Előző

Következő

Incidens bizonyítékai és entitásai

Befejeződött

A Microsoft Sentinel különböző biztonsági információforrásokat használ incidensek létrehozásához. Ezeket a forrásokat ismernie kell, hogy a Microsoft Sentinelben a lehető legjobban kihasználhassa az incidenskezelést.

Incidensek tanúsító adatai

Az incidensek bizonyítékai a biztonsági események információiból és a Kapcsolódó Microsoft Sentinel-eszközökből állnak, amelyek azonosítják a Microsoft Sentinel-környezetben előforduló fenyegetéseket. A bizonyítékok azt mutatják, hogy a Microsoft Sentinel hogyan azonosított fenyegetést, és hogyan hivatkozik olyan konkrét erőforrásokra, amelyek növelhetik az incidens részleteinek ismeretét.

Események

Az események a Microsoft Sentinelhez társított Log Analytics-munkaterület egy vagy több konkrét eseményére hivatkoznak. Ezek a munkaterületek önmagukban általában több ezer eseményt tartalmaznak, ez pedig túl sok a manuális feldolgozáshoz.

Ha egy Microsoft Sentinel-elemzési szabályhoz csatolt lekérdezés eseményeket ad vissza, az eseményeket a generált incidenshez csatolja további felülvizsgálat céljából. Ezekkel az eseményekkel megismerheti az incidens hatókörét és gyakoriságát, mielőtt további vizsgálatot folytat.

Riasztások

Az incidensek többsége egy elemzési szabály riasztása miatt van generálva. Riasztások például a következők:

• Gyanús fájlok észlelése.
• Gyanús felhasználói tevékenység észlelése.
• Jogosultsági szint emelésére tett kísérlet.

Az elemzési szabályok riasztásokat hoznak létre Kusto lekérdezésnyelv (KQL) lekérdezések vagy a Microsoft Security-megoldásokhoz, például Felhőhöz készült Microsoft Defender vagy Microsoft Defender XDR-hez való közvetlen kapcsolat alapján. Ha engedélyezi a riasztások csoportosítását, a Microsoft Sentinel tartalmazza az incidenshez kapcsolódó riasztási bizonyítékokat.

Könyvjelzők

Egy incidens kivizsgálása során felismerhet olyan eseményeket, amelyeket szeretne nyomon követni, vagy a későbbi vizsgálathoz megjelölni. Megtarthatja a Log Analyticsben futó lekérdezéseket, ha egy vagy több eseményt kijelöl, és könyvjelzőként jelöl meg. Jegyzeteket és címkéket is rögzíthet a jövőbeli fenyegetéskeresési folyamatok jobb tájékoztatása érdekében. A könyvjelzők Ön és a csapata tagjai számára érhetők el.

Incidensentitások

Az incidensentitások egy eseményhez kapcsolódó hálózati vagy felhasználói erőforrásra utalnak. Az entitásokat belépési pontként használhatja az összes riasztás és az adott entitással való korreláció feltárására.

Az entitások közötti kapcsolatok jól használhatók az incidensek kivizsgálásakor. Az identitási riasztások, hálózati riasztások és adatközpont-riasztások külön elemzése helyett entitások használatával minden riasztást megfigyelhet, amely egy adott felhasználóval, gazdagéppel vagy címmel kapcsolatos a környezetben.

Egyes entitástípusok a következők:

• Számla
• Gazdagép
• IP
• URL
• Fájlkivonat

Az entitások például segíthetnek azonosítani az adott felhasználóhoz társított összes riasztást a Contoso-nál, a felhasználó gazdagépén és más gazdagépeken, amelyekhez a felhasználó csatlakozott. Meghatározhatja, hogy mely IP-címek vannak társítva a felhasználóval, és felfedheti, hogy mely események és riasztások tartozhatnak ugyanahhoz a támadáshoz.

Tesztelje tudását

1.

Az alábbi elemek közül melyik a Microsoft Sentinel-incidens bizonyítéka?

IP-cím.

Felhasználónév.

Esemény.

Gazdagép neve.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás