Incident Management

  • 5 Minuten

Wenn Sie damit begonnen haben, Microsoft Sentinel zum Generieren von Incidents zu verwenden, möchten Sie und das IT-Team von Contoso diese Incidents vermutlich auch untersuchen. Microsoft Sentinel bietet Tools für die erweiterte Untersuchung und Analyse, mit denen Sie Informationen sammeln und Wartungsschritte festlegen können.

Überprüfen von Incidents

Zunächst müssen Sie die Incidents untersuchen, um Probleme hinsichtlich der Sicherheit zu identifizieren und zu beheben. Die Seite Übersicht in Microsoft Sentinel enthält eine Liste der neuesten Incidents für einen schnellen Überblick. Weitere Details und eine vollständige Übersicht über die Incidents finden Sie auf der Seite Incidents, auf der alle Incidents im aktuellen Arbeitsbereich sowie Details zu diesen Incidents angezeigt werden.

Auf der Seite Incidents finden Sie eine umfassende Liste der Incidents in Microsoft Sentinel. Die Seite enthält auch grundlegende Informationen zu Incidents. Zu den Informationen gehören Schweregrad, ID, Titel, Warnungen, Produktnamen, Erstellungszeit, Zeitpunkt des letzten Updates, Besitzer und Status. Sie können nach einer beliebigen Incidentspalte sortieren und die Incidentliste nach Name, Schweregrad, Status, Produktname oder Besitzer filtern.

Screenshot of a list of incidents in Microsoft Sentinel.

Auf dieser Seite können Sie verschiedene Schritte durchführen, um Incidents zu untersuchen.

Wichtig

Microsoft Entra-Benutzer, die Vorfälle untersuchen, müssen Mitglieder der Rolle „Verzeichnisleser“ sein.

Überprüfen von Incidentdetails

Wählen Sie auf der Seite Incidents einen beliebigen Incident aus, um weitere Informationen zum Incident im rechten Bereich anzuzeigen. Dieser Bereich enthält eine Beschreibung des Incidents und listet die zugehörigen Beweise, Entitäten und Taktiken auf. Der Bereich enthält auch Links zu zugeordneten Arbeitsmappen und der analytischen Regel, die den Incident generiert hat. Diese Informationen können Ihnen dabei helfen, die Art, den Kontext und die Vorgehensweise für einen Incident näher zu erläutern.

Screenshot of the incident details pane.

Wählen Sie im Bereich Incidentdetails die Option Alle Informationen anzeigen aus, um die Seite Incident zu öffnen und weitere Informationen zum Incident anzuzeigen. Alle diese Details können Sie nutzen, um den Kontext des Incidents besser zu verstehen. Bei einem Brute-Force-Angriff könnten Sie beispielsweise mithilfe der Log Analytics-Abfrage für die Warnung die Anzahl der durchgeführten Angriffe ermitteln.

Verwalten von Besitz, Status und Schweregrad des Incidents

Jeder von Microsoft Sentinel erstellte Incident verfügt über angefügte Metadaten, die Sie anzeigen und verwalten können. Diese Informationen ermöglichen Folgendes:

  • Zuweisen und Nachverfolgen des Incidentbesitzes
  • Festlegen und Nachverfolgen des Status eines Incidents von der Erstellung bis zur Auflösung.
  • Festlegen und Überprüfen des Schweregrads.

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Besitz

In einer typischen Umgebung sollte jedem Incident vom Sicherheitsteam ein*e Besitzer*in zugewiesen werden. Der*Die Incidentbesitzer*in ist für die allgemeine Verwaltung des Incidents einschließlich Untersuchungen und Statusupdates zuständig. Sie können den Besitz jederzeit ändern, um den Incident einem anderen Mitglied des Sicherheitsteams zuzuweisen und weitere Untersuchungen oder Eskalationen durchzuführen.

Status

Jedem neuen Incident, der in Microsoft Sentinel erstellt wird, wird der Status Neu zugewiesen. Wenn Sie Incidents überprüfen und darauf reagieren, ändern Sie den Status manuell, um den aktuellen Status des Incidents wiederzugeben. Legen Sie für Incidents, die derzeit untersucht werden, den Status Aktiv fest. Wenn ein Incident vollständig aufgelöst ist, legen Sie den Status auf Geschlossen fest.

Wenn Sie den Status auf Geschlossen festlegen, werden Sie aufgefordert, eine der folgenden Lösungen auszuwählen:

  • True Positive: verdächtige Aktivität
  • Unschädlich positiv: verdächtig, aber erwartet
  • Falsch positiv: falsche Warnungslogik
  • Falsch positiv: falsche Daten
  • Unbestimmt

severity

Die Regel oder die Microsoft-Sicherheitsquelle, die den Incident generiert hat, legt zunächst den Schweregrad fest. In den meisten Fällen bleibt der Schweregrad des Incidents unverändert, aber Sie können den Schweregrad manuell ändern, wenn Sie der Ansicht sind, dass der Incident eine größere oder geringere Gefahr darstellt als ursprünglich klassifiziert. Zu den Optionen für den Schweregrad zählen Information, Niedrig, Mittel und Hoch.

Verwenden des Untersuchungsdiagramms

Sie können eine weitere Untersuchung eines Incidents durchführen, indem Sie auf der Seite Incident auf Untersuchen klicken. Mit dieser Aktion wird das Untersuchungsdiagramm geöffnet. Dieses visuelle Tool ermöglicht das Identifizieren der an dem Angriff beteiligten Entitäten und der Beziehungen zwischen diesen Entitäten. Wenn der Incident im Laufe der Zeit mehrere Warnungen umfasst, können Sie auch die Warnungszeitachse und Korrelationen zwischen Warnungen überprüfen.

The screenshot shows the investigation graph.

Überprüfen von Entitätsdetails

Sie können jede Entität im Diagramm auswählen, um weitere Informationen zur Entität zu erhalten. Diese Informationen enthalten Beziehungen zu anderen Entitäten, die Kontonutzung sowie Informationen zum Datenfluss. Sie können für jeden Informationsbereich zu den verknüpften Ereignissen in Log Analytics navigieren und die zugehörigen Warnungsdaten in das Diagramm einfügen.

Überprüfen von Incidentdetails

Sie können das Incidentelement im Diagramm auswählen, um Incidentmetadaten im Zusammenhang mit dem Sicherheits- und Umgebungskontext des Incidents zu beobachten.

Überprüfen Sie Ihr Wissen

1.

Welchen Incidentparameter sollten Sie ändern, um einen Incident an das Sicherheitsteam der nächsten Stufe zu eskalieren?

2.

Welche Microsoft Sentinel-Schnittstelle ermöglicht es Benutzer*innen, Zeitachsen und Beziehungen zwischen Incidentressourcen anzuzeigen?