomocí Služby Microsoft Sentinel. Další informace naleznete v tématu:

• Komplexní vyšetřování incidentů v Microsoft Sentinelu
• Kurz: Použití playbooků s pravidly automatizace v Microsoft Sentinelu
• Zkoumání incidentů pomocí dat UEBA