Incidensek vizsgálata a Microsoft Sentinellel

Fontos

A feljegyzett funkciók jelenleg előzetes verzióban érhetők el. Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon általánosan még nem elérhető Azure-funkciókra vonatkoznak.

Ez a cikk segítséget nyújt a Microsoft Sentinel incidenseinek kivizsgálásában. Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, szeretne értesítést kapni, ha valami gyanús történik. Ennek lehetővé tétele érdekében a Microsoft Sentinel lehetővé teszi olyan speciális elemzési szabályok létrehozását, amelyek incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat.

Ez a cikk a következőket ismerteti:

  • Incidensek vizsgálata
  • A vizsgálati gráf használata
  • Reagálás a fenyegetésekre

Az incidensek több riasztást is tartalmazhatnak. Ez egy adott vizsgálathoz szükséges összes bizonyíték összesítése. Az incidens az Elemzés oldalon létrehozott elemzési szabályok alapján jön létre. A riasztásokhoz kapcsolódó tulajdonságok, például a súlyosság és az állapot az incidens szintjén vannak beállítva. Miután tudatta a Microsoft Sentinellel, hogy milyen típusú fenyegetéseket keres, és hogyan találja meg őket, az incidensek vizsgálatával figyelheti az észlelt fenyegetéseket.

Előfeltételek

  • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

  • Ha van egy vendégfelhasználója, akinek incidenseket kell hozzárendelnie, a felhasználóhoz hozzá kell rendelni a címtárolvasó szerepkört a Azure AD bérlőben. A normál (nem vendég) felhasználókhoz alapértelmezés szerint hozzá van rendelve ez a szerepkör.

Incidensek vizsgálata

  1. Válassza az Incidensek lehetőséget. Az Incidensek oldalon megtudhatja , hogy hány incidense van, és hogy újak, aktívak vagy lezártak-e. Az egyes incidensek esetében láthatja az esemény bekövetkezésének időpontját és állapotát. A súlyosság alapján döntse el, hogy mely incidenseket kell először kezelnie.

    Képernyőkép az incidens súlyosságának nézetéről.

  2. Szükség szerint szűrheti az incidenseket, például állapot vagy súlyosság szerint. További információ: Incidensek keresése.

  3. A vizsgálat megkezdéséhez válasszon ki egy adott incidenst. A jobb oldalon részletes információkat láthat az incidensről, beleértve annak súlyosságát, az érintett entitások számának összegzését, az incidenst kiváltó nyers eseményeket, az incidens egyedi azonosítóját, valamint a MITRE ATT&CK-taktikákat és technikákat.

  4. Az incidensben szereplő riasztásokkal és entitásokkal kapcsolatos további részletek megtekintéséhez válassza a Teljes részletek megtekintése lehetőséget az incidens oldalán, és tekintse át az incidens adatait összegző megfelelő lapokat.

    Képernyőkép a riasztás részleteinek nézetéről.

    • Az Idősor lapon tekintse át az incidens riasztásainak és könyvjelzőinek idővonalát, amely segíthet rekonstruálni a támadó tevékenységének idővonalát.

    • A Hasonló incidensek (előzetes verzió) lapon legfeljebb 20 további incidenst láthat, amelyek a leginkább hasonlítanak az aktuális incidensre. Ez lehetővé teszi az incidens nagyobb kontextusban való megtekintését, és segít a vizsgálat irányításában. A hasonló incidensekről az alábbiakban talál további információt.

    • A Riasztások lapon tekintse át az incidensben szereplő riasztásokat. Látni fogja a riasztásokkal kapcsolatos összes releváns információt – az azokat előállító elemzési szabályokat, az egyes riasztásokra visszaadott eredmények számát, valamint a forgatókönyvek futtatásának képességét a riasztásokon. Az incidens további részletezéséhez válassza ki az események számát. Ez megnyitja az eredményeket létrehozó lekérdezést, valamint a riasztást kiváltó eseményeket a Log Analyticsben.

    • A Könyvjelzők lapon láthatja az ön vagy más nyomozók által az incidenshez kapcsolódó könyvjelzőket. További információ a könyvjelzőkről.

    • Az Entitások lapon láthatja a riasztási szabály definíciójának részeként leképezett összes entitást. Ezek azok az objektumok, amelyek szerepet játszottak az incidensben, legyen szó felhasználókról, eszközökről, címekről, fájlokról vagy bármilyen más típusról.

    • Végül a Megjegyzések lapon hozzáadhatja megjegyzéseit a vizsgálathoz, és megtekintheti a többi elemző és nyomozó megjegyzéseit. További információ a megjegyzésekről.

  5. Ha aktívan vizsgálja az incidenst, érdemes az incidens állapotát Aktív értékre állítani, amíg be nem zárja.

  6. Az incidensek hozzárendelhetők egy adott felhasználóhoz vagy csoporthoz. Minden incidenshez tulajdonost rendelhet a Tulajdonos mező beállításával. Minden incidens hozzárendelés nélküliként kezdődik. Megjegyzéseket is hozzáadhat, így más elemzők is megérthetik, hogy mit vizsgált meg, és milyen aggályai vannak az incidenssel kapcsolatban.

    Képernyőkép az incidens felhasználóhoz való hozzárendeléséről.

    A legutóbb kijelölt felhasználók és csoportok a képen látható legördülő lista tetején jelennek meg.

  7. Válassza a Vizsgálat lehetőséget a vizsgálati térkép megtekintéséhez.

A vizsgálati gráf használata a részletes elemzéshez

A vizsgálati gráf lehetővé teszi az elemzők számára, hogy minden vizsgálathoz megfelelő kérdéseket tegyenek fel. A vizsgálati gráf segítségével megismerheti a potenciális biztonsági fenyegetések hatókörét és kiváltó okát, és összevetheti a releváns adatokat az érintett entitásokkal. Részletesebben is megvizsgálhatja a gráfban megjelenő entitásokat, ha kiválasztja azt, és kiválasztja a különböző bővítési lehetőségeket.

A vizsgálati gráf a következőket biztosítja:

  • Vizuális környezet nyers adatokból: Az élő, vizualizációs gráf a nyers adatokból automatikusan kinyert entitáskapcsolatokat jeleníti meg. Ez lehetővé teszi a különböző adatforrások közötti kapcsolatok egyszerű megtekintését.

  • Teljes vizsgálati hatókör-felderítés: A vizsgálati hatókör bővítése beépített feltárási lekérdezésekkel a biztonsági incidensek teljes hatókörének feltárásához.

  • Beépített vizsgálati lépések: Előre definiált feltárási lehetőségekkel gondoskodhat arról, hogy a megfelelő kérdéseket tegye fel egy fenyegetéssel szemben.

A vizsgálati gráf használata:

  1. Jelöljön ki egy incidenst, majd válassza a Vizsgálat lehetőséget. Ezzel megnyitja a vizsgálati gráfot. A gráf szemléltető térképet biztosít a riasztáshoz közvetlenül kapcsolódó entitásokról és a további csatlakoztatott erőforrásokról.

    Térkép megtekintése.

    Fontos

    • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

    • A Microsoft Sentinel jelenleg 30 naposnál régebbi incidensek kivizsgálását támogatja.

  2. Válasszon ki egy entitást az Entitások panel megnyitásához, hogy áttekinthesse az entitásra vonatkozó információkat.

    Entitások megtekintése a térképen

  3. Bontsa ki a vizsgálatot úgy, hogy az egyes entitások fölé viszi az egérmutatót, hogy megjelenítse a biztonsági szakértők és elemzők által entitástípusonként tervezett kérdések listáját a vizsgálat elmélyítése érdekében. Ezeket a lehetőségeket feltáró lekérdezéseknek nevezzük.

    További részletek

    Kérhet például kapcsolódó riasztásokat. Ha egy feltárási lekérdezést választ, az eredményként kapott feljogosító adatok visszakerülnek a gráfba. Ebben a példában a Kapcsolódó riasztások kiválasztása a következő riasztásokat eredményezte a grafikonon:

    Képernyőkép: kapcsolódó riasztások megtekintése

    Láthatja, hogy a kapcsolódó riasztások pontozott vonalakkal kapcsolódnak az entitáshoz.

  4. Az egyes feltárási lekérdezések esetében az Események> lehetőség kiválasztásával megnyithatja a nyers eseményeredményeket és a Log Analyticsben használt lekérdezést.

  5. Az incidens megértéséhez a gráf párhuzamos ütemtervet biztosít.

    Képernyőkép: ütemterv megtekintése a térképen.

  6. Vigye az egérmutatót az ütemterv fölé, és nézze meg, hogy a gráfon mely dolgok történtek az adott időpontban.

    Képernyőkép: az ütemterv használata a térképen a riasztások vizsgálatához.

A vizsgálat fókuszba helyezése

Megtudhatja, hogyan bővítheti vagy szűkítheti a vizsgálat hatókörét úgy, hogy riasztásokat ad hozzá az incidensekhez, vagy eltávolítja a riasztásokat az incidensekből.

Hasonló incidensek (előzetes verzió)

Biztonsági üzemeltetési elemzőként az incidensek kivizsgálásakor érdemes figyelni a nagyobb kontextusra. Például azt szeretné megtudni, hogy történtek-e már ilyen incidensek korábban vagy most.

  • Érdemes lehet azonosítani az egyidejű incidenseket, amelyek ugyanannak a nagyobb támadási stratégiának a részei lehetnek.

  • Előfordulhat, hogy a korábbi hasonló incidenseket szeretné referenciapontként használni a jelenlegi vizsgálathoz.

  • Előfordulhat, hogy azonosítani szeretné a korábbi hasonló incidensek tulajdonosait, hogy megkeresse azokat a személyeket az SOC-ben, akik több kontextust biztosíthatnak, vagy akiknek eszkalálhatja a nyomozást.

A hasonló incidensek lap az incidens részletei oldalon, amely most előzetes verzióban érhető el, akár 20 további incidenst is bemutat, amelyek a leginkább hasonlítanak az aktuálishoz. A hasonlóságot belső Microsoft Sentinel-algoritmusok számítják ki, és az incidensek rendezése és megjelenítése a hasonlóság csökkenő sorrendjében történik.

Képernyőkép a hasonló incidensek megjelenítéséről.

Hasonlóság kiszámítása

A hasonlóság három feltétel alapján határozható meg:

  • Hasonló entitások: Egy incidens hasonlónak minősül egy másik incidenshez, ha mindkettő ugyanazokat az entitásokat tartalmazza. Minél több entitásban fordul elő két incidens, annál hasonlóbbnak tekinthetők.

  • Hasonló szabály: Az incidensek hasonlónak minősülnek egy másik incidenshez, ha mindkettőt ugyanaz az elemzési szabály hozta létre.

  • Hasonló riasztás részletei: Az incidens hasonlónak minősül egy másik incidenshez, ha ugyanazzal a címmel, terméknévvel és/vagy egyéni adatokkal rendelkeznek.

Az incidensek hasonló incidensek listájában megjelenő okai a Hasonlóság ok oszlopban jelennek meg. Vigye az egérmutatót az információ ikonra a gyakori elemek (entitások, szabálynév vagy részletek) megjelenítéséhez.

Képernyőkép a hasonló incidens részleteinek előugró megjelenítéséről.

Hasonlóság időkerete

Az incidensek hasonlóságát az incidens utolsó tevékenységét megelőző 14 nap adatai alapján számítjuk ki, amelyek az incidens legutóbbi riasztásának befejezési időpontjai.

Az incidensek hasonlóságát a rendszer minden alkalommal újraszámítja, amikor belép az incidens részletei oldalra, így az eredmények munkamenetek között változhatnak, ha új incidenseket hoztak létre vagy frissítettek.

Megjegyzések az incidensekhez

Biztonsági üzemeltetési elemzőként az incidensek kivizsgálásakor alaposan dokumentálni kell az ön által végrehajtott lépéseket, mind a vezetőségnek való pontos jelentéskészítés, mind pedig a munkatársak közötti zökkenőmentes együttműködés és együttműködés érdekében. A Microsoft Sentinel gazdag megjegyzéseket tartalmazó környezetet biztosít, amely segít ennek megvalósításában.

Egy másik fontos dolog, amit megjegyzésekkel tehet, az incidensek automatikus bővítése. Amikor egy olyan incidens forgatókönyvét futtatja, amely külső forrásokból kér le releváns információkat (például egy víruskeresési fájlt a VirusTotalban), a forgatókönyvben elhelyezheti a külső forrás válaszát – az Ön által megadott egyéb információkkal együtt – az incidens megjegyzéseiben.

A megjegyzések egyszerűen használhatók. Ezeket az incidens részleteit tartalmazó lapon, a Megjegyzések lapon érheti el őket.

Képernyőkép a megjegyzések megtekintéséről és beírásáról.

Gyakori kérdések

Az incidensekkel kapcsolatos megjegyzések használatakor több szempontot is figyelembe kell venni. Az alábbi kérdéslista ezekre a szempontokra mutat.

Milyen típusú bemenetek támogatottak?

  • SMS: A Microsoft Sentinel megjegyzései egyszerű szöveges, egyszerű HTML- és Markdown-szövegbevitelt támogatnak. Másolt szöveget, HTML-t és Markdownt is beilleszthet a megjegyzésablakba.

  • Képek: Megjegyzésbe beszúrhat képekre mutató hivatkozásokat, és a képek beágyazottan jelennek meg, de a képeket már nyilvánosan elérhető helyen kell tárolni, például a Dropboxban, a OneDrive-on, a Google Drive-on és hasonlókban. A képek nem tölthetők fel közvetlenül a megjegyzésekbe.

Van méretkorlát a megjegyzésekre?

  • Megjegyzésenként: Egyetlen megjegyzés legfeljebb 30 000 karaktert tartalmazhat.

  • Incidensenként: Egyetlen incidens legfeljebb 100 megjegyzést tartalmazhat.

    Megjegyzés

    A Log Analytics SecurityIncident táblájában található egyetlen incidensrekord méretkorlátja 64 KB. Ha túllépi ezt a korlátot, a (legkorábbitól kezdődő) megjegyzések csonkulnak, ami hatással lehet a speciális keresési eredményekben megjelenő megjegyzésekre.

    Az incidensek adatbázisának tényleges incidensrekordjai nem lesznek hatással.

Ki szerkesztheti vagy törölheti a megjegyzéseket?

  • Szerkesztés: Csak a megjegyzés szerzője rendelkezik szerkesztési engedéllyel.

  • Törlés: Csak a Microsoft Sentinel közreműködői szerepkörrel rendelkező felhasználóknak van engedélye a megjegyzések törlésére. A törléshez még a megjegyzés szerzőjének is rendelkeznie kell ezzel a szerepkörével.

Incidens bezárása

Miután megoldott egy adott incidenst (például amikor a vizsgálat elérte a következtetést), az incidens állapotát Lezárt értékre kell állítania. Amikor ezt teszi, a rendszer megkéri, hogy sorolja be az incidenst a lezárás okának megadásával. Ez a lépés kötelező. Kattintson a Besorolás kiválasztása gombra , és válasszon az alábbiak közül a legördülő listából:

  • Valós pozitív – gyanús tevékenység
  • Jóindulatú pozitív – gyanús, de nem váratlan
  • Álpozitív – helytelen riasztási logika
  • Álpozitív – helytelen adatok
  • Meghatározatlan

Képernyőkép a Besorolás kiválasztása listában elérhető besorolásokról.

A téves és jóindulatú pozitív értékekről további információt a Microsoft Sentinel hamis pozitívok kezelése című témakörben talál.

A megfelelő besorolás kiválasztása után adjon hozzá egy leíró szöveget a Megjegyzés mezőben. Ez akkor hasznos, ha vissza kell hivatkoznia erre az incidensre. Ha elkészült, kattintson az Alkalmaz gombra, és az incidens lezárul.

{alt-text}

Incidensek keresése

Egy adott incidens gyors megkereséséhez írjon be egy keresési sztringet az incidensek rácsa feletti keresőmezőbe, és nyomja le az Enter billentyűt az incidensek listájának megfelelő módosításához. Ha az incidens nem szerepel az eredmények között, érdemes lehet a speciális keresési beállítások használatával szűkíteni a keresést.

A keresési paraméterek módosításához kattintson a Keresés gombra, majd válassza ki azokat a paramétereket, ahol futtatni szeretné a keresést.

Például:

Képernyőkép az incidens keresőmezője és gombja az alapszintű és/vagy speciális keresési lehetőségek kiválasztásához.

Alapértelmezés szerint az incidenskeresések csak az incidensazonosító, a cím, a címkék, a tulajdonos és a terméknév értékén futnak. A keresési panelen görgessen le a listában egy vagy több további keresendő paraméter kiválasztásához, majd válassza az Alkalmaz lehetőséget a keresési paraméterek frissítéséhez. A Beállítás elemet választva állítsa alaphelyzetbe a kijelölt paramétereket az alapértelmezett beállításra.

Megjegyzés

A Tulajdonos mezőben végzett keresések a neveket és az e-mail-címeket egyaránt támogatják.

A speciális keresési beállítások használata az alábbiak szerint változtatja meg a keresési viselkedést:

Keresési viselkedés Description
Keresés gomb színe A keresési gomb színe a keresésben jelenleg használt paraméterek típusától függően változik.
  • Amíg csak az alapértelmezett paraméterek vannak kiválasztva, a gomb szürke.
  • Amint különböző paramétereket választ ki, például speciális keresési paramétereket, a gomb kék színűre változik.
Automatikus frissítés A speciális keresési paraméterek használatával nem lehet automatikusan frissíteni a találatokat.
Entitásparaméterek A speciális keresésekhez minden entitásparaméter támogatott. Ha bármely entitásparaméterben keres, a keresés az összes entitásparaméterben lefut.
Keresés a sztringekben A szavak sztringjének keresése magában foglalja a keresési lekérdezésben szereplő összes szót. A keresési sztringek megkülönböztetik a kis- és nagybetűket.
Munkaterületek közötti támogatás A több munkaterületet felölelő nézetek esetén nem támogatott az összetett keresés.
A megjelenített keresési eredmények száma Ha speciális keresési paramétereket használ, egyszerre csak 50 találat jelenik meg.

Tipp

Ha nem találja a keresett incidenst, távolítsa el a keresési paramétereket a keresés kibontásához. Ha a keresés túl sok elemet eredményez, további szűrők hozzáadásával szűkítheti a találatokat.

Következő lépések

Ebből a cikkből megtudhatja, hogyan kezdheti meg az incidensek kivizsgálását a Microsoft Sentinel használatával. További információkért lásd: