Vyšetřování incidentů s využitím služby Microsoft Sentinel

  • Článek

Důležité

Uvedené funkce jsou aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.

Tento článek vám pomůže vyšetřovat incidenty se službou Microsoft Sentinel. Po připojení zdrojů dat ke službě Microsoft Sentinel chcete dostávat oznámení, když se stane něco podezřelého. Microsoft Sentinel vám k tomu umožňuje vytvářet pokročilá analytická pravidla, která generují incidenty, které můžete přiřadit a prošetřit.

Tento článek popisuje:

  • Šetření incidentů
  • Použití grafu šetření
  • Reakce na hrozby

Incident může zahrnovat několik výstrah. Jedná se o agregaci všech relevantních důkazů pro konkrétní šetření. Incident se vytvoří na základě analytických pravidel, která jste vytvořili na stránce Analýza . Vlastnosti související s výstrahami, jako je závažnost a stav, se nastavují na úrovni incidentu. Jakmile službě Microsoft Sentinel dáte vědět, jaké druhy hrozeb hledáte a jak je najít, můžete monitorovat zjištěné hrozby vyšetřováním incidentů.

Požadavky

  • Incident můžete prozkoumat jenom v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

  • Pokud máte uživatele typu host, který potřebuje přiřadit incidenty, musí mít v tenantovi Azure AD přiřazenou roli Čtenář adresáře. Běžní uživatelé (bez hosta) mají tuto roli přiřazenou ve výchozím nastavení.

Postup při vyšetřování incidentů

  1. Vyberte Incidenty. Na stránce Incidenty se dozvíte, kolik incidentů máte a jestli jsou nové, aktivní nebo uzavřené. U každého incidentu můžete vidět čas, kdy k němu došlo, a stav incidentu. Podívejte se na závažnost a rozhodněte, které incidenty se mají zpracovat jako první.

    Snímek obrazovky se zobrazením závažnosti incidentu

  2. Incidenty můžete filtrovat podle potřeby, například podle stavu nebo závažnosti. Další informace najdete v tématu Hledání incidentů.

  3. Pokud chcete zahájit šetření, vyberte konkrétní incident. Na pravé straně uvidíte podrobné informace o incidentu, včetně jeho závažnosti, souhrnu počtu zapojených entit, nezpracovaných událostí, které tento incident aktivovaly, jedinečného ID incidentu a všech namapovaných taktik nebo technik MITRE ATT&CK.

  4. Pokud chcete zobrazit další podrobnosti o výstrahách a entitách v incidentu, vyberte Zobrazit úplné podrobnosti na stránce incidentu a zkontrolujte příslušné karty, které shrnují informace o incidentu.

    Snímek obrazovky se zobrazením podrobností upozornění

    • Na kartě Časová osa zkontrolujte časovou osu upozornění a záložek v incidentu, což vám může pomoct s rekonstrukci časové osy aktivity útočníka.

    • Na kartě Podobné incidenty (Preview) uvidíte kolekci až 20 dalších incidentů, které se nejvíce podobají aktuálnímu incidentu. To vám umožní zobrazit incident ve větším kontextu a pomůže vám směrovat vyšetřování. Další informace o podobných incidentech najdete níže.

    • Na kartě Výstrahy zkontrolujte výstrahy zahrnuté v tomto incidentu. Zobrazí se všechny relevantní informace o upozorněních – analytická pravidla, která je vytvořila, počet vrácených výsledků na výstrahu a možnost spouštět playbooky s upozorněními. Pokud chcete přejít k dalším podrobnostem incidentu, vyberte počet událostí. Otevře se dotaz, který vygeneroval výsledky, a události, které aktivovaly výstrahu v Log Analytics.

    • Na kartě Záložky uvidíte všechny záložky, které jste vy nebo jiní vyšetřovatelé propojili s tímto incidentem. Přečtěte si další informace o záložkách.

    • Na kartě Entity uvidíte všechny entity , které jste namapovali jako součást definice pravidla upozornění. Jedná se o objekty, které hrály roli v incidentu, ať už se jedná o uživatele, zařízení, adresy, soubory nebo jiné typy.

    • Nakonec na kartě Komentáře můžete přidat komentáře k vyšetřování a zobrazit všechny komentáře ostatních analytiků a vyšetřovatelů. Přečtěte si další informace o komentářích.

  5. Pokud aktivně vyšetřujete incident, je vhodné nastavit stav incidentu na Aktivní , dokud ho nezavřete.

  6. Incidenty je možné přiřadit konkrétnímu uživateli nebo skupině. Každému incidentu můžete přiřadit vlastníka nastavením pole Vlastník . Všechny incidenty začínají jako nepřiřazené. Můžete také přidat komentáře, aby ostatní analytici pochopili, co jste vyšetřovali a jaké jsou vaše obavy ohledně incidentu.

    Snímek obrazovky s přiřazením incidentu uživateli

    Nedávno vybraní uživatelé a skupiny se zobrazí v horní části zobrazeného rozevíracího seznamu.

  7. Vyberte Prozkoumat a zobrazte mapu šetření.

Podrobné prozkoumání pomocí grafu šetření

Graf šetření umožňuje analytikům klást pro každé šetření správné otázky. Graf šetření vám pomůže porozumět rozsahu a identifikovat původní příčinu potenciální bezpečnostní hrozby tím, že koreluje relevantní data s jakoukoli zapojenou entitou. Můžete se ponořit hlouběji a prozkoumat libovolnou entitu v grafu tak, že ji vyberete a zvolíte mezi různými možnostmi rozšíření.

Graf šetření poskytuje:

  • Vizuální kontext z nezpracovaných dat: Živý vizuální graf zobrazuje vztahy entit extrahované automaticky z nezpracovaných dat. Díky tomu můžete snadno zobrazit připojení mezi různými zdroji dat.

  • Zjišťování úplného rozsahu šetření: Rozšiřte rozsah šetření pomocí integrovaných průzkumných dotazů, abyste odhalili úplný rozsah porušení zabezpečení.

  • Integrované kroky šetření: Pomocí předdefinovaných možností zkoumání se ujistěte, že se tváří v tvář hrozbě ptáte na správné otázky.

Použití grafu šetření:

  1. Vyberte incident a pak vyberte Prošetřit. Tím přejdete na graf šetření. Graf poskytuje ilustrativní mapu entit přímo připojených k upozornění a jednotlivých dalších připojených prostředků.

    Zobrazit mapu.

    Důležité

    • Incident můžete prozkoumat jenom v případě, že jste při nastavování analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

    • Microsoft Sentinel v současné době podporuje vyšetřování incidentů starých až 30 dnů.

  2. Výběrem entity otevřete podokno Entity , abyste si mohli prohlédnout informace o této entitě.

    Zobrazení entit v mapě

  3. Rozšiřte šetření tak, že najedete myší na každou entitu a zobrazí se seznam otázek navržených našimi odborníky na zabezpečení a analytiky podle typu entity, aby se šetření prohloubilo. Těmto možnostem se říká průzkumné dotazy.

    Prozkoumat další podrobnosti

    Můžete například požádat o související výstrahy. Pokud vyberete průzkumný dotaz, výsledné nároky se přidají zpět do grafu. V tomto příkladu se výběrem možnosti Související výstrahy vrátily do grafu následující výstrahy:

    Snímek obrazovky: Zobrazení souvisejících upozornění

    Podívejte se, že se související výstrahy zobrazují jako propojené s entitou pomocí tečkovaných čar.

  4. Pro každý průzkumný dotaz můžete vybrat možnost otevření nezpracovaných výsledků událostí a dotazu použitého v Log Analytics výběrem možnosti Události>.

  5. Abyste tomuto incidentu porozuměli, poskytuje graf paralelní časovou osu.

    Snímek obrazovky: Zobrazení časové osy na mapě

  6. Najeďte myší na časovou osu a podívejte se, ke kterým věcem v grafu došlo v jakém okamžiku.

    Snímek obrazovky: Použití časové osy na mapě k prozkoumání upozornění

Zaměřte se na vyšetřování

Zjistěte, jak můžete rozšířit nebo zúžit rozsah vyšetřování přidáním výstrah do incidentů nebo odebráním výstrah z incidentů.

Podobné incidenty (Preview)

Jako analytik operací zabezpečení budete při vyšetřování incidentu chtít věnovat pozornost jeho širšímu kontextu. Budete například chtít zjistit, jestli k jiným incidentům, jako je tento, došlo dříve nebo se neděje teď.

  • Možná budete chtít identifikovat souběžné incidenty, které můžou být součástí stejné strategie rozsáhlejších útoků.

  • Možná budete chtít identifikovat podobné incidenty v minulosti, abyste je mohli použít jako referenční body pro vaše aktuální šetření.

  • Možná budete chtít identifikovat vlastníky minulých podobných incidentů, najít lidi ve vašem soc, kteří můžou poskytnout další kontext, nebo kterým můžete eskalovat vyšetřování.

Karta podobné incidenty na stránce s podrobnostmi o incidentu, která je teď ve verzi Preview, zobrazuje až 20 dalších incidentů, které se nejvíce podobají aktuálnímu incidentu. Podobnost je vypočítána interními algoritmy služby Microsoft Sentinel a incidenty jsou seřazeny a zobrazeny sestupně podle podobnosti.

Snímek obrazovky s podobnými incidenty

Výpočet podobnosti

Podobnost se určuje třemi kritérii:

  • Podobné entity: Incident se považuje za podobný jinému incidentu, pokud oba zahrnují stejné entity. Čím více entit mají dva incidenty společného, tím jsou si více podobné.

  • Podobné pravidlo: Incident se považuje za podobný jinému incidentu, pokud byly oba vytvořeny stejným analytickým pravidlem.

  • Podobné podrobnosti výstrahy: Incident se považuje za podobný jinému incidentu, pokud sdílí stejný název, název produktu nebo vlastní podrobnosti.

Důvody, proč se incident zobrazí v seznamu podobných incidentů, se zobrazí ve sloupci Důvod podobnosti . Když na ikonu informací najedete myší, zobrazí se běžné položky (entity, název pravidla nebo podrobnosti).

Snímek obrazovky s automaticky otevírané okno s podobnými podrobnostmi incidentu

Časový rámec podobnosti

Podobnost incidentů se počítá na základě dat ze 14 dnů před poslední aktivitou v incidentu, která jsou koncovým časem posledního upozornění v incidentu.

Podobnost incidentů se přepočítá pokaždé, když zadáte stránku s podrobnostmi incidentu, takže pokud se vytvořily nebo aktualizovaly nové incidenty, můžou se výsledky v jednotlivých relacích lišit.

Komentáře k incidentům

Jako analytik operací zabezpečení budete chtít při vyšetřování incidentu důkladně zdokumentovat kroky, které podniknete, abyste zajistili přesné hlášení pro správu a umožnili bezproblémovou spolupráci a spolupráci mezi spolupracovníky. Microsoft Sentinel nabízí bohaté prostředí pro komentování, které vám s tím pomůže.

Další důležitou věcí, kterou můžete s komentáři dělat, je automatické rozšiřování incidentů. Když spustíte playbook u incidentu, který načte relevantní informace z externích zdrojů (například kontrola malwaru v souboru na webu VirusTotal), můžete nechat playbook umístit odpověď externího zdroje – spolu s dalšími informacemi, které definujete – do komentářů k incidentu.

Použití komentářů je jednoduché. Dostanete se k nim prostřednictvím karty Komentáře na stránce podrobností incidentu.

Snímek obrazovky se zobrazením a zadáváním komentářů

Nejčastější dotazy

Při používání komentářů k incidentům je potřeba vzít v úvahu několik aspektů. Následující seznam otázek ukazuje na tyto aspekty.

Jaké druhy vstupu jsou podporovány?

  • Text: Komentáře ve službě Microsoft Sentinel podporují textové vstupy ve formátu prostého textu, základní kód HTML a Markdown. Do okna komentáře můžete také vložit zkopírovaný text, kód HTML a Markdown.

  • Obrázky: Do komentářů můžete vložit odkazy na obrázky a obrázky se zobrazí v textu, ale obrázky už musí být hostované ve veřejně přístupném umístění, jako je Dropbox, OneDrive, Disk Google a podobně. Obrázky se nedají nahrávat přímo do komentářů.

Existuje u komentářů nějaké omezení velikosti?

  • Komentář: Jeden komentář může obsahovat až 30 000 znaků.

  • Jednotlivé incidenty: Jeden incident může obsahovat až 100 komentářů.

    Poznámka

    Limit velikosti jednoho záznamu incidentu v tabulce SecurityIncident v Log Analytics je 64 kB. Při překročení tohoto limitu se komentáře (počínaje nejstarším) zkrátí, což může ovlivnit komentáře, které se zobrazí v rozšířených výsledcích hledání .

    Skutečné záznamy incidentů v databázi incidentů nebudou ovlivněny.

Kdo může komentáře upravovat nebo odstraňovat?

  • Úpravy: Oprávnění k úpravám komentáře má jenom autor.

  • Odstranění: Oprávnění k odstraňování komentářů mají jenom uživatelé s rolí Přispěvatel služby Microsoft Sentinel . Tuto roli musí mít i autor komentáře, aby ho mohl odstranit.

Uzavření incidentu

Jakmile vyřešíte konkrétní incident (například když vaše šetření dospělo k závěru), měli byste nastavit stav incidentu na Uzavřeno. Když to uděláte, budete požádáni o klasifikaci incidentu zadáním důvodu, proč ho zavíráte. Tento krok je povinný. Klikněte na Vybrat klasifikaci a v rozevíracím seznamu zvolte jednu z následujících možností:

  • Pravdivě pozitivní – podezřelá aktivita
  • Neškodně pozitivní – podezřelé, ale očekávané
  • Falešně pozitivní – nesprávná logika výstrahy
  • Falešně pozitivní – nesprávná data
  • Neurčeno

Snímek obrazovky se zvýrazněním klasifikací dostupných v seznamu Vybrat klasifikaci

Další informace o falešně pozitivních a neškodných pozitivních výsledků najdete v tématu Zpracování falešně pozitivních výsledků ve službě Microsoft Sentinel.

Po výběru vhodné klasifikace přidejte do pole Komentář popisný text. To bude užitečné v případě, že se budete muset vrátit k tomuto incidentu. Až budete hotovi, klikněte na Použít a incident se zavře.

{alt-text}

Hledání incidentů

Pokud chcete rychle najít konkrétní incident, zadejte hledaný řetězec do vyhledávacího pole nad mřížkou incidentů a stisknutím klávesy Enter odpovídajícím způsobem upravte seznam incidentů. Pokud váš incident není součástí výsledků, můžete hledání zúžit pomocí rozšířených možností hledání .

Pokud chcete upravit parametry hledání, vyberte tlačítko Hledat a pak vyberte parametry, u kterých chcete vyhledávání spustit.

Příklad:

Snímek obrazovky s vyhledávacím polem incidentu a tlačítkem pro výběr základních nebo rozšířených možností hledání

Ve výchozím nastavení se vyhledávání incidentů spouští pouze pro hodnoty ID incidentu, Název, Značky, Vlastník a Název produktu . V podokně hledání se posuňte v seznamu dolů, vyberte jeden nebo více dalších parametrů, které chcete prohledat, a výběrem možnosti Použít aktualizujte parametry hledání. Výběrem možnosti Nastavit obnovíte výchozí nastavení vybraných parametrů na výchozí možnost.

Poznámka

Hledání v poli Vlastník podporuje jména i e-mailové adresy.

Použití rozšířených možností hledání změní chování hledání následujícím způsobem:

Chování vyhledávání Popis
Barva tlačítka Hledání Barva tlačítka hledání se mění v závislosti na typech parametrů, které se aktuálně používají při hledání.
  • Pokud jsou vybrány pouze výchozí parametry, je tlačítko šedé.
  • Jakmile jsou vybrány různé parametry, například rozšířené parametry vyhledávání, tlačítko zmodrá.
Automatická aktualizace Použití rozšířených parametrů vyhledávání vám zabrání ve výběru automatické aktualizace výsledků.
Parametry entity Všechny parametry entit jsou podporovány pro rozšířené vyhledávání. Při hledání v libovolném parametru entity se vyhledávání spustí ve všech parametrech entity.
Hledání řetězců Hledání řetězce slov zahrnuje všechna slova ve vyhledávacím dotazu. V hledaných řetězcích se rozlišují malá a velká písmena.
Podpora napříč pracovními prostory Rozšířené vyhledávání se nepodporuje v zobrazeních napříč pracovními prostory.
Počet zobrazených výsledků hledání Pokud používáte rozšířené parametry vyhledávání, zobrazí se najednou jenom 50 výsledků.

Tip

Pokud nemůžete najít incident, který hledáte, odeberte parametry hledání, aby se vyhledávání rozbalily. Pokud je výsledkem hledání příliš mnoho položek, přidejte další filtry, abyste výsledky zúžili.

Další kroky

V tomto článku jste zjistili, jak začít vyšetřovat incidenty pomocí služby Microsoft Sentinel. Další informace naleznete v tématu: