Untersuchen Sie Vorfälle mit Microsoft Sentinel

  • Artikel

Wichtig

Entsprechend gekennzeichnete Features sind derzeit als VORSCHAUVERSION verfügbar. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Dieser Artikel unterstützt Sie bei der Untersuchung von Vorfällen mit Microsoft Sentinel. Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, möchten Sie benachrichtigt werden, wenn etwas Verdächtiges geschieht. Damit Sie dies tun können, können Sie in Azure Sentinel erweiterte Warnungsregeln erstellen, die Vorfälle generieren, die Sie zuweisen und untersuchen können.

In diesem Artikel wird Folgendes behandelt:

  • Untersuchen von Vorfällen
  • Verwenden des Untersuchungsdiagramms
  • Reagieren auf Bedrohungen

Ein Vorfall kann mehrere Warnungen enthalten. Es ist eine Aggregation aller relevanten Beweise für eine bestimmte Untersuchung. Ein Vorfall wird auf der Grundlage von Analyseregeln erstellt, die Sie auf der Seite Analytics erstellt haben. Die Eigenschaften, die zu den Warnungen gehören, z. B. Schweregrad und Status, werden auf Vorfallsebene festgelegt. Nachdem Sie Microsoft Sentinel mitgeteilt haben, nach welchen Arten von Bedrohungen Sie suchen und wie Sie diese finden, können Sie erkannte Bedrohungen durch die Untersuchung von Vorfällen überwachen.

Voraussetzungen

  • Sie können den Vorfall nur untersuchen, wenn Sie beim Einrichten der Analyseregel die Entitätszuordnungsfelder verwendet haben. Das Untersuchungsdiagramm fordert, dass Ihr ursprünglicher Vorfall Entitäten enthält.

  • Wenn ein Gastbenutzer Vorfälle zuweisen muss, muss diesem im Microsoft Entra-Mandanten die Rolle Verzeichnisleseberechtigter zugewiesen werden. Regulären Benutzern (keine Gastbenutzer) ist diese Rolle standardmäßig zugewiesen.

Untersuchen von Vorfällen

  1. Wählen Sie Vorfälle aus. Auf der Seite Vorfälle erfahren Sie, wie viele Vorfälle es gibt und ob sie neu, aktiv oder abgeschlossen sind. Für jeden Vorfall sehen Sie den Zeitpunkt des Auftretens und dessen Status. Beurteilen Sie anhand des Schweregrads, welche Fälle zuerst zu bearbeiten sind.

    Screenshot of view of incident severity.

  2. Sie können die Vorfälle nach Bedarf filtern, z. B. nach Status oder Schweregrad. Weitere Informationen finden Sie unter Suchen nach Incidents.

  3. Wählen Sie einen bestimmten Vorfall aus, um mit der Untersuchung zu beginnen. Auf der rechten Seite können Sie detaillierte Informationen zu dem Vorfall anzeigen, einschließlich des Schweregrads, der Zusammenfassung der Anzahl der beteiligten Entitäten, der rohen Ereignisse, die diesen Vorfall ausgelöst haben, die eindeutige ID des Vorfalls und alle zugeordneten MITRE ATT&CK-Taktiken oder -techniken.

  4. Wenn Sie sich mehr Details zu den Warnungen und Entitäten des Vorfalls ansehen möchten, wählen Sie auf der Vorfallsseite auf Alle Informationen anzeigen aus, und prüfen Sie die relevanten Registerkarten, in denen die Vorfallsinformationen zusammengefasst sind.

    Screenshot of view of alert details.

    • Überprüfen Sie die Zeitachse der Warnungen und Lesezeichen im Vorfall auf der Registerkarte Zeitachse. Dies hilft Ihnen, die Zeitachse der Angreiferaktivitäten zu rekonstruieren.

    • Auf der Registerkarte Ähnliche Vorfälle (Vorschau) sehen Sie eine Sammlung von bis zu 20 anderen Vorfällen, die dem aktuellen Vorfall am ähnlichsten sind. So können Sie den Vorfall in einem größeren Zusammenhang sehen und Ihre Untersuchung besser führen. Unten erfahren Sie mehr über ähnliche Vorfälle.

    • Überprüfen Sie auf der Registerkarte Warnungen die Warnungen, die zu diesem Vorfall gehören. Sie sehen alle relevanten Informationen zu den Warnungen, d. h. die Analyseregeln, die sie generiert haben, die Anzahl der Ergebnisse, die pro Warnung zurückgegeben wurden, und die Möglichkeit, Playbooks für die Warnungen auszuführen. Wenn Sie noch detaillierte Informationen zum Vorfall erhalten möchten, wählen Sie die Anzahl der Ereignisse aus. Dadurch werden die Abfrage, die die Ergebnisse generiert hat, sowie die Ereignisse geöffnet, die die Warnung in Log Analytics ausgelöst haben.

    • Auf der Registerkarte Lesezeichen sehen Sie alle Lesezeichen, die Sie oder andere Prüfer mit diesem Vorfall verknüpft haben. Erfahren Sie mehr zu Lesezeichen.

    • Auf der Registerkarte Entitäten können Sie alle Entitäten sehen, die Sie als Teil der Warnungsregeldefinition zugeordnet haben. Dies sind die Objekte, die bei dem Vorfall eine Rolle gespielt haben, seien es Benutzer, Geräte, Adressen, Dateien oder andere Typen.

    • Auf der Registerkarte Kommentare können Sie schließlich Ihre Kommentare zur Untersuchung hinzufügen und alle Kommentare anderer Analysten und Prüfer einsehen. Erfahren Sie mehr zu Kommentaren.

  5. Wenn Sie einen Vorfall aktiv untersuchen, empfiehlt es sich, den Vorfallsstatus auf Aktiv festzulegen, bis Sie ihn schließen.

  6. Vorfälle können einem bestimmten Benutzer oder einer Gruppe zugewiesen werden. Jedem Vorfall können Sie einen Besitzer zuweisen, indem Sie das Feld Besitzer festlegen. Alle Vorfälle sind zu Beginn nicht zugewiesen. Sie können auch Kommentare hinzufügen, damit andere Analysten verstehen können, was Sie untersucht haben und welche Probleme mit dem Vorfall verbunden sind.

    Screenshot of assigning incident to user.

    Zuletzt ausgewählte Benutzer und Gruppen werden oben in der dargestellten Dropdownliste angezeigt.

  7. Wählen Sie Untersuchen aus, um die Untersuchungszuordnung anzuzeigen.

Ausführliche Untersuchung mit dem Untersuchungsdiagramm

Mithilfe des Untersuchungsdiagramms können Analysten für jede Untersuchung die richtigen Fragen stellen. Anhand des Untersuchungsdiagramms können Sie den Umfang einer potenziellen Sicherheitsbedrohung verstehen und deren Ursache bestimmen, indem Sie relevante Daten mit einer betroffenen Entität in Beziehung setzen. Sie können tiefer eintauchen und die einzelnen im Diagramm dargestellten Entitäten untersuchen, indem Sie die jeweilige Entität auswählen und verschiedene Erweiterungsoptionen wählen.

Das Untersuchungsdiagramm bietet Ihnen Folgendes:

  • Visueller Kontext aus Rohdaten: Im visuellen Livediagramm werden Entitätsbeziehungen veranschaulicht, die automatisch aus den Rohdaten extrahiert werden. Dadurch können Sie auf einfache Weise Verbindungen zwischen verschiedenen Datenquellen erkennen.

  • Ermittlung des vollständigen Untersuchungsumfangs: Erweitern Sie den Untersuchungsumfang mithilfe integrierter Auswertungsabfragen, um das vollständige Ausmaß einer Sicherheitsverletzung aufzudecken.

  • Integrierte Untersuchungsschritte: Stellen Sie mit vordefinierten Untersuchungsoptionen sicher, dass Sie angesichts einer Bedrohung die richtigen Fragen stellen.

So verwenden Sie das Untersuchungsdiagramm:

  1. Wählen Sie einen Vorfall und anschließend Untersuchen aus. Dadurch wird das Untersuchungsdiagramm aufgerufen. Im Diagramm erhalten Sie eine anschauliche Zuordnung der Entitäten, die direkt mit dem Vorfall verbunden sind, sowie aller darüber hinaus damit verbundenen Ressourcen.

    View map.

    Wichtig

    • Sie können den Vorfall nur untersuchen, wenn Sie beim Einrichten der Analyseregel die Entitätszuordnungsfelder verwendet haben. Das Untersuchungsdiagramm fordert, dass Ihr ursprünglicher Vorfall Entitäten enthält.

    • Microsoft Sentinel unterstützt derzeit die Untersuchung von Vorfällen, die bis zu 30 Tage alt sind.

  2. Wählen Sie eine Entität aus, um den Bereich Entitäten zu öffnen, in dem Sie Informationen zur betreffenden Entität untersuchen können.

    View entities in map

  3. Erweitern Sie die Untersuchung, indem Sie den Mauszeiger über die einzelnen Entitäten bewegen. Dadurch wird eine Liste von Fragen eingeblendet, die von unseren Sicherheitsexperten und -analysten für den jeweiligen Entitätstyp entwickelt wurden, sodass Sie Ihre Untersuchung vertiefen können. Wir bezeichnen diese Optionen als Erkundungsabfragen.

    Explore more details

    Sie können beispielsweise zugehörige Warnungen anfordern. Wenn Sie eine Erkundungsabfrage auswählen, werden die erhaltenen Entitäten dem Diagramm wieder hinzugefügt. In diesem Beispiel wurden durch Auswahl von Related alerts (Zugehörige Warnungen) die folgenden Warnungen in das Diagramm zurückgegeben:

    Screenshot: view related alerts

    Wie Sie sehen, werden die zugehörigen Warnungen mittels gestrichelter Linien als mit der Entität verbunden gezeigt.

  4. Für jede Erkundungsabfrage können Sie die Ergebnisse zu ursächlichen Ereignissen und die in Log Analytics verwendete Abfrage öffnen, indem Sie Ereignisse> auswählen.

  5. Das Diagramm enthält eine parallele Zeitachse, um ein Verständnis des Vorfalls zu vermitteln.

    Screenshot: view timeline in map.

  6. Bewegen Sie den Mauszeiger über die Zeitachse, um festzustellen, welche Ereignisse im Diagramm zu welchem Zeitpunkt aufgetreten sind.

    Screenshot: use timeline in map to investigate alerts.'

Konzentrieren auf die Untersuchung

Erfahren Sie, wie Sie den Umfang Ihrer Untersuchung erweitern oder eingrenzen können, indem Sie entweder Vorfällen Warnungen hinzufügen oder Warnungen aus Vorfällen entfernen.

Ähnliche Vorfälle (Vorschau)

Als Analyst sicherheitsrelevanter Vorgänge sollten Sie bei der Untersuchung eines Vorfalls auch den größeren Zusammenhang beachten. Sie können z. B. herausfinden, ob es solche Vorfälle schon einmal gegeben hat oder ob sie gerade passieren.

  • Sie können auch gleichzeitig auftretende Vorfälle bestimmen, die ggf. Teil der gleichen größeren Angriffsstrategie sind.

  • Sie können ähnliche Vorfälle in der Vergangenheit bestimmen, um sie als Referenzpunkte für Ihre aktuelle Untersuchung zu nutzen.

  • Sie können die Besitzer früherer ähnlicher Vorfälle ermitteln, um die Personen in Ihrem SOC zu finden, die mehr Kontext liefern können, oder an die Sie die Untersuchung eskalieren können.

Die Registerkarte Ähnliche Vorfälle auf der Seite mit den Vorfalldetails (derzeit in der Vorschauphase) zeigt bis zu 20 andere Vorfälle an, die dem aktuellen Vorfall am ähnlichsten sind. Die Ähnlichkeit wird mittels interner Microsoft Sentinel-Algorithmen berechnet, und die Vorfälle werden in absteigender Reihenfolge der Ähnlichkeit sortiert und angezeigt.

Screenshot of the similar incidents display.

Ähnlichkeitsberechnung

Es gibt drei Kriterien, anhand derer die Ähnlichkeit bestimmt wird:

  • Ähnliche Entitäten: Ein Vorfall gilt als ähnlich einem anderen Vorfall, wenn beide die gleichen Entitäten enthalten. Je mehr Entitäten zwei Vorfälle gemeinsam haben, desto ähnlicher werden sie betrachtet.

  • Ähnliche Regel: Ein Vorfall wird einem anderen Vorfall ähnlich betrachtet, wenn beide aufgrund derselben Analyseregel erzeugt wurden.

  • Ähnliche Warnungsdetails: Ein Vorfall wird als einem anderen Vorfall ähnlich angesehen, wenn beide denselben Titel, Produktnamen und/oder dieselben benutzerdefinierte Details haben.

Die Gründe, warum ein Vorfall in der Liste ähnlicher Vorfälle erscheint, werden in der Spalte Ähnlichkeitsgrund angezeigt. Bewegen Sie den Mauszeiger über das Infosymbol, um die gemeinsamen Elemente (Entitäten, Regelname oder Details) anzuzeigen.

Screenshot of pop-up display of similar incident details.

Ähnlichkeitszeitrahmen

Die Vorfallähnlichkeit wird auf Grundlage der Daten der letzten 14 Tage vor der letzten Aktivität im Vorfall berechnet, d. h. dem Endzeitpunkt der letzten Warnung im Vorfall.

Die Vorfallähnlichkeit wird jedes Mal neu berechnet, wenn Sie die Seite mit den Vorfalldetails aufrufen. Daher können die Ergebnisse zwischen den einzelnen Sitzungen variieren, falls neue Vorfälle erstellt oder vorhandene aktualisiert wurden.

Kommentieren von Incidents

Als Analyst für Sicherheitsvorgänge sollten Sie bei der Untersuchung eines Incidents die Schritte, die Sie ausführen, gründlich dokumentieren, um eine genaue Berichterstattung an das Management sicherzustellen und eine nahtlose Zusammenarbeit und Zusammenarbeit zwischen Kollegen zu ermöglichen. Microsoft Sentinel bietet Ihnen eine umfassende Kommentarumgebung, die Ihnen dabei hilft.

Ein weiterer wichtige Vorteil, den Sie mit Kommentaren erreichen können, ist die automatische Anreicherung Ihrer Incidents. Wenn Sie ein Playbook für einen Incident ausführen, das relevante Informationen aus externen Quellen abruft (z. B. das Überprüfen einer Datei auf Schadsoftware bei VirusTotal), können Sie das Playbook veranlassen, die Antwort der externen Quelle – zusammen mit allen anderen von Ihnen festgelegten Informationen – in den Kommentaren des Incidents abzulegen.

Kommentare lassen sich einfach verwenden. Sie greifen auf der Seite mit den Incidentdetails über die Registerkarte Kommentare darauf zu.

Screenshot of viewing and entering comments.

Häufig gestellte Fragen

Bei der Verwendung von Incidentkommentaren müssen mehrere Aspekte berücksichtigt werden. Die folgende Liste mit Fragen verweist auf diese Aspekte.

Welche Arten von Eingaben werden unterstützt?

  • Text: Kommentare in Microsoft Sentinel unterstützen Texteingaben in den Formaten „Nur-Text“, einfaches HTML und Markdown. Sie können auch kopierten Text, HTML und Markdown in das Kommentarfenster einfügen.

  • Bilder: Sie können Links zu Bildern in Kommentare einfügen, und die Bilder werden inline angezeigt. Die Bilder müssen aber bereits an einem öffentlich zugänglichen Ort wie Dropbox, OneDrive, Google Drive usw. gehostet werden. Bilder können nicht direkt in Kommentare hochgeladen werden.

Gibt es ein Größenlimit für Kommentare?

  • Pro Kommentar: Ein einzelner Kommentar kann bis zu 30.000 Zeichen enthalten.

  • Pro Incident: Ein einzelner Incident kann bis zu 100 Kommentare enthalten.

    Hinweis

    Die Größenbeschränkung für einen einzelnen Incidentdatensatz in der TabelleSecurityIncident in Log Analytics beträgt 64 KB. Wenn dieser Grenzwert überschritten wird, werden Kommentare (beginnend mit dem ältesten) abgeschnitten, was sich auf die Kommentare auswirken kann, die in erweiterten Suchergebnissen angezeigt werden.

    Die tatsächlichen Incidentdatensätze in der Incidentdatenbank sind davon nicht betroffen.

Wer kann Kommentare bearbeiten oder löschen?

  • Bearbeiten: Nur der Autor eines Kommentars ist berechtigt, ihn zu bearbeiten.

  • Löschen: Nur Benutzer mit der Rolle Microsoft Sentinel-Mitwirkender verfügen über die Berechtigung zum Löschen von Kommentaren. Selbst der Autor des Kommentars muss über diese Rolle verfügen, um ihn löschen zu können.

Schließen eines Incidents

Nachdem Sie einen bestimmten Incident gelöst haben (beispielsweise dann, wenn die Untersuchung abgeschlossen wurde), sollten Sie den Status des Incidents auf Geschlossen festlegen. Dabei werden Sie gefragt, ob Sie den Incident klassifizieren möchten, indem Sie den Grund für die Schließung angeben. Dieser Schritt ist obligatorisch. Klicken Sie auf Klassifizierung auswählen, und wählen Sie aus der Dropdownliste eine der folgenden Optionen aus:

  • Richtig positiv – verdächtige Aktivität
  • Unschädlich positiv – verdächtig, aber erwartet
  • Falsch positiv – falsche Warnungslogik
  • Falsch positiv – falsche Daten
  • Unbestimmt

Screenshot that highlights the classifications available in the Select classification list.

Weitere Informationen zu falsch positiven und unbedenklichen positiven Ergebnissen finden Sie unter Behandeln falsch positiver Ergebnisse in Microsoft Sentinel

Nachdem Sie eine geeignete Klassifizierung ausgewählt haben, fügen Sie in das Feld Kommentar einen beschreibenden Text hinzu. Dies ist nützlich, falls Sie sich noch einmal auf diesen Incident beziehen müssen. Wenn Sie fertig sind, klicken Sie auf Anwenden. Der Incident wird geschlossen.

{alt-text}

Suchen nach Incidents

Um einen bestimmten Incident schnell zu finden, geben Sie eine Suchzeichenfolge in das Suchfeld oberhalb des Rasters „Incidents“ ein, und drücken Sie die EINGABETASTE, um die Liste der angezeigten Incidents entsprechend zu ändern. Wenn Ihr Incident nicht in den Ergebnissen enthalten ist, können Sie Ihre Suche mithilfe der erweiterten Suchoptionen einschränken.

Zum Ändern der Suchparameter wählen Sie die Schaltfläche Suchen und dann die Parameter aus, für die Sie die Suche ausgeführen möchten.

Beispiel:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Standardmäßig werden Incidentsuchvorgänge nur für die Werte Incident-ID, Titel, Tags, Besitzer und Produktname ausgeführt. Scrollen Sie im Suchbereich in der Liste nach unten, um einen oder mehrere weitere Parameter für die Suche auszuwählen, und wählen Sie Anwenden aus, um die Suchparameter zu aktualisieren. Wählen Sie Auf Standard festlegen, um die ausgewählten Parameter auf die Standardoption zurückzusetzen.

Hinweis

Bei der Suche im Feld Besitzer werden sowohl Namen als auch E-Mail-Adressen unterstützt.

Die Verwendung erweiterter Suchoptionen ändert das Suchverhalten wie folgt:

Suchverhalten BESCHREIBUNG
Farbe der Suchschaltfläche Die Farbe der Suchschaltfläche ändert sich abhängig von den Parametertypen, die jeweils in der Suche verwendet werden.
  • Solange nur die Standardparameter ausgewählt sind, ist die Schaltfläche grau.
  • Sobald verschiedene Parameter ausgewählt sind, z. B. erweiterte Suchparameter, wird die Schaltfläche blau.
Automatische Aktualisierung Die Verwendung von erweiterten Suchparametern verhindert, dass Sie die automatische Aktualisierung Ihrer Ergebnisse auswählen können.
Entitätsparameter Alle Entitätsparameter werden für erweiterte Suchvorgänge unterstützt. Bei der Suche in einem Entitätsparameter wird die Suche in allen Entitätsparametern ausgeführt.
Suchzeichenfolgen Die Suche nach einer Zeichenfolge enthält alle Wörter in der Suchabfrage. Bei Suchzeichenfolgen muss die Groß-/Kleinschreibung beachtet werden.
Arbeitsbereichsübergreifende Unterstützung Erweiterte Suchvorgänge werden für arbeitsbereichsübergreifende Ansichten nicht unterstützt.
Anzahl der angezeigten Suchergebnisse Wenn Sie erweiterte Suchparameter verwenden, werden jeweils nur 50 Ergebnisse angezeigt.

Tipp

Wenn Sie den gesuchten Incident nicht finden können, entfernen Sie Suchparameter, um Ihre Suche zu erweitern. Wenn Ihre Suchergebnisse zu viele Elemente enthalten, fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie mit der Untersuchung von Vorfällen mit Microsoft Sentinel beginnen. Weitere Informationen finden Sie unter