Incidensek vizsgálata a Microsoft Sentinellel

  • Cikk

Fontos

A feljegyzett funkciók jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Ez a cikk segítséget nyújt a Microsoft Sentinellel kapcsolatos incidensek kivizsgálásában. Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, értesítést szeretne kapni, ha valami gyanús történik. Ennek engedélyezéséhez a Microsoft Sentinel lehetővé teszi, hogy speciális elemzési szabályokat hozzon létre, amelyek incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat.

Ez a cikk a következőket ismerteti:

  • Incidensek vizsgálata
  • A vizsgálati gráf használata
  • Reagálás a fenyegetésekre

Az incidensek több riasztást is tartalmazhatnak. Ez egy adott nyomozás összes bizonyítékának összesítése. Az incidens az Elemzés lapon létrehozott elemzési szabályok alapján jön létre. A riasztásokhoz kapcsolódó tulajdonságok, például a súlyosság és az állapot az incidens szintjén vannak beállítva. Miután tudatta a Microsoft Sentinellel, hogy milyen típusú fenyegetéseket keres, és hogyan találja meg őket, az incidensek vizsgálatával figyelheti az észlelt fenyegetéseket.

Előfeltételek

  • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

  • Ha van egy vendégfelhasználója, akinek incidenseket kell hozzárendelnie, a felhasználóhoz hozzá kell rendelni a Címtárolvasó szerepkört a Microsoft Entra-bérlőben. A normál (nem vendég) felhasználók alapértelmezés szerint hozzárendelik ezt a szerepkört.

Incidensek vizsgálata

  1. Válassza az Incidensek lehetőséget. Az Incidensek lapon megtudhatja , hogy hány incidense van, és hogy újak, aktívak vagy lezártak-e. Az egyes incidensek esetében láthatja az incidens időpontját és állapotát. Nézze meg a súlyosságot, hogy eldöntse, melyik incidenseket kell először kezelnie.

    Screenshot of view of incident severity.

  2. Szükség szerint szűrheti az incidenseket, például állapot vagy súlyosság szerint. További információ: Incidensek keresése.

  3. A vizsgálat megkezdéséhez válasszon ki egy adott incidenst. A jobb oldalon részletes információkat talál az incidensről, beleértve annak súlyosságát, az érintett entitások számának összegzését, az incidenst kiváltó nyers eseményeket, az incidens egyedi azonosítóját, valamint a MITRE ATT&CK taktikáit vagy technikáit.

  4. Az incidens riasztásaival és entitásaival kapcsolatos további részletek megtekintéséhez válassza a Teljes adatok megtekintése lehetőséget az incidensoldalon, és tekintse át az incidens adatait összegző megfelelő lapokat.

    Screenshot of view of alert details.

    • Az Ütemterv lapon tekintse át az incidensben szereplő riasztások és könyvjelzők idővonalát, amely segíthet rekonstruálni a támadói tevékenység ütemtervét.

    • A Hasonló incidensek (előzetes verzió) lapon legfeljebb 20 további incidensből álló gyűjtemény jelenik meg, amelyek leginkább hasonlítanak az aktuális incidensre. Ez lehetővé teszi az incidens nagyobb kontextusban való megtekintését, és segít a nyomozás irányításában. További információ az alábbi hasonló incidensekről.

    • A Riasztások lapon tekintse át az incidensben szereplő riasztásokat. Látni fogja a riasztásokkal kapcsolatos összes releváns információt– az azokat előállító elemzési szabályokat, a riasztásonként visszaadott eredmények számát, valamint a forgatókönyvek futtatásának lehetőségét a riasztásokon. Az incidens további részletezéséhez válassza ki az események számát. Ez megnyitja az eredményeket létrehozó lekérdezést, valamint azokat az eseményeket, amelyek aktiválták a riasztást a Log Analyticsben.

    • A Könyvjelzők lapon láthatja az incidenshez kapcsolódó könyvjelzőket, amelyeket Ön vagy más nyomozók társítottak. További információ a könyvjelzőkről.

    • Az Entitások lapon láthatja a riasztási szabály definíciójának részeként leképezett összes entitást. Ezek azok az objektumok, amelyek szerepet játszottak az incidensben, legyen szó felhasználókról, eszközökről, címekről, fájlokról vagy bármilyen más típusról.

    • Végül a Megjegyzések lapon hozzáadhatja megjegyzéseit a vizsgálathoz, és megtekintheti a többi elemző és nyomozó megjegyzéseit. További információ a megjegyzésekről.

  5. Ha aktívan vizsgál egy incidenst, érdemes az incidens állapotát Aktív értékre állítani, amíg be nem zárja.

  6. Az incidensek hozzárendelhetők egy adott felhasználóhoz vagy csoporthoz. Minden incidenshez tulajdonost rendelhet a Tulajdonos mező beállításával. Minden incidens hozzárendelés nélküliként kezdődik. Megjegyzéseket is fűzhet, hogy más elemzők is megérthessék, mit vizsgált, és mi az ön aggálya az incidenssel kapcsolatban.

    Screenshot of assigning incident to user.

    A legutóbb kijelölt felhasználók és csoportok a képen látható legördülő lista tetején jelennek meg.

  7. Válassza a Vizsgálat lehetőséget a vizsgálati térkép megtekintéséhez.

A vizsgálati gráf használata a részletes elemzéshez

A vizsgálati gráf lehetővé teszi az elemzők számára, hogy minden vizsgálathoz a megfelelő kérdéseket tegyenek fel. A vizsgálati gráf segítségével megismerheti a potenciális biztonsági fenyegetések hatókörét és kiváltó okát úgy, hogy a releváns adatokat az érintett entitásokkal korrelálja. A gráfban megjelenő entitásokat részletesebben is megvizsgálhatja, ha kiválasztja azt, és kiválasztja a különböző bővítési lehetőségeket.

A vizsgálati gráf a következőket nyújtja:

  • Vizuális környezet nyers adatokból: Az élő, vizualizációs gráf a nyers adatokból automatikusan kinyert entitáskapcsolatokat jeleníti meg. Ez lehetővé teszi a különböző adatforrások közötti kapcsolatok egyszerű megtekintését.

  • Teljes vizsgálati hatókör-felderítés: Bővítse ki a vizsgálati hatókört a beépített feltárási lekérdezések használatával, hogy feltárja a szabálysértések teljes hatókörét.

  • Beépített vizsgálati lépések: Előre definiált feltárási lehetőségek használatával győződjön meg arról, hogy a megfelelő kérdéseket teszi fel a fenyegetéssel szemben.

A vizsgálati gráf használata:

  1. Jelöljön ki egy incidenst, majd válassza a Vizsgálat lehetőséget. Ez a vizsgálati gráfhoz vezet. A gráf szemléltető térképet biztosít a riasztáshoz közvetlenül kapcsolódó entitásokról és az egyes erőforrásokról.

    View map.

    Fontos

    • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

    • A Microsoft Sentinel jelenleg 30 naposnál régebbi incidensek kivizsgálását támogatja.

  2. Jelöljön ki egy entitást az Entitások panel megnyitásához, hogy áttekinthesse az adott entitás adatait.

    View entities in map

  3. Bontsa ki a vizsgálatot úgy, hogy az egyes entitások fölé viszi azokat a kérdéseket, amelyeket biztonsági szakértőink és elemzőink entitástípusonként terveztek a vizsgálat elmélyítéséhez. Ezeket a lehetőségeket feltáró lekérdezéseknek nevezzük.

    Explore more details

    Kérhet például kapcsolódó riasztásokat. Ha kiválaszt egy feltárási lekérdezést, az eredményként kapott entitles visszakerül a gráfba. Ebben a példában a Kapcsolódó riasztások kiválasztása a következő riasztásokat adja vissza a gráfba:

    Screenshot: view related alerts

    Láthatja, hogy a kapcsolódó riasztások pontozott vonalakkal kapcsolódnak az entitáshoz.

  4. Az egyes feltárási lekérdezések esetében az Események> lehetőséget választva megnyithatja a nyers esemény eredményeit és a Log Analyticsben használt lekérdezést.

  5. Az incidens megértéséhez a gráf párhuzamos ütemtervet ad.

    Screenshot: view timeline in map.

  6. Vigye az egérmutatót az ütemtervre, és nézze meg, hogy a gráf mely pontján történtek dolgok.

    Screenshot: use timeline in map to investigate alerts.'

A vizsgálat fókuszba kerül

Megtudhatja, hogyan bővítheti vagy szűkítheti a vizsgálat hatókörét úgy, hogy riasztásokat ad hozzá az incidensekhez, vagy eltávolítja a riasztásokat az incidensekből.

Hasonló incidensek (előzetes verzió)

Biztonsági műveleti elemzőként az incidens kivizsgálásakor érdemes figyelni a nagyobb kontextusra. Például azt szeretné megtudni, hogy más ilyen incidensek történtek-e korábban vagy most.

  • Érdemes lehet azonosítani az egyidejű incidenseket, amelyek ugyanahhoz a nagyobb támadási stratégiához tartozhatnak.

  • Érdemes lehet azonosítani a hasonló incidenseket a múltban, hogy referenciapontként használhassa őket a jelenlegi vizsgálathoz.

  • Előfordulhat, hogy azonosítani szeretné a korábbi hasonló incidensek tulajdonosait, hogy megkeresse azokat a személyeket az soc-ban, akik több kontextust biztosíthatnak, vagy akiknek eszkalálhatja a nyomozást.

Az incidens részletei lap hasonló incidensek lapja, amely most előzetes verzióban jelenik meg, legfeljebb 20 olyan incidenst mutat be, amelyek a leginkább hasonlítanak az aktuálishoz. A hasonlóságot belső Microsoft Sentinel-algoritmusok számítják ki, és az incidensek rendezése és megjelenítése csökkenő hasonlósági sorrendben történik.

Screenshot of the similar incidents display.

Hasonlóság számítása

Három kritérium alapján határozható meg a hasonlóság:

  • Hasonló entitások: Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha mindkettő ugyanazokat az entitásokat tartalmazza. Minél több entitásban van két incidens, annál hasonlóbbnak tekinthetők.

  • Hasonló szabály: Egy incidens akkor tekinthető egy másik incidenshez hasonlónak, ha mindkettőt ugyanaz az elemzési szabály hozta létre.

  • Hasonló riasztási adatok: Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha ugyanazzal a címmel, terméknévvel és/vagy egyéni adatokkal rendelkeznek.

Az incidensek hasonló incidensek listájában megjelenő okai a Hasonlóság ok oszlopban jelennek meg. Vigye az egérmutatót az információs ikonra a gyakori elemek (entitások, szabálynév vagy részletek) megjelenítéséhez.

Screenshot of pop-up display of similar incident details.

Hasonlóság időkerete

Az incidensek hasonlóságát az incidens utolsó tevékenységét megelőző 14 nap adatai alapján számítjuk ki, amely az incidens legutóbbi riasztásának befejezési időpontja.

Az incidensek hasonlóságát minden alkalommal újraszámítjuk, amikor beírja az incidens részleteit tartalmazó oldalt, így az eredmények munkamenetek között változhatnak, ha új incidensek jöttek létre vagy frissültek.

Megjegyzések az incidensekhez

Biztonsági műveleti elemzőként az incidensek kivizsgálása során alaposan dokumentálni kell a megtett lépéseket, mind a vezetőségnek való pontos jelentéskészítés, mind pedig a munkatársak közötti zökkenőmentes együttműködés és együttműködés biztosítása érdekében. A Microsoft Sentinel gazdag kommentelési környezetet biztosít, amely segít ennek megvalósításában.

Egy másik fontos dolog, amit megjegyzésekkel tehet, az incidensek automatikus bővítése. Amikor forgatókönyvet futtat egy olyan incidensről, amely külső forrásokból kér le releváns információkat (például egy víruskeresési fájlt a VirusTotalban), a forgatókönyvben elhelyezheti a külső forrás válaszát - az Ön által megadott egyéb információkkal együtt - az incidens megjegyzéseiben.

A megjegyzések egyszerűen használhatók. Ezeket az incidens részletei lapon található Megjegyzések lapon érheti el.

Screenshot of viewing and entering comments.

Gyakori kérdések

Az incidensekkel kapcsolatos megjegyzések használatakor több szempontot is figyelembe kell venni. Az alábbi kérdések listája ezekre a szempontokra mutat.

Milyen típusú bemenetek támogatottak?

  • Szöveg: A Microsoft Sentinel megjegyzései egyszerű szöveges, egyszerű HTML- és Markdown-szövegbevitelt támogatnak. Másolt szöveget, HTML-t és Markdownt is beilleszthet a megjegyzésablakba.

  • Képek: A megjegyzésekben képekre mutató hivatkozásokat szúrhat be, és a képek beágyazottan jelennek meg, de a képeknek már nyilvánosan elérhető helyen kell lenniük, például a Dropboxban, a OneDrive-on, a Google Drive-on és hasonlókban. A képek nem tölthetők fel közvetlenül a megjegyzésekbe.

Van méretkorlát a megjegyzésekre?

  • Megjegyzésenként: Egyetlen megjegyzés legfeljebb 30 000 karaktert tartalmazhat.

  • Incidensenként: Egyetlen incidens legfeljebb 100 megjegyzést tartalmazhat.

    Megjegyzés:

    A Log Analytics SecurityIncident táblájában található egyetlen incidensrekord méretkorlátja 64 KB. Ha túllépi ezt a korlátot, a megjegyzések (a legkorábbitól kezdve) csonkulnak, ami hatással lehet a speciális keresési eredményekben megjelenő megjegyzésekre.

    Az incidensek adatbázisában lévő tényleges incidensrekordok nem lesznek hatással.

Ki szerkesztheti vagy törölheti a megjegyzéseket?

  • Szerkesztés: Csak a megjegyzés szerzője rendelkezik szerkesztési engedéllyel.

  • Törlés: Csak a Microsoft Sentinel közreműködői szerepkörrel rendelkező felhasználók jogosultak a megjegyzések törlésére. A törléshez még a megjegyzés szerzőjének is rendelkeznie kell ezzel a szerepkörével.

Incidens bezárása

Miután megoldott egy adott incidenst (például amikor a vizsgálat lezárult), az incidens állapotát Lezárt értékre kell állítania. Ha így tesz, a rendszer arra kéri, hogy osztályozza az incidenst a lezárás okának megadásával. Ez a lépés kötelező. Kattintson a Besorolás kiválasztása gombra, és válasszon az alábbiak közül a legördülő listából:

  • Valós pozitív – gyanús tevékenység
  • Jóindulatú pozitív – gyanús, de nem váratlan
  • Álpozitív – helytelen riasztási logika
  • Álpozitív – helytelen adatok
  • Meghatározatlan

Screenshot that highlights the classifications available in the Select classification list.

A hamis pozitív és jóindulatú pozitív értékekről további információt a Microsoft Sentinel hamis pozitív adatainak kezelése című témakörben talál.

A megfelelő besorolás kiválasztása után adjon hozzá néhány leíró szöveget a Megjegyzés mezőbe. Ez akkor hasznos, ha vissza kell hivatkoznia az incidensre. Ha végzett, kattintson az Alkalmaz gombra, és az incidens bezárul.

{alt-text}

Incidensek keresése

Egy adott incidens gyors megkereséséhez írjon be egy keresési sztringet az incidensek rácsa feletti keresőmezőbe, és nyomja le az Enter billentyűt az incidensek listájának ennek megfelelően történő módosításához. Ha az incidens nem szerepel az eredmények között, érdemes lehet a speciális keresési beállítások használatával szűkíteni a keresést.

A keresési paraméterek módosításához kattintson a Keresés gombra, majd válassza ki azokat a paramétereket, ahol futtatni szeretné a keresést.

Például:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Alapértelmezés szerint az incidenskeresések csak az incidensazonosító, a cím, a címkék, a tulajdonos és a terméknév értékein futnak. A keresési panelen görgessen le a listáról egy vagy több más keresési paraméter kiválasztásához, és válassza az Alkalmaz lehetőséget a keresési paraméterek frissítéséhez. Válassza a Beállítás lehetőséget a kijelölt paraméterek alapértelmezett beállításra állításához.

Megjegyzés:

A Tulajdonos mezőben található keresések mind a neveket, mind az e-mail-címeket támogatják.

A speciális keresési beállítások használata az alábbiak szerint módosítja a keresési viselkedést:

Keresési viselkedés Leírás
Keresés gomb színe A keresési gomb színe a keresésben jelenleg használt paraméterek típusától függően változik.
  • Amíg csak az alapértelmezett paraméterek vannak kiválasztva, a gomb szürke.
  • Amint különböző paramétereket , például speciális keresési paramétereket választ ki, a gomb kékre változik.
Automatikus frissítés A speciális keresési paraméterek használatával nem lehet automatikusan frissíteni a találatokat.
Entitásparaméterek A speciális keresésekhez minden entitásparaméter támogatott. Ha bármely entitásparaméterben keres, a keresés az összes entitásparaméterben fut.
Keresési sztringek A szavak sztringjének keresése magában foglalja a keresési lekérdezésben szereplő összes szót. A keresési sztringek megkülönböztetik a kis- és nagybetűket.
Munkaterületek közötti támogatás A több munkaterületet felölelő nézetek esetén nem támogatott az összetett keresés.
Megjelenített keresési eredmények száma Ha speciális keresési paramétereket használ, egyszerre csak 50 találat jelenik meg.

Tipp.

Ha nem találja a keresett incidenst, távolítsa el a keresési paramétereket a keresés kibontásához. Ha a keresés túl sok elemet eredményez, adjon hozzá további szűrőket a találatok szűkítéséhez.

További lépések

Ebben a cikkben megtanulta, hogyan kezdheti meg az incidensek kivizsgálását a Microsoft Sentinel használatával. For more information, see: