Incidenskezelés

  • 5 perc

Miután megkezdte a Microsoft Sentinel használatát incidensek létrehozásához, Ön és a Contoso informatikai csapata kivizsgálhatja az incidenseket. A Microsoft Sentinel speciális vizsgálati és elemzési eszközökkel rendelkezik, amelyeket az információk gyűjtésére és a szervizelési lépések meghatározására használhat.

Incidensek felülvizsgálata

A biztonsági problémák azonosításához és megoldásához először vizsgálja meg az incidenseket. A Microsoft Sentinel áttekintési oldala gyors áttekintést nyújt a legutóbbi incidensekről. További részletekért és az incidensek teljes áttekintéséhez használja az Incidensek lapot, amely megjeleníti az aktuális munkaterület összes incidensét és az incidensek részleteit.

Az Incidensek lap a Microsoft Sentinel incidenseinek teljes listáját tartalmazza. A lap alapvető incidensinformációkat is tartalmaz. Az információk közé tartozik a súlyosság, az azonosító, a cím, a riasztások, a terméknevek, a létrehozás időpontja, a legutóbbi frissítés időpontja, a tulajdonos és az állapot. Az incidensek listája bármelyik oszlop szerint rendezhető, és szűrhető név, súlyosság, állapot, terméknév vagy tulajdonos alapján.

Screenshot of a list of incidents in Microsoft Sentinel.

Erről az oldalról különböző lépéseket tehet az incidensek kivizsgálására.

Fontos

Az incidenseket kivizsgáló Microsoft Entra-felhasználóknak a Címtárolvasó szerepkör tagjainak kell lenniük.

Incidens részleteinek vizsgálata

Válassza ki az incidenseket az Incidensek lapon az incidenssel kapcsolatos további információk megjelenítéséhez a jobb oldali panelen. Ez a panel az incidens leírását tartalmazza, és felsorolja a kapcsolódó bizonyítékokat, entitásokat és taktikákat. A panel a társított munkafüzetekre és az incidenst létrehozó elemzési szabályra mutató hivatkozásokat is tartalmaz. Ezek az információk segíthetnek tisztázni az incidens természetét, kontextusát és menetét.

Screenshot of the incident details pane.

Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget az Incidens lap megnyitásához, és tekintse meg az incidens további részleteit. Ezekkel a részletekkel jobban megértheti az incidens kontextusát. Egy találgatásos támadási incidens esetén például a riasztás Log Analytics-lekérdezésére léphet a támadások számának meghatározásához.

Incidens tulajdonjogának, állapotának és súlyosságának kezelése

A Microsoft Sentinel minden egyes incidenshez csatolt metaadatokat hoz létre, amelyek megtekinthetők és kezelhetők. Ez az információ a következőket teszi lehetővé:

  • Incidens tulajdonjogának hozzárendelése és nyomon követése.
  • Az incidens állapotát beállíthatja és nyomon követheti a létrehozástól kezdve a megoldásig.
  • Beállíthatja és áttekintheti a súlyosságot.

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Tulajdonjog

Egy tipikus környezetben minden incidenshez tulajdonost kell hozzárendelni a biztonsági csapattól. Az incidens tulajdonosa felelős az incidensek általános kezeléséért, beleértve a nyomozást és az állapotfrissítéseket. A tulajdonos módosításával az incidens bármikor a biztonsági csapat egy másik tagjához rendelhető a további vizsgálat vagy eszkaláció céljából.

Állapot

A Microsoft Sentinelben létrehozott minden új incidens új állapotú lesz. Az incidensek áttekintése és megválaszolása során manuálisan módosítsa az állapotot az incidens aktuális állapotának megfelelően. A kivizsgálás alatt álló incidensek állapotát állítsa Aktívra. Ha egy incidens teljesen megoldódott, Lezárt állapotúra kell beállítani.

Amikor bezárt állapotra állítja az állapotot, a rendszer a következő feloldások egyikének kiválasztását kéri:

  • Igaz pozitív – Gyanús tevékenység
  • Jóindulatú pozitív - Gyanús, de várható
  • Hamis pozitív – Helytelen riasztási logika
  • Hamis pozitív – Pontatlan adatok
  • Meghatározatlan

Severity

Az incidenst létrehozó szabály vagy Microsoft biztonsági forrás kezdetben meghatározza a súlyosságot. A legtöbb esetben az incidens súlyossága változatlan marad, de módosíthatja a súlyosságot, ha úgy dönt, hogy az incidens súlyosabb vagy kevésbé súlyos, mint az eredetileg besorolt. A súlyossági beállítások a tájékoztató, az alacsony, a közepes és a magas.

A vizsgálati gráf használata

Az incidens kivizsgálásához válassza a Vizsgálat lehetőséget az Incidens lapon. Ez a művelet megnyit egy vizsgálati gráfot, egy olyan vizuális eszközt, amely segít a támadás által érintett entitások és az azok közötti összefüggések azonosításában. Ha az incidens folyamán több riasztás is történik, a riasztások idővonalát és a riasztások közötti kapcsolatokat is megtekintheti.

The screenshot shows the investigation graph.

Entitás részleteinek felülvizsgálata

A gráfon az egyes entitásokat kijelölve megfigyelheti az entitásra vonatkozó további információkat. Az információk közé tartozik a más entitásokkal való kapcsolat, a fiókhasználat és az adatfolyam információi. Ez egyes információs területeken a kapcsolódó eseményekhez léphet a Log Analyticsben, és felveheti a gráfba a kapcsolódó riasztási adatokat.

Incidens részleteinek felülvizsgálata

A gráf incidenselemét kiválasztva megfigyelheti az incidens biztonsági és környezeti környezetéhez kapcsolódó incidens metaadatait.

Tesztelje tudását

1.

Ha egy incidenst a következő rétegbeli biztonsági csapathoz szeretne eszkalálni, melyik incidensparamétert kell módosítania?

2.

Melyik Microsoft Sentinel-felület teszi lehetővé az incidenserőforrások idővonalainak és kapcsolatainak megtekintését?