Vyšetřování incidentů s využitím služby Microsoft Sentinel

  • Článek
  • 9 min ke čtení

Důležité

Uvedené funkce jsou aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nebyly vydány do obecné dostupnosti.

Tento článek vám pomůže prozkoumat incidenty pomocí Microsoft Sentinelu. Po připojení zdrojů dat ke službě Microsoft Sentinel chcete být upozorněni, když se stane něco podezřelého. Abyste to mohli udělat, Microsoft Sentinel vám umožňuje vytvářet pokročilá analytická pravidla, která generují incidenty, které můžete přiřadit a prošetřit.

Tento článek popisuje:

  • Šetření incidentů
  • Použití grafu šetření
  • Reakce na hrozby

Incident může obsahovat několik výstrah. Jedná se o agregaci všech relevantních důkazů pro konkrétní šetření. Incident se vytvoří na základě analytických pravidel, která jste vytvořili na stránce Analýza . Vlastnosti související s výstrahami, jako je závažnost a stav, se nastaví na úrovni incidentu. Jakmile microsoft Sentinelu dáte vědět, jaké druhy hrozeb hledáte a jak je najít, můžete monitorovat zjištěné hrozby vyšetřováním incidentů.

Požadavky

  • Incident budete moct prozkoumat jenom v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

  • Pokud máte uživatele typu host, který potřebuje přiřadit incidenty, musí být uživateli přiřazena role Čtenář adresáře ve vašem tenantovi Azure AD. Běžní uživatelé (bez hosta) mají ve výchozím nastavení přiřazenou tuto roli.

Postup při vyšetřování incidentů

  1. Vyberte Incidenty. Na stránce Incidenty se dozvíte, kolik incidentů máte a jestli jsou nové, aktivní nebo uzavřené. U každého incidentu uvidíte čas, kdy k němu došlo, a stav incidentu. Podívejte se na závažnost a rozhodněte se, které incidenty se mají nejprve zpracovat.

    Snímek obrazovky se zobrazením závažnosti incidentu

  2. Incidenty můžete filtrovat podle potřeby, například podle stavu nebo závažnosti. Další informace najdete v tématu Hledání incidentů.

  3. Pokud chcete zahájit šetření, vyberte konkrétní incident. Vpravo můžete zobrazit podrobné informace o incidentu, včetně jeho závažnosti, souhrnu počtu zahrnutých entit, nezpracovaných událostí, které tento incident aktivovaly, jedinečné ID incidentu a všech mapovaných taktik nebo technik MITRE ATT&CK.

  4. Pokud chcete zobrazit další podrobnosti o výstrahách a entitách v incidentu, vyberte Zobrazit úplné podrobnosti na stránce incidentu a zkontrolujte příslušné karty, které shrnují informace o incidentu.

    Snímek obrazovky s zobrazením podrobností upozornění

    • Na kartě Časová osa si projděte časovou osu výstrah a záložek v incidentu, která vám může pomoct rekonstruovat časovou osu aktivity útočníka.

    • Na kartě Podobné incidenty (Preview) uvidíte kolekci až 20 dalších incidentů, které se nejvíce podobají aktuálnímu incidentu. To vám umožní zobrazit incident v širším kontextu a pomůže vám to při vyšetřování. Další informace o podobných incidentech najdete níže.

    • Na kartě Výstrahy zkontrolujte výstrahy zahrnuté v tomto incidentu. Zobrazí se všechny relevantní informace o výstrahách – analytická pravidla, která je vytvořila, počet vrácených výsledků na výstrahu a možnost spouštět playbooky na výstrahách. Pokud chcete přejít k podrobnostem incidentu, vyberte počet událostí. Tím se otevře dotaz, který vygeneroval výsledky a události, které aktivovaly výstrahu v Log Analytics.

    • Na kartě Záložky uvidíte všechny záložky, které jste vy nebo jiní vyšetřovatelé propojili s tímto incidentem. Přečtěte si další informace o záložkách.

    • Na kartě Entity můžete zobrazit všechny entity , které jste namapovali jako součást definice pravidla upozornění. Jedná se o objekty, které hrály roli v incidentu, ať už se jedná o uživatele, zařízení, adresy, soubory nebo jiné typy.

    • Nakonec na kartě Komentáře můžete přidat své komentáře k vyšetřování a zobrazit všechny komentáře, které provedli jiní analytici a vyšetřovatelé. Přečtěte si další informace o komentářích.

  5. Pokud aktivně prošetřujete incident, je vhodné nastavit stav incidentu na Aktivní , dokud ho nezavřete.

  6. Incidenty je možné přiřadit konkrétnímu uživateli nebo skupině. U každého incidentu můžete vlastníka přiřadit nastavením pole Vlastník . Všechny incidenty začínají jako nepřiřazené. Můžete také přidat komentáře, aby ostatní analytici dokázali pochopit, co jste prošetřili a co se týká incidentu.

    Snímek obrazovky s přiřazením incidentu uživateli

    Nedávno vybraní uživatelé a skupiny se zobrazí v horní části obrázkového rozevíracího seznamu.

  7. Výběrem možnosti Prozkoumat zobrazíte mapu šetření.

Podrobné informace o použití grafu šetření

Graf šetření umožňuje analytikům klást správné otázky pro každé šetření. Graf šetření vám pomůže porozumět rozsahu a identifikovat původní příčinu potenciální bezpečnostní hrozby tím, že koreluje relevantní data s jakoukoli zapojenou entitou. Pokud ji vyberete a zvolíte mezi různými možnostmi rozšíření, můžete se podrobněji podívat na libovolnou entitu, která je v grafu prezentována.

Graf šetření vám poskytne:

  • Vizuální kontext z nezpracovaných dat: Dynamický vizuální graf zobrazuje relace entit extrahované automaticky z nezpracovaných dat. Díky tomu můžete snadno zobrazit připojení mezi různými zdroji dat.

  • Úplné zjišťování rozsahu šetření: Rozšiřte rozsah šetření pomocí předdefinovaných průzkumných dotazů, abyste mohli zobrazit úplný rozsah porušení zabezpečení.

  • Předdefinované kroky šetření: Pomocí předdefinovaných možností zkoumání se ujistěte, že kladete správné otázky v tvář hrozbě.

Použití grafu šetření:

  1. Vyberte incident a pak vyberte Prozkoumat. Tím přejdete do grafu šetření. Graf poskytuje ilustrativní mapu entit přímo připojených k upozornění a ke každému prostředku připojenému dále.

    Zobrazit mapu

    Důležité

    • Incident budete moct prozkoumat jenom v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

    • Microsoft Sentinel v současné době podporuje vyšetřování incidentů do 30 dnů.

  2. Výběrem entity otevřete podokno Entity , abyste mohli zkontrolovat informace o této entitě.

    Zobrazení entit na mapě

  3. Rozbalte šetření tak, že najedete myší na každou entitu a zobrazíte seznam otázek, které navrhli naši odborníci na zabezpečení a analytici na jednotlivé typy entit, které prohloubí vaše šetření. Těmto možnostem říkáme průzkumné dotazy.

    Prozkoumání dalších podrobností

    Můžete například požádat o související výstrahy. Pokud vyberete průzkumný dotaz, výsledné nároky se přidají zpět do grafu. V tomto příkladu výběr souvisejících výstrah vrátil do grafu následující výstrahy:

    Snímek obrazovky: Zobrazení souvisejících upozornění

    Podívejte se, že související výstrahy se zobrazují jako propojené s entitou pomocí tečkovaných čar.

  4. Pro každý průzkumný dotaz můžete vybrat možnost otevření nezpracovaných výsledků událostí a dotazu použitého v Log Analytics výběrem událostí>.

  5. Aby bylo možné incident pochopit, graf vám poskytne paralelní časovou osu.

    Snímek obrazovky: Zobrazit časovou osu na mapě

  6. Najeďte myší na časovou osu a zjistěte, ke kterým věcem v grafu došlo v jakém okamžiku.

    Snímek obrazovky: K prozkoumání výstrah použijte časovou osu na mapě.

Zaměřte se na šetření

Zjistěte, jak můžete rozšířit nebo zúžit rozsah vyšetřování přidáním výstrah do incidentů nebo odebráním výstrah z incidentů.

Podobné incidenty (Preview)

Jako analytik operací zabezpečení při vyšetřování incidentu budete chtít věnovat pozornost jeho širšímu kontextu. Například budete chtít zjistit, jestli se dříve nebo nedějí jiné incidenty podobné tomu.

  • Možná budete chtít identifikovat souběžné incidenty, které můžou být součástí stejné větší strategie útoku.

  • Můžete chtít identifikovat podobné incidenty v minulosti, abyste je mohli použít jako referenční body pro vaše aktuální šetření.

  • Možná budete chtít identifikovat vlastníky minulých podobných incidentů, najít lidi ve vašem SOC, kteří můžou poskytnout další kontext nebo komu můžete eskalovat šetření.

Karta Podobné incidenty na stránce s podrobnostmi incidentu , nyní ve verzi Preview, představuje až 20 dalších incidentů, které jsou nejvíce podobné aktuálnímu incidentu. Podobnost se počítá pomocí interních algoritmů Microsoft Sentinelu a incidenty se seřadí a zobrazí se sestupně podle podobnosti.

Snímek obrazovky s podobnými incidenty

Výpočet podobnosti

Existují tři kritéria, podle kterých se určuje podobnost:

  • Podobné entity: Incident se považuje za podobný jinému incidentu, pokud oba zahrnují stejné entity. Čím více entit mají dva incidenty společné, tím více se považují za podobné.

  • Podobné pravidlo: Incident se považuje za podobný jinému incidentu, pokud byly oba vytvořeny stejným analytickým pravidlem.

  • Podobné podrobnosti upozornění: Incident se považuje za podobný jinému incidentu, pokud sdílí stejný název, název produktu nebo vlastní podrobnosti.

Důvody, proč se incident zobrazí v seznamu podobných incidentů, se zobrazí ve sloupci Důvod podobnosti . Najeďte myší na ikonu informací a zobrazte běžné položky (entity, název pravidla nebo podrobnosti).

Snímek obrazovky s automaticky otevíranou obrazovkou s podobnými podrobnostmi incidentu

Časový rámec podobnosti

Podobnost incidentu se vypočítá na základě dat z 14 dnů před poslední aktivitou v incidentu, která je koncovým časem poslední výstrahy v incidentu.

Podobnost incidentu se přepočítá při každém zadání stránky s podrobnostmi incidentu, takže výsledky se můžou lišit mezi relacemi, pokud byly vytvořeny nebo aktualizovány nové incidenty.

Komentář k incidentům

Jako bezpečnostní analytik při vyšetřování incidentu budete chtít důkladně zdokumentovat kroky, které provedete, a to jak zajistit přesné hlášení pro správu, tak zajistit bezproblémovou spolupráci a spolupráci mezi spolupracovníky. Microsoft Sentinel nabízí bohaté prostředí pro komentáře, které vám pomůže dosáhnout tohoto cíle.

Další důležitou věcí, kterou můžete dělat s komentáři, je automaticky rozšířit vaše incidenty. Když spustíte playbook na incidentu, který načte relevantní informace z externích zdrojů (například kontrola souboru malwaru v VirusTotalu), můžete playbook umístit odpověď externího zdroje – spolu s dalšími informacemi, které definujete – v komentářích incidentu.

Komentáře se snadno používají. K nim se dostanete prostřednictvím karty Komentáře na stránce s podrobnostmi o incidentu.

Snímek obrazovky se zobrazením a zadáváním komentářů

Nejčastější dotazy

Při používání komentářů k incidentům je potřeba vzít v úvahu několik aspektů. Následující seznam otázek odkazuje na tyto aspekty.

Jaké druhy vstupu se podporují?

  • Text: Komentáře v Microsoft Sentinelu podporují textové vstupy ve formátu prostého textu, základní kód HTML a Markdown. Do okna komentáře můžete také vložit zkopírovaný text, HTML a Markdown.

  • Obrazy: Do komentářů můžete vložit odkazy na obrázky a obrázky se zobrazí vložené, ale obrázky už musí být hostované ve veřejně přístupném umístění, jako je Dropbox, OneDrive, Disk Google a podobně. Obrázky se nedají nahrát přímo do komentářů.

Je u komentářů omezený limit velikosti?

  • Za komentář: Jeden komentář může obsahovat až 30 000 znaků.

  • Na incident: Jeden incident může obsahovat až 100 komentářů.

    Poznámka

    Limit velikosti jednoho záznamu incidentu v tabulce SecurityIncident v Log Analytics je 64 kB. Pokud je tento limit překročen, komentáře (počínaje nejstarším) budou zkráceny, což může ovlivnit komentáře, které se zobrazí v rozšířených výsledcích hledání .

    Skutečné záznamy incidentů v databázi incidentů nebudou ovlivněny.

Kdo může upravovat nebo odstraňovat komentáře?

  • Editace: Oprávnění k jeho úpravám má jenom autor komentáře.

  • Mazání: K odstranění komentářů mají oprávnění jenom uživatelé s rolí Přispěvatel služby Microsoft Sentinel . I autor komentáře musí mít tuto roli, aby ji mohl odstranit.

Uzavření incidentu

Jakmile vyřešíte konkrétní incident (například když vyšetřování dosáhne jeho závěru), měli byste nastavit stav incidentu na Uzavřeno. Když to uděláte, zobrazí se výzva ke klasifikaci incidentu zadáním důvodu, proč ho zavřete. Tento krok je povinný. V rozevíracím seznamu klikněte na Vybrat klasifikaci a vyberte jednu z následujících možností:

  • Pravdivě pozitivní – podezřelá aktivita
  • Neškodně pozitivní – podezřelé, ale očekávané
  • Falešně pozitivní – nesprávná logika výstrahy
  • Falešně pozitivní – nesprávná data
  • Neurčeno

Snímek obrazovky, který zvýrazňuje klasifikace dostupné v seznamu Vybrat klasifikaci

Další informace o falešně pozitivníchach

Po výběru vhodné klasifikace přidejte do pole Komentář nějaký popisný text. To bude užitečné v případě, že se budete muset vrátit k tomuto incidentu. Po dokončení klikněte na Použít a incident se zavře.

{alt-text}

Hledání incidentů

Pokud chcete najít konkrétní incident rychle, zadejte do vyhledávacího pole nad mřížkou incidentů hledaný řetězec a stisknutím klávesy Enter upravte seznam incidentů zobrazených odpovídajícím způsobem. Pokud váš incident není součástí výsledků, můžete hledání zúžit pomocí rozšířených možností hledání .

Pokud chcete upravit parametry hledání, vyberte tlačítko Hledat a pak vyberte parametry, ve kterých chcete hledání spustit.

Příklad:

Snímek obrazovky s vyhledávacím polem incidentu a tlačítkem pro výběr základních a/nebo rozšířených možností hledání

Ve výchozím nastavení se vyhledávání incidentů spouští pouze v hodnotách ID incidentu, Názvu, Značky, Vlastník a Název produktu . V podokně hledání posuňte seznam dolů a vyberte jeden nebo více dalších parametrů, které chcete hledat, a vyberte Použít pro aktualizaci parametrů hledání. Vyberte Nastavit výchozí resetování vybraných parametrů na výchozí možnost.

Poznámka

Hledání v poli Vlastník podporuje jména i e-mailové adresy.

Pomocí rozšířených možností hledání se chování hledání změní následujícím způsobem:

Chování vyhledávání Description
Barva tlačítka Hledat Barva tlačítka hledání se změní v závislosti na typech parametrů, které se aktuálně používají ve vyhledávání.
  • Pokud jsou vybrány pouze výchozí parametry, tlačítko je šedé.
  • Jakmile vyberete různé parametry, například pokročilé parametry hledání, tlačítko se změní na modrou.
Automatická aktualizace Použití rozšířených parametrů hledání vám brání v výběru, aby se výsledky automaticky aktualizovaly.
Parametry entity Pro rozšířené vyhledávání jsou podporované všechny parametry entity. Při hledání v libovolném parametru entity se hledání spustí ve všech parametrech entity.
Hledání řetězců Hledání řetězce slov obsahuje všechna slova ve vyhledávacím dotazu. Vyhledávací řetězce rozlišují velká a malá písmena.
Podpora napříč pracovními prostory Rozšířené vyhledávání se nepodporuje v zobrazeních napříč pracovními prostory.
Počet zobrazených výsledků hledání Když používáte pokročilé parametry hledání, zobrazí se současně jenom 50 výsledků.

Tip

Pokud nemůžete najít incident, který hledáte, odeberte parametry hledání a rozbalte hledání. Pokud výsledky hledání obsahuje příliš mnoho položek, přidejte další filtry, abyste zúžili výsledky.

Další kroky

V tomto článku jste zjistili, jak začít zkoumat incidenty pomocí služby Microsoft Sentinel. Další informace naleznete v tématu: