Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak procházet a spouštět základní posouzení incidentů v Azure Portal.
Požadavky
K vyšetřování incidentů se vyžaduje přiřazení role Microsoft Sentinel Respondér.
Přečtěte si další informace o rolích v Microsoft Sentinel.
Pokud máte uživatele typu host, který potřebuje přiřadit incidenty, musí mít ve vašem tenantovi Microsoft Entra přiřazenou roli Čtenář adresáře. Běžní (nehostní) uživatelé mají ve výchozím nastavení tuto roli přiřazenou.
Navigace a určení priorit incidentů
V navigační nabídce Microsoft Sentinel vyberte v části Správa hrozebmožnost Incidenty.
Na stránce Incidenty najdete základní informace o všech otevřených incidentech. Příklady:
V horní části obrazovky máte panel nástrojů s akcemi, které můžete provést mimo konkrétní incident – buď v mřížce jako celku, nebo u několika vybraných incidentů. Máte také počty otevřených incidentů, ať už nových nebo aktivních, a počty otevřených incidentů podle závažnosti.
V centrálním podokně máte mřížku incidentů, což je seznam incidentů filtrovaný ovládacími prvky filtrování v horní části seznamu a panel hledání pro vyhledání konkrétních incidentů.
Na straně máte podokno podrobností, které zobrazuje důležité informace o incidentu zvýrazněné v centrálním seznamu, spolu s tlačítky pro provádění určitých konkrétních akcí týkajících se tohoto incidentu.
Váš tým pro operace zabezpečení může mít zavedená pravidla automatizace , která budou provádět základní třídění nových incidentů a přiřazovat je správnému personálu.
V takovém případě vyfiltrujte seznam incidentů podle vlastníka a omezte ho na incidenty přiřazené vám nebo vašemu týmu. Tato filtrovaná sada představuje vaši osobní úlohu.
V opačném případě můžete základní třídění provést sami. Začněte filtrováním seznamu incidentů podle dostupných kritérií filtrování, ať už jde o stav, závažnost nebo název produktu. Další informace najdete v tématu Hledání incidentů.
Určit prioritu konkrétního incidentu a okamžitě s ním provést počáteční akci, a to přímo z podokna podrobností na stránce Incidenty , aniž byste museli zadávat úplnou stránku podrobností incidentu. Příklady:
Prošetření Microsoft Defender XDR incidentů v Microsoft Defender XDR: Na portálu Defenderu přejděte na odkaz Prozkoumat v Microsoft Defender XDR a přejděte na paralelní incident. Všechny změny, které v incidentu uděláte v Microsoft Defender XDR, se synchronizují se stejným incidentem v Microsoft Sentinel.
Otevřete seznam přiřazených úkolů: Incidenty, které mají přiřazené úkoly, zobrazují počet dokončených a celkový počet úkolů a odkaz Zobrazit úplné podrobnosti . Pomocí odkazu otevřete stránku Úkoly incidentu a zobrazte seznam úkolů pro tento incident.
Přiřaďte vlastnictví incidentu uživateli nebo skupině výběrem z rozevíracího seznamu Vlastník .
Nedávno vybraní uživatelé a skupiny se zobrazí v horní části obrázkového rozevíracího seznamu.
Aktualizujte stav incidentu (například z možnosti Nový na Aktivní nebo Uzavřeno) výběrem z rozevíracího seznamu Stav . Při zavírání incidentu musíte zadat důvod. Další informace najdete v tématu o zavření incidentu.
Závažnost incidentu můžete změnit výběrem z rozevíracího seznamu Závažnost .
Přidejte značky pro kategorizaci incidentů. Možná se budete muset posunout dolů do dolní části podokna podrobností, abyste zjistili, kam přidat značky.
Přidejte komentáře k protokolování akcí, nápadů, otázek a dalších věcí. Možná se budete muset posunout dolů do dolní části podokna podrobností, abyste zjistili, kam přidat komentáře.
Pokud informace v podokně podrobností stačí k tomu, aby se zobrazila výzva k dalším akcím nápravy nebo zmírnění rizik, vyberte tlačítko Akce v dolní části a proveďte jednu z následujících akcí:
Akce Popis Prověřování Pomocí grafického nástroje pro zkoumání můžete zjistit vztahy mezi výstrahami, entitami a aktivitami, a to jak v rámci tohoto incidentu, tak i mezi jinými incidenty. Spustit playbook Spusťte playbook k tomuto incidentu, abyste mohli provést konkrétní akce rozšiřování, spolupráce nebo reakce, které by mohli zpřístupnit technici SOC. Vytvoření pravidla automatizace Vytvořte v budoucnu pravidlo automatizace , které se spustí jenom u incidentů, jako je tento (vygenerovaných stejným analytickým pravidlem), aby se snížila vaše budoucí úloha nebo se zohlednila dočasná změna požadavků (například při penetračním testu). Vytvoření týmu (Preview) Vytvořte v Microsoft Teams tým, který bude spolupracovat s dalšími jednotlivci nebo týmy napříč odděleními na řešení incidentu. Příklady:
Pokud potřebujete další informace o incidentu, otevřete výběrem možnosti Zobrazit úplné podrobnosti v podokně podrobností a zobrazte podrobnosti incidentu v celém rozsahu, včetně výstrah a entit v incidentu, seznamu podobných incidentů a vybraných hlavních přehledů.
Hledání incidentů
Pokud chcete rychle najít konkrétní incident, zadejte hledaný řetězec do vyhledávacího pole nad mřížkou incidentů a stisknutím klávesy Enter odpovídajícím způsobem upravte seznam incidentů. Pokud váš incident není součástí výsledků, můžete hledání upřesnit pomocí rozšířených možností hledání .
Pokud chcete parametry hledání upravit, vyberte tlačítko Hledat a pak vyberte parametry, u kterých chcete vyhledávání spustit.
Příklady:
Ve výchozím nastavení se vyhledávání incidentů spouští pouze v hodnotách ID incidentu, Název, Značky, Vlastník a Název produktu . V podokně hledání se posuňte v seznamu dolů, vyberte jeden nebo více dalších parametrů, které chcete hledat, a výběrem možnosti Použít aktualizujte parametry hledání. Výběrem možnosti Nastavit obnovíte výchozí nastavení vybraných parametrů na výchozí možnost.
Poznámka
Hledání v poli Vlastník podporuje jména i e-mailové adresy.
Při použití rozšířených možností vyhledávání se chování hledání změní takto:
| Chování hledání | Popis |
|---|---|
| Barva tlačítka Hledat | Barva tlačítka hledání se mění v závislosti na typech parametrů, které se při hledání aktuálně používají.
|
| Automatická aktualizace | Použití rozšířených parametrů vyhledávání vám zabrání ve výběru automatické aktualizace výsledků. |
| Parametry entity | Všechny parametry entity jsou podporovány pro rozšířené vyhledávání. Při hledání v libovolném parametru entity se hledání spustí ve všech parametrech entity. |
| Hledané řetězce | Hledání řetězce slov zahrnuje všechna slova ve vyhledávacím dotazu. V hledaných řetězcích se rozlišují malá a velká písmena. |
| Podpora napříč pracovními prostory | Rozšířené hledání se nepodporuje pro zobrazení mezi pracovními prostory. |
| Počet zobrazených výsledků hledání | Pokud používáte rozšířené parametry hledání, zobrazí se najednou jenom 50 výsledků. |
Tip
Pokud nemůžete najít incident, který hledáte, rozbalte hledání odebráním parametrů hledání. Pokud hledání obsahuje příliš mnoho položek, přidejte další filtry, abyste výsledky zúžili.
Uzavření incidentu
Jakmile vyřešíte konkrétní incident (například když vaše šetření dosáhne závěru), nastavte stav incidentu na Uzavřeno. Když to uděláte, budete požádáni o klasifikaci incidentu zadáním důvodu, proč ho uzavíráte. Tento krok je povinný.
Vyberte Vybrat klasifikaci a v rozevíracím seznamu zvolte jednu z následujících možností:
- Pravdivě pozitivní – podezřelá aktivita
- Benigní pozitivní – podezřelé, ale očekávané
- Falešně pozitivní – nesprávná logika upozornění
- Falešně pozitivní – nesprávná data
- Neurčené
Další informace o falešně pozitivních a neškodných pozitivech najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinel.
Po výběru vhodné klasifikace přidejte do pole Komentář nějaký popisný text. To je užitečné v případě, že se k tomuto incidentu potřebujete vrátit. Až budete hotovi, vyberte Použít a incident se zavře.
Další krok
Další informace najdete v tématu Podrobné zkoumání incidentů Microsoft Sentinel v Azure Portal