Sdílet prostřednictvím

Vyšetřování incidentů pomocí služby Microsoft Sentinel (starší verze)

  • Platí pro: Microsoft Sentinel in the Azure portal

Tento článek vám pomůže používat starší prostředí pro vyšetřování incidentů služby Microsoft Sentinel. Pokud používáte novější verzi rozhraní, použijte novější sadu instrukcí, které se shodují. Další informace najdete v tématu Navigace a vyšetřování incidentů ve službě Microsoft Sentinel.

Po připojení zdrojů dat ke službě Microsoft Sentinel chcete být upozorněni, když se stane něco podezřelého. Abyste to mohli udělat, Microsoft Sentinel vám umožní vytvářet pokročilá analytická pravidla, která generují incidenty, které můžete přiřadit a prošetřit.

Incident může zahrnovat více výstrah. Je to souhrn všech relevantních důkazů pro konkrétní vyšetřování. Incident se vytvoří na základě analytických pravidel, která jste vytvořili na stránce Analýza . Vlastnosti související s výstrahami, jako je závažnost a stav, jsou nastaveny na úrovni incidentu. Poté, co dáte službě Microsoft Sentinel vědět, jaké druhy hrozeb hledáte a jak je najít, můžete zjištěné hrozby monitorovat zkoumáním incidentů.

Důležité

Uvedené funkce jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Požadavky

  • Incident budete moci prošetřit pouze v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf šetření vyžaduje, aby váš původní incident zahrnoval entity.

  • Pokud máte uživatele typu host, který potřebuje přiřadit incidenty, musí být uživateli přiřazena role Čtenář adresáře ve vašem tenantovi Microsoft Entra. Běžní (neguest) uživatelé mají tuto roli ve výchozím nastavení přiřazenou.

Jak vyšetřovat incidenty

  1. Vyberte Incidenty. Stránka Incidenty vám umožní zjistit, kolik incidentů máte a zda jsou nové, aktivní nebo uzavřené. U každého incidentu můžete vidět čas, kdy k němu došlo, a stav incidentu. Podívejte se na závažnost a rozhodněte se, které incidenty řešit jako první.

    Snímek obrazovky se zobrazením závažnosti incidentu

  2. Incidenty můžete filtrovat podle potřeby, například podle stavu nebo závažnosti. Další informace najdete v tématu Hledání incidentů.

  3. Chcete-li zahájit vyšetřování, vyberte konkrétní incident. Vpravo můžete vidět podrobné informace o incidentu, včetně jeho závažnosti, souhrnu počtu zapojených subjektů, hrubých událostí, které tento incident vyvolaly, jedinečného ID incidentu a všech zmapovaných taktik nebo technik MITRE ATT&CK.

  4. Chcete-li zobrazit další podrobnosti o výstrahách a entitách v incidentu, vyberte Zobrazit úplné podrobnosti na stránce incidentu a prohlédněte si příslušné karty, které shrnují informace o incidentu.

    Snímek obrazovky se zobrazením podrobností výstrahy.

    • Pokud v současné době používáte nové prostředí, vypněte ho v pravém horním rohu stránky s podrobnostmi o incidentu a místo toho použijte starší prostředí.

    • Na kartě Časová osa si prohlédněte časovou osu výstrah a záložek v incidentu, která vám může pomoci rekonstruovat časovou osu aktivity útočníka.

    • Na kartě Podobné incidenty (Preview) se zobrazí kolekce až 20 dalších incidentů, které se nejvíce podobají aktuálnímu incidentu. To vám umožní zobrazit incident v širším kontextu a pomůže vám to směrovat šetření. Další informace o podobných incidentech naleznete níže.

    • Na kartě Výstrahy si prohlédněte výstrahy zahrnuté v tomto incidentu. Zobrazí se všechny relevantní informace o výstrahách – analytická pravidla, která je vytvořila, počet výsledků vrácených pro každou výstrahu a možnost spouštět playbooky na výstrahách. Chcete-li se o incidentu podrobněji ponořit, vyberte počet událostí. Otevře se dotaz, který vygeneroval výsledky, a události, které aktivovaly výstrahu v Log Analytics.

    • Na kartě Záložky se zobrazí všechny záložky, které jste vy nebo jiní vyšetřovatelé propojili s tímto incidentem. Další informace o záložkách.

    • Na kartě Entity můžete vidět všechny entity , které jste namapovali jako součást definice pravidla upozornění. Jedná se o objekty, které hrály roli v incidentu, ať už se jedná o uživatele, zařízení, adresy, soubory nebo jiné typy.

    • Nakonec na kartě Komentáře můžete přidat své komentáře k vyšetřování a zobrazit všechny komentáře ostatních analytiků a vyšetřovatelů. Další informace o komentářích.

  5. Pokud aktivně vyšetřujete incident, je vhodné nastavit stav incidentu na Aktivní , dokud jej neuzavřete.

  6. Incidenty lze přiřadit konkrétnímu uživateli nebo skupině. Pro každý incident můžete přiřadit vlastníka nastavením pole Vlastník. Všechny incidenty začínají jako nepřiřazené. Můžete také přidat komentáře, aby ostatní analytici mohli pochopit, co jste vyšetřovali a jaké jsou vaše obavy týkající se incidentu.

    Snímek obrazovky s přiřazením incidentu uživateli

    Nedávno vybraní uživatelé a skupiny se zobrazí v horní části obrázkového rozevíracího seznamu.

  7. Výběrem možnosti Prošetřit zobrazíte mapu vyšetřování.

Použití grafu šetření k podrobnému podrobnému popisu

Graf šetření umožňuje analytikům klást správné otázky pro každé šetření. Graf šetření vám pomůže pochopit rozsah a identifikovat hlavní příčinu potenciální bezpečnostní hrozby tím, že koreluje relevantní data s jakoukoli zúčastněnou entitou. Můžete se ponořit hlouběji a prozkoumat jakoukoli entitu zobrazenou v grafu tak, že ji vyberete a vyberete si z různých možností rozšíření.

Graf šetření vám poskytuje:

  • Vizuální kontext z nezpracovaných dat: Živý vizuální graf zobrazuje vztahy mezi entitami automaticky extrahované z nezpracovaných dat. Díky tomu můžete snadno zobrazit připojení mezi různými zdroji dat.

  • Zjišťování úplného rozsahu šetření: Rozšiřte rozsah vyšetřování pomocí integrovaných průzkumných dotazů, abyste odhalili celý rozsah porušení zabezpečení.

  • Integrované kroky šetření: Použijte předdefinované možnosti průzkumu, abyste se ujistili, že tváří v tvář hrozbě kladete správné otázky.

Použití grafu vyšetřování:

  1. Vyberte incident a pak vyberte Prozkoumat. Tím se dostanete do grafu vyšetřování. Graf poskytuje ilustrativní mapu entit přímo připojených k upozornění a každému prostředku připojenému dále.

    Zobrazit mapu

    Důležité

    • Incident budete moci prošetřit pouze v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf šetření vyžaduje, aby váš původní incident zahrnoval entity.

    • Microsoft Sentinel v současné době podporuje vyšetřování incidentů starých až 30 dnů.

  2. Výběrem entity otevřete podokno Entity , abyste mohli zkontrolovat informace o dané entitě.

    Zobrazení entit v mapě

  3. Rozšiřte své vyšetřování tím, že najedete myší na každou entitu a zobrazíte seznam otázek, který byl navržen našimi bezpečnostními experty a analytiky pro jednotlivé typy entit pro prohloubení vyšetřování. Těmto možnostem říkáme dotazy pro zkoumání.

    Prozkoumejte další podrobnosti

    Můžete například požádat o související výstrahy. Pokud vyberete průzkumný dotaz, výsledné entity se přidají zpět do grafu. V tomto příkladu výběr souvisejících výstrah vrátil do grafu následující výstrahy:

    Snímek obrazovky: zobrazení souvisejících výstrah

    Podívejte se, že související výstrahy se zobrazují připojeny k entitě tečkovanými čárami.

  4. U každého dotazu pro zkoumání můžete vybrat možnost otevření nezpracovaných výsledků událostí a dotazu použitého v Log Analytics výběrem událostí>.

  5. Aby bylo možné incident pochopit, graf vám poskytne paralelní časovou osu.

    Snímek obrazovky: Zobrazení časové osy na mapě

  6. Najeďte myší na časovou osu, abyste viděli, ke kterým věcem v grafu došlo v jakém okamžiku.

    Snímek obrazovky: K prozkoumání výstrah použijte časovou osu na mapě.

Zaměřte své vyšetřování

Zjistěte, jak můžete rozšířit nebo zúžit rozsah vyšetřování přidáním výstrah k incidentům nebo odebráním výstrah z incidentů.

Podobné incidenty (Preview)

Jako analytik operací zabezpečení chcete při vyšetřování incidentu věnovat pozornost jeho širšímu kontextu. Budete například chtít zjistit, zda k podobným incidentům došlo již dříve nebo k nimž dochází nyní.

  • Možná budete chtít identifikovat souběžné incidenty, které můžou být součástí stejné větší strategie útoku.

  • Možná budete chtít identifikovat podobné incidenty v minulosti, abyste je použili jako referenční body pro vaše aktuální šetření.

  • Možná budete chtít identifikovat vlastníky minulých podobných incidentů, najít lidi ve vašem SOC, kteří můžou poskytnout více kontextu nebo komu můžete eskalovat šetření.

Karta Podobné incidenty na stránce s podrobnostmi o incidentu, která je nyní ve verzi Preview, představuje až 20 dalších incidentů, které se nejvíce podobají aktuálnímu incidentu. Podobnost se vypočítává interními algoritmy služby Microsoft Sentinel a incidenty se seřadí a zobrazí v sestupném pořadí podle podobnosti.

Snímek obrazovky s podobnými incidenty

Výpočet podobnosti

Existují tři kritéria, podle kterých se podobnost určuje:

  • Podobné subjekty: Incident je považován za podobný jinému incidentu, pokud oba zahrnují stejné entity. Čím více entit jsou dva incidenty společné, tím více se považují za podobné.

  • Podobné pravidlo: Incident je považován za podobný jinému incidentu, pokud byly oba vytvořeny stejným analytickým pravidlem.

  • Podobné podrobnosti upozornění: Incident je považován za podobný jinému incidentu, pokud sdílejí stejný název, název produktu a/nebo vlastní podrobnosti.

Důvody, proč se incident zobrazí v seznamu podobných incidentů, se zobrazí ve sloupci Důvod podobnosti . Najeďte myší na ikonu informací a zobrazte společné položky (entity, název pravidla nebo podrobnosti).

Snímek obrazovky s automaticky otevíranou obrazovkou s podobnými podrobnostmi incidentu

Časový rámec podobnosti

Podobnost incidentů se počítá na základě dat z 14 dnů před poslední aktivitou v incidentu, které jsou koncovým časem poslední výstrahy v incidentu.

Podobnost incidentů se přepočítá pokaždé, když vstoupíte na stránku s podrobnostmi o incidentu, takže výsledky se mohou mezi relacemi lišit, pokud byly vytvořeny nebo aktualizovány nové incidenty.

Komentování incidentů

Jako analytik bezpečnostních operací budete chtít při vyšetřování incidentu důkladně zdokumentovat kroky, které podnikáte, a to jak pro zajištění přesného hlášení vedení, tak pro umožnění bezproblémové spolupráce a spolupráce mezi spolupracovníky. Microsoft Sentinel poskytuje bohaté prostředí pro komentáře, které vám toho pomůže dosáhnout.

Další důležitou věcí, kterou můžete s komentáři udělat, je automatické obohacení vašich incidentů. Když spustíte playbook pro incident, který načte relevantní informace z externích zdrojů (řekněme kontrola souboru na přítomnost malwaru na VirusTotal), můžete nechat playbook umístit odpověď externího zdroje - spolu s dalšími informacemi, které definujete - do komentářů k incidentu.

Komentáře se snadno používají. Přístup k nim je možný prostřednictvím karty Komentáře na stránce s podrobnostmi o incidentu.

Snímek obrazovky se zobrazením a zadáváním komentářů

Nejčastější dotazy týkající se komentářů k incidentům

Při používání komentářů k incidentům je potřeba vzít v úvahu několik aspektů. Následující seznam otázek poukazuje na tyto úvahy.

Jaké druhy vstupu jsou podporovány?

  • Text: Komentáře ve službě Microsoft Sentinel podporují textové vstupy ve formátu prostého textu, základního HTML a Markdownu. Do okna komentáře můžete také vložit zkopírovaný text, HTML a Markdown.

  • Obrazy: Do komentářů můžete vkládat odkazy na obrázky a obrázky se zobrazí jako vložené, ale obrázky již musí být hostovány na veřejně přístupném místě, jako je Dropbox, OneDrive, Disk Google a podobně. Obrázky se nedají nahrát přímo do komentářů.

Je nějaká velikost komentářů omezená?

  • Na komentář: Jeden komentář může obsahovat až 30 000 znaků.

  • Na jeden incident: Jeden incident může obsahovat až 100 komentářů.

    Poznámka:

    Limit velikosti jednoho záznamu incidentu v tabulce SecurityIncident v Log Analytics je 64 kB. Pokud je tento limit překročen, komentáře (počínaje nejstarším) budou zkráceny, což může mít vliv na komentáře, které se budou zobrazovat v rozšířených výsledcích vyhledávání .

    Skutečné záznamy incidentů v databázi incidentů nebudou ovlivněny.

Kdo může upravovat nebo mazat komentáře?

  • Editace: Oprávnění k jeho úpravám má jenom autor komentáře.

  • Mazání: K odstranění komentářů mají oprávnění jenom uživatelé s rolí Přispěvatel Microsoft Sentinelu . I autor komentáře musí mít tuto roli, aby ji mohl odstranit.

Uzavření incidentu

Jakmile vyřešíte konkrétní incident (například když vaše vyšetřování dospělo ke svému závěru), měli byste nastavit stav incidentu na Uzavřeno. Když tak učiníte, budete požádáni, abyste incident klasifikovali a uvedli důvod, proč jej uzavíráte. Tento krok je povinný. V rozevíracím seznamu vyberte Vybrat klasifikaci a zvolte jednu z následujících možností:

  • True Positive - podezřelá aktivita
  • Benigní Pozitivní - podezřelé, ale očekávané
  • Falešný poplach – nesprávná logika upozornění
  • False Positive - nesprávná data
  • Neurčeno

Snímek obrazovky, který zvýrazňuje klasifikace dostupné v seznamu Vybrat klasifikaci

Další informace o falešně pozitivních a neškodných pozitivních informacích najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.

Po výběru vhodné klasifikace přidejte do pole Komentář nějaký popisný text. To je užitečné v případě, že se potřebujete vrátit k tomuto incidentu. Vyberte Použít , jakmile dokončíte, a incident bude uzavřen.

Snímek obrazovky uzavření incidentu

Hledání incidentů

Pokud chcete rychle najít konkrétní incident, zadejte do vyhledávacího pole nad mřížkou incidentů hledaný řetězec a stisknutím klávesy Enter upravte seznam incidentů zobrazených odpovídajícím způsobem. Pokud váš incident není součástí výsledků, můžete hledání zúžit pomocí rozšířených možností hledání .

Pokud chcete upravit parametry hledání, vyberte tlačítko Hledat a pak vyberte parametry, ve kterých chcete hledání spustit.

Například:

Snímek obrazovky s vyhledávacím polem a tlačítkem pro volbu základních a/nebo rozšířených možností hledání.

Ve výchozím nastavení se vyhledávání incidentů spouští pouze v hodnotách ID incidentu, názvu, značek, vlastníka a názvu produktu . V podokně hledání se posuňte dolů v seznamu, abyste vybrali jeden nebo více dalších parametrů, které chcete vyhledat, a vyberte Použít pro aktualizaci parametrů hledání. Vyberte Nastavit jako výchozí a obnovte vybrané parametry na výchozí možnost.

Poznámka:

Hledání v poli Vlastník podporuje jména i e-mailové adresy.

Použití rozšířených možností vyhledávání změní chování hledání následujícím způsobem:

Chování hledání Popis
Barva tlačítka Hledání Barva tlačítka hledání se změní v závislosti na typech parametrů, které se aktuálně používají ve vyhledávání.
  • Pokud jsou vybrány pouze výchozí parametry, tlačítko je šedé.
  • Jakmile vyberete různé parametry, například pokročilé parametry hledání, tlačítko se změní na modrou.
Automatická aktualizace Použití rozšířených parametrů hledání vám brání v výběru, aby se výsledky automaticky aktualizovaly.
Parametry entity Pro rozšířené vyhledávání jsou podporovány všechny parametry entity. Při hledání v libovolném parametru entity se vyhledávání spustí ve všech parametrech entity.
Vyhledávací řetězce Hledání řetězce slov zahrnuje všechna slova ve vyhledávacím dotazu. U vyhledávacích řetězců se rozlišují malá a velká písmena.
Podpora napříč pracovními prostory Rozšířené vyhledávání není podporováno pro zobrazení mezi pracovními prostory.
Počet zobrazených výsledků hledání Pokud používáte pokročilé parametry hledání, zobrazí se najednou jenom 50 výsledků.

Návod

Pokud nemůžete najít incident, který hledáte, odeberte parametry hledání a rozbalte hledání. Pokud výsledky hledání mají příliš mnoho položek, přidejte další filtry, abyste výsledky zúžili.

Související obsah

V tomto článku jste zjistili, jak začít zkoumat incidenty pomocí Služby Microsoft Sentinel. Další informace najdete tady:

  • Last updated on