Incidenskezelés
Miután megkezdte a Microsoft Sentinel használatát incidensek létrehozásához, Ön és a Contoso informatikai csapata kivizsgálhatja az incidenseket. A Microsoft Sentinel speciális vizsgálati és elemzési eszközökkel rendelkezik, amelyeket az információk gyűjtésére és a szervizelési lépések meghatározására használhat.
Incidensek felülvizsgálata
A biztonsági problémák azonosításához és megoldásához először vizsgálja meg az incidenseket. A Microsoft Sentinel áttekintési oldala gyors áttekintést nyújt a legutóbbi incidensekről. További részletekért és az incidensek teljes áttekintéséhez használja az Incidensek lapot, amely megjeleníti az aktuális munkaterület összes incidensét és az incidensek részleteit.
Az Incidensek lap a Microsoft Sentinel incidenseinek teljes listáját tartalmazza. A lap alapvető incidensinformációkat is tartalmaz. Az információk közé tartozik a súlyosság, az azonosító, a cím, a riasztások, a terméknevek, a létrehozás időpontja, a legutóbbi frissítés időpontja, a tulajdonos és az állapot. Az incidensek listája bármelyik oszlop szerint rendezhető, és szűrhető név, súlyosság, állapot, terméknév vagy tulajdonos alapján.
Erről az oldalról különböző lépéseket tehet az incidensek kivizsgálására.
Fontos
Az incidenseket kivizsgáló Microsoft Entra-felhasználóknak a Címtárolvasó szerepkör tagjainak kell lenniük.
Incidens részleteinek vizsgálata
Válassza ki az incidenseket az Incidensek lapon az incidenssel kapcsolatos további információk megjelenítéséhez a jobb oldali panelen. Ez a panel az incidens leírását tartalmazza, és felsorolja a kapcsolódó bizonyítékokat, entitásokat és taktikákat. A panel a társított munkafüzetekre és az incidenst létrehozó elemzési szabályra mutató hivatkozásokat is tartalmaz. Ezek az információk segíthetnek tisztázni az incidens természetét, kontextusát és menetét.
Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget az Incidens lap megnyitásához, és tekintse meg az incidens további részleteit. Ezekkel a részletekkel jobban megértheti az incidens kontextusát. Egy találgatásos támadási incidens esetén például a riasztás Log Analytics-lekérdezésére léphet a támadások számának meghatározásához.
Incidens tulajdonjogának, állapotának és súlyosságának kezelése
A Microsoft Sentinel minden egyes incidenshez csatolt metaadatokat hoz létre, amelyek megtekinthetők és kezelhetők. Ez az információ a következőket teszi lehetővé:
- Incidens tulajdonjogának hozzárendelése és nyomon követése.
- Az incidens állapotát beállíthatja és nyomon követheti a létrehozástól kezdve a megoldásig.
- Beállíthatja és áttekintheti a súlyosságot.
Tulajdonjog
Egy tipikus környezetben minden incidenshez tulajdonost kell hozzárendelni a biztonsági csapattól. Az incidens tulajdonosa felelős az incidensek általános kezeléséért, beleértve a nyomozást és az állapotfrissítéseket. A tulajdonos módosításával az incidens bármikor a biztonsági csapat egy másik tagjához rendelhető a további vizsgálat vagy eszkaláció céljából.
Állapot
A Microsoft Sentinelben létrehozott minden új incidens új állapotú lesz. Az incidensek áttekintése és megválaszolása során manuálisan módosítsa az állapotot az incidens aktuális állapotának megfelelően. A kivizsgálás alatt álló incidensek állapotát állítsa Aktívra. Ha egy incidens teljesen megoldódott, Lezárt állapotúra kell beállítani.
Amikor bezárt állapotra állítja az állapotot, a rendszer a következő feloldások egyikének kiválasztását kéri:
- Igaz pozitív – Gyanús tevékenység
- Jóindulatú pozitív - Gyanús, de várható
- Hamis pozitív – Helytelen riasztási logika
- Hamis pozitív – Pontatlan adatok
- Meghatározatlan
Severity
Az incidenst létrehozó szabály vagy Microsoft biztonsági forrás kezdetben meghatározza a súlyosságot. A legtöbb esetben az incidens súlyossága változatlan marad, de módosíthatja a súlyosságot, ha úgy dönt, hogy az incidens súlyosabb vagy kevésbé súlyos, mint az eredetileg besorolt. A súlyossági beállítások a tájékoztató, az alacsony, a közepes és a magas.
A vizsgálati gráf használata
Az incidens kivizsgálásához válassza a Vizsgálat lehetőséget az Incidens lapon. Ez a művelet megnyit egy vizsgálati gráfot, egy olyan vizuális eszközt, amely segít a támadás által érintett entitások és az azok közötti összefüggések azonosításában. Ha az incidens folyamán több riasztás is történik, a riasztások idővonalát és a riasztások közötti kapcsolatokat is megtekintheti.
Entitás részleteinek felülvizsgálata
A gráfon az egyes entitásokat kijelölve megfigyelheti az entitásra vonatkozó további információkat. Az információk közé tartozik a más entitásokkal való kapcsolat, a fiókhasználat és az adatfolyam információi. Ez egyes információs területeken a kapcsolódó eseményekhez léphet a Log Analyticsben, és felveheti a gráfba a kapcsolódó riasztási adatokat.
Incidens részleteinek felülvizsgálata
A gráf incidenselemét kiválasztva megfigyelheti az incidens biztonsági és környezeti környezetéhez kapcsolódó incidens metaadatait.