Správa incidentů

  • 5 min

Jakmile začnete používat Microsoft Sentinel ke generování incidentů, můžete incidenty prošetřit vy i IT tým Společnosti Contoso. Microsoft Sentinel obsahuje pokročilé nástroje pro šetření a analýzu, které můžete použít ke shromažďování informací a k určení nápravy.

Kontrola incidentů

Pokud chcete identifikovat a vyřešit problémy se zabezpečením, nejprve prozkoumejte všechny incidenty. Na stránce Přehled služby Microsoft Sentinel najdete seznam nejnovějších incidentů pro stručnou referenci. Další podrobnosti a úplný přehled incidentů najdete na stránce Incidenty, která zobrazuje všechny incidenty v aktuálním pracovním prostoru a podrobnosti o těchto incidentech.

Na stránce Incidenty najdete úplný seznam incidentů v Microsoft Sentinelu. Na stránce najdete také základní informace o incidentu. Mezi informace patří závažnost, ID, název, upozornění, názvy produktů, čas vytvoření, čas poslední aktualizace, vlastník a stav. Můžete je seřadit podle libovolného sloupce incidentu a seznam incidentů filtrovat podle názvu, závažnosti, stavu, názvu produktu nebo vlastníka.

Screenshot of a list of incidents in Microsoft Sentinel.

Na této stránce můžete provést různé kroky k prošetření incidentů.

Důležité

Uživatelé Microsoft Entra, kteří vyšetřují incidenty, musí být členy role Čtenář adresáře.

Zobrazení podrobností incidentu

Výběrem jakéhokoli incidentu na stránce Incidenty zobrazíte další informace o incidentu v pravém podokně. Toto podokno obsahuje popis incidentu a obsahuje související důkazy, entity a taktiky. Podokno obsahuje také odkazy na přidružené sešity a analytické pravidlo, které incident vygenerovalo. Tyto informace vám můžou pomoct objasnit povahu, kontext a průběh akce incidentu.

Screenshot of the incident details pane.

V podokně podrobností incidentu vyberte Zobrazit úplné podrobnosti a otevřete stránku Incident a zobrazte další podrobnosti o incidentu. Tyto podrobnosti můžete použít k lepšímu pochopení kontextu incidentu. Například v incidentu útoku hrubou silou můžete přejít na dotaz Log Analytics pro výstrahu a určit počet útoků.

Řízení vlastnictví, stavu a závažnosti incidentů

Každý incident, který Microsoft Sentinel vytvoří, obsahuje připojená metadata, která můžete zobrazit a spravovat. Tyto informace vám umožní:

  • Přiřaďte a sledujte vlastnictví incidentu.
  • Nastavit a sledovat stav incidentu od vytvoření až po vyřešení
  • Nastavit a kontrolovat závažnost

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Vlastnictví

V typickém prostředí by měl být každý incident přiřazený vlastníkovi týmu zabezpečení. Vlastník incidentu zodpovídá za celkovou správu incidentů, včetně aktualizací vyšetřování a stavu. Vlastnictví můžete kdykoli změnit a incident přiřadit jinému členovi týmu zabezpečení k dalšímu šetření nebo eskalaci.

Průběh

Každému novému incidentu vytvořenému v Microsoft Sentinelu se přiřadí stav Nový. Při kontrole incidentů a reagování na ně ručně změňte stav tak, aby odrážel aktuální stav incidentu. U prověřovaných incidentů nastavte stav Aktivní. Když je incident zcela vyřešen, nastavte stav Uzavřeno.

Když nastavíte stav Uzavřeno, zobrazí se výzva k výběru jednoho z následujících řešení:

  • Pravdivě pozitivní – podezřelá aktivita
  • Neškodné pozitivní – podezřelé, ale očekávané
  • Falešně pozitivní – nesprávná logika upozornění
  • Falešně pozitivní – nepřesná data
  • Neurčené

Závažnost

Pravidlo nebo zdroj zabezpečení Microsoftu, který incident vygeneroval, zpočátku nastaví závažnost. Ve většině případů zůstane závažnost incidentu nezměněná, ale pokud se rozhodnete, že je incident více nebo méně závažný, než je původně klasifikovaný, můžete změnit závažnost. Možnosti závažnosti jsou informativní, nízká, střední a vysoká.

Použití grafu šetření

Incident můžete dále prošetřit tak, že na stránce Incident vyberete Prozkoumat. Tato akce otevře graf prověřování, vizuální nástroj, který pomáhá identifikovat entity v rámci útoku a vztahy mezi nimi. Pokud incident zahrnuje více výstrah v průběhu času, můžete si také projít časovou osu výstrah a korelace mezi výstrahami.

The screenshot shows the investigation graph.

Kontrola podrobností entity

Když vyberete jednotlivé entity v grafu, můžete se podívat na další informace o dané entitě. Tyto informace zahrnují vztahy s jinými entitami, využití účtů a informace o toku dat. U každé oblasti informací můžete přejít na související události v Log Analytics a přidat do grafu data související výstrahy.

Kontrola podrobností incidentu

Výběrem položky incidentu v grafu můžete sledovat metadata incidentu související s kontextem zabezpečení a prostředí incidentu.

Prověřte si své znalosti

1.

Chcete-li eskalovat incident týmu zabezpečení další úrovně, který parametr incidentu byste měli změnit?

2.

Které rozhraní Služby Microsoft Sentinel umožňuje zobrazit časové osy a vztahy mezi prostředky incidentů?