A Microsoft Sentinel incidensvizsgálati és esetkezelési képességeinek ismertetése
A Microsoft Sentinel teljes körű esetkezelési platformot biztosít a biztonsági incidensek kivizsgálására és kezelésére. Az incidensek a Microsoft Sentinel neve olyan esetfájlokhoz, amelyek egy biztonsági fenyegetés teljes és folyamatosan frissített kronológiáját tartalmazzák, legyen szó akár egyes bizonyítékokról (riasztásokról), gyanúsítottakról és érdekelt felekről (entitásokról), biztonsági szakértők és AI-/gépi tanulási modellek által gyűjtött és válogatott megállapításokról, vagy a vizsgálat során végrehajtott összes művelet megjegyzéseiről és naplóiról.
A Microsoft Sentinel incidensvizsgálati felülete az Incidensek oldallal kezdődik– ez egy új felület, amellyel mindent megkaphat, amire szüksége van a vizsgálathoz. Ennek az új élménynek a fő célja az SOC hatékonyságának és hatékonyságának növelése, a megoldás átlagos idejének csökkentése (MTTR).
Ez a cikk végigvezeti egy tipikus incidensvizsgálat fázisain, bemutatva a rendelkezésére álló összes kijelzőt és eszközt, amelyek segítenek önnek.
Az SOC érettségének növelése
A Microsoft Sentinel biztosítja azokat az eszközöket, amelyekkel a biztonsági műveletek (SecOps) érettségi szintje magasabb szintre emelheti.
Folyamatok szabványosítása
Az incidensfeladatok olyan munkafolyamat-listák, amelyeket az elemzők követnek az egységes ellátási szint biztosítása és a kritikus lépések kihagyásának megakadályozása érdekében. Az SOC-vezetők és a mérnökök fejleszthetik ezeket a feladatlistákat, és szükség szerint automatikusan alkalmazhatják őket a különböző incidenscsoportokra vagy a teljes táblára. Az SOC-elemzők ezután hozzáférhetnek a hozzárendelt feladatokhoz az egyes incidenseken belül, és megjelölhetik őket a befejezésükkor. Az elemzők manuálisan is hozzáadhatnak feladatokat a nyitott incidensekhez, akár önemlékezésként, akár más elemzők javára, akik együttműködhetnek az incidensen (például műszakváltás vagy eszkaláció miatt).
További információ az incidensfeladatokról.
Incidenskezelés naplózása
Az incidenstevékenység naplója nyomon követi az incidensen végrehajtott műveleteket, akár emberek vagy automatizált folyamatok kezdeményezik, és megjeleníti őket az incidenshez fűzött összes megjegyzéssel együtt. Itt is hozzáadhat saját megjegyzéseket. Teljes körű nyilvántartást nyújt mindenről, ami történt, biztosítva az alaposságot és az elszámoltathatóságot.
Hatékony és hatékony vizsgálat
Ütemterv megtekintése
Először is: Elemzőként a legalapvetőbb kérdés, amire válaszolni szeretne, miért kerül a figyelmembe ez az incidens? Ha beírja az incidens részleteit tartalmazó oldalt, az választ ad erre a kérdésre: közvetlenül a képernyő közepén megjelenik az Incidens idővonal widget. Az idővonal az összes riasztás naplója, amely a vizsgálat szempontjából releváns összes naplózott eseményt ábrázolja a történtek sorrendjében. Az idővonal könyvjelzőket, a vadászat során gyűjtött és az incidenshez hozzáadott bizonyítékok pillanatképeit is megjeleníti. A lista elemeinek részletes leírását a kijelöléssel tekintheti meg. Ezen részletek közül számos – például az eredeti riasztás, a létrehozott elemzési szabály és a könyvjelzők – hivatkozásként jelenik meg, amelyeket kiválasztva részletesebben is elmélyülhet, és további információkat tudhat meg.
További információ az incidens idővonalán elvégezhető műveletekről.
További információ a hasonló incidensekről
Ha bármi, amit eddig látott az incidensben, ismerősnek tűnik, lehet, hogy jó oka van. A Microsoft Sentinel egy lépéssel előrébb tart, ha a nyitotthoz leginkább hasonló incidenseket jeleníti meg. A Hasonló incidensek widget a legrelevánsabb információkat jeleníti meg a hasonlónak ítélt incidensekről, beleértve az utolsó frissítés dátumát és időpontját, az utolsó tulajdonost, az utolsó állapotot (beleértve, ha bezárták őket, a lezárás okát), valamint a hasonlóság okát.
Ez többféleképpen is előnyös lehet a vizsgálat számára:
- Észlelheti az egyidejű incidenseket, amelyek egy nagyobb támadási stratégia részét képezhetik.
- A jelenlegi vizsgálat referenciapontjaként használjon hasonló incidenseket – tekintse meg, hogyan kezelték őket.
- Azonosítsa a korábbi hasonló incidensek tulajdonosait, hogy kihasználhassák tudásukat.
A widget a 20 legtöbb hasonló incidenst mutatja be. A Microsoft Sentinel dönti el, hogy mely incidensek hasonlítanak hasonlók az olyan gyakori elemek alapján, mint az entitások, a forráselemzési szabály és a riasztás részletei. Ebből a widgetből közvetlenül bármelyik incidens részletes lapjára ugorhat, miközben érintetlenül tarthatja az aktuális incidenshez való kapcsolatot.
További információ a hasonló incidensekkel kapcsolatos teendőkről.
A legfontosabb megállapítások vizsgálata
A következőkben a történtek (vagy még mindig zajló események) széles körű körvonalait ismerve, és jobban megértve a kontextust, kíváncsi lesz arra, hogy a Microsoft Sentinel milyen érdekes információkat talált már önnek. Automatikusan felteheti a nagy kérdéseket az incidens entitásaival kapcsolatban, és megjeleníti a leggyakoribb válaszokat a Top insights widgetben, amely az incidens részleteinek jobb oldalán látható. Ez a widget a gépi tanulás elemzésén és a biztonsági szakértők felső csoportjainak képzésén alapuló elemzések gyűjteményét mutatja be.
Ezek az entitásoldalakon megjelenő elemzések egy speciálisan kijelölt részhalmazai, de ebben a kontextusban az incidensben szereplő összes entitásra vonatkozó elemzések együtt jelennek meg, így teljesebb képet kaphat arról, hogy mi történik. Az elemzések teljes készlete az Entitások lapon jelenik meg, mindegyik entitáshoz külön-külön – lásd alább.
A Top Insights widget választ ad az entitás viselkedésével kapcsolatos kérdésekre a társaihoz és a saját előzményeihez, a figyelőlistákon vagy a fenyegetésfelderítésben való jelenlétéhez, vagy bármilyen más, vele kapcsolatos szokatlan eseményhez képest.
A legtöbb ilyen megállapítás további információkra mutató hivatkozásokat tartalmaz. Ezek a hivatkozások kontextusban nyitják meg a Naplók panelt, ahol az adott megállapítás forrás lekérdezése és az eredmények jelennek meg.
Entitások megtekintése
Most, hogy van néhány kontextus és néhány alapvető kérdés megválaszolva, érdemes részletesebben megismerkednie a történet főbb szereplőivel. A felhasználónevek, a gazdagépnevek, az IP-címek, a fájlnevek és más típusú entitások mind "érdeklődésre számot tartó személyek" lehetnek a vizsgálat során. A Microsoft Sentinel megtalálja az összeset, és megjeleníti őket az Entitások widgetben, az idővonal mellett. Ha kiválaszt egy entitást ebből a widgetből, az ugyanazon incidensoldal Entitások lapján az adott entitás listában jelenik meg.
Az Entitások lap az incidensben szereplő összes entitás listáját tartalmazza. Amikor kijelöl egy entitást a listában, megnyílik egy oldalpanel, amely az entitáslapon alapuló megjelenítést tartalmazza. Az oldalpanel három kártyát tartalmaz:
Az információ alapvető információkat tartalmaz az entitásról. A felhasználói fiók entitásai lehetnek például a felhasználónév, a tartománynév, a biztonsági azonosító (SID), a szervezeti információk, a biztonsági információk stb.
Az idősor tartalmazza az entitást és az entitás által végrehajtott tevékenységeket jellemző riasztások listáját, amelyeket az entitást megjelenítő naplókból gyűjtöttek össze.
Elemzések válaszokat tartalmaz az entitás viselkedésével kapcsolatos kérdésekre a társaihoz és a saját előzményeihez képest, a figyelőlistákon vagy a fenyegetésfelderítésben való jelenlétére, vagy bármilyen más, vele kapcsolatos szokatlan eseményre. Ezek a válaszok a Microsoft biztonsági kutatói által meghatározott lekérdezések eredményei, amelyek értékes és környezetfüggő biztonsági információkat nyújtanak az entitásokról egy forrásgyűjtemény adatai alapján.
2023 novemberétől a Elemzések panel az előzetes verzióban elérhető elemzések következő generációját tartalmazza bővítő widgetek formájában a meglévő megállapítások mellett. Az új widgetek előnyeinek kihasználásához engedélyeznie kell a widget használatát.
Az entitás típusától függően számos további műveletet hajthat végre az oldalpanelen:
- Az entitás teljes entitásoldalára forgatva még több részletet kaphat hosszabb idő alatt, vagy elindíthatja az adott entitásra összpontosító grafikus vizsgálati eszközt.
- Forgatókönyv futtatásával konkrét válasz- vagy szervizelési műveleteket hajthat végre az entitáson (előzetes verzióban).
- Osztályozza az entitást a biztonsági rés (IOC) jelzéseként, és adja hozzá a fenyegetésfelderítési listához.
Ezek a műveletek jelenleg bizonyos entitástípusok esetében támogatottak, másoknál nem. Az alábbi táblázat azt mutatja be, hogy mely műveletek támogatottak az entitástípusok esetében:
| Elérhető műveletek ▶ Entitástípusok ▼ |
Az összes részlet megtekintése (entitásoldalon) |
Hozzáadás a TI-hez * | Forgatókönyv futtatása * előzetes verziója? |
|---|---|---|---|
| Felhasználói fiók | ✔ | ✔ | |
| Gazdagép | ✔ | ✔ | |
| IP-cím | ✔ | ✔ | ✔ |
| URL-cím | ✔ | ✔ | |
| Tartománynév | ✔ | ✔ | |
| Fájl (kivonat) | ✔ | ✔ | |
| Azure-erőforrás | ✔ | ||
| IoT-eszköz | ✔ |
* Azoknál az entitásoknál, amelyekhez elérhető a Hozzáadás a TI-hez vagy a Forgatókönyv futtatása művelet, ezeket a műveleteket közvetlenül az Áttekintés lap Entitások widgetéből hajthatja végre, és soha nem hagyhatja el az incidensoldalt.
Naplók felfedezése
Most szeretné megismerni a részleteket, hogy megtudja, mi történt pontosan? A fent említett helyek szinte bármelyikéből részletesen megvizsgálhatja az incidensben található egyes riasztásokat, entitásokat, megállapításokat és egyéb elemeket, és megtekintheti az eredeti lekérdezést és annak eredményeit. Ezek az eredmények a Naplók (log analytics) képernyőn jelennek meg, amely az incidens részletei lap panelkiterjesztéseként jelenik meg, így nem hagyhatja el a vizsgálat kontextusát.
A rekordok sorrendben tartása
Végül az átláthatóság, az elszámoltathatóság és a folytonosság érdekében az incidens során végrehajtott összes műveletről nyilvántartást kell készítenie, akár automatizált folyamatok, akár emberek részéről. Az incidenstevékenység naplója megjeleníti az összes ilyen tevékenységet. Megtekintheti az elvégzett megjegyzéseket is, és hozzáadhatja a sajátját. A tevékenységnapló folyamatosan automatikusan frissül, még nyitott állapotban is, így valós időben láthatja a módosításokat.
Következő lépések
Ebben a dokumentumban megtanulta, hogy a Microsoft Sentinel incidensvizsgálati felülete hogyan segíti a vizsgálat egyetlen környezetben történő elvégzését. Az incidensek kezelésével és kivizsgálásával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
- Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben
- Entitások vizsgálata entitáslapokkal a Microsoft Sentinelben.
- Automatizálási szabályokkal automatizálhatja az incidenskezelést a Microsoft Sentinelben.
- Speciális fenyegetések azonosítása a Microsoft Sentinel felhasználói és entitásviselkedési elemzésével (UEBA)
- Keresse meg a biztonsági fenyegetéseket.