Informazioni sulle funzionalità di analisi degli eventi imprevisti e gestione dei casi di Microsoft Sentinel
Microsoft Sentinel offre una piattaforma completa di gestione dei casi completa per l'analisi e la gestione degli eventi imprevisti di sicurezza. Gli eventi imprevisti sono il nome di Microsoft Sentinel per i file dei casi che contengono una cronologia completa e costantemente aggiornata di una minaccia per la sicurezza, sia che si tratti di singoli elementi di prova (avvisi), sospetti e parti di interesse (entità), informazioni dettagliate raccolte e curate da esperti di sicurezza e modelli di intelligenza artificiale/machine learning o commenti e log di tutte le azioni eseguite durante l'indagine.
L'esperienza di indagine sugli eventi imprevisti in Microsoft Sentinel inizia con la pagina Eventi imprevisti , una nuova esperienza progettata per offrire tutto ciò che serve per l'indagine in un'unica posizione. L'obiettivo principale di questa nuova esperienza è aumentare l'efficienza e l'efficacia del SOC, riducendo il tempo medio di risoluzione (MTTR).
Questo articolo illustra le fasi di un'indagine tipica sugli eventi imprevisti, presentando tutti gli strumenti e gli schermi disponibili per facilitare l'esecuzione.
Aumentare la maturità del SOC
Microsoft Sentinel offre gli strumenti per migliorare il livello di maturità delle operazioni di sicurezza (SecOps).
Standardizzare i processi
Le attività impreviste sono elenchi di attività del flusso di lavoro che gli analisti devono seguire per garantire un standard uniforme di assistenza e per evitare la mancata esecuzione di passaggi cruciali. I responsabili e i tecnici SOC possono sviluppare questi elenchi di attività e applicarli automaticamente a diversi gruppi di eventi imprevisti in base alle esigenze o all'interno della lavagna. Gli analisti SOC possono quindi accedere alle attività assegnate all'interno di ogni evento imprevisto, contrassegnandole come completate. Gli analisti possono anche aggiungere manualmente attività agli eventi imprevisti aperti, come autopromemoria o per il vantaggio di altri analisti che possono collaborare all'evento imprevisto ( ad esempio, a causa di una modifica o un'escalation di turni).
Altre informazioni sulle attività degli eventi imprevisti.
Controllare la gestione degli eventi imprevisti
Il log attività degli eventi imprevisti tiene traccia delle azioni eseguite su un evento imprevisto, sia avviate da esseri umani che da processi automatizzati e le visualizza insieme a tutti i commenti sull'evento imprevisto. È anche possibile aggiungere commenti personalizzati qui. Ti dà un record completo di tutto ciò che è successo, garantendo la completezza e la responsabilità.
Analizzare in modo efficace ed efficiente
Visualizzare la sequenza temporale
Prima di tutto: come analista, la domanda più semplice che si vuole rispondere è, perché questo incidente viene portato alla mia attenzione? Se si immette la pagina dei dettagli di un evento imprevisto, si risponderà a questa domanda: proprio al centro della schermata verrà visualizzato il widget Sequenza temporale degli eventi imprevisti. La sequenza temporale è il diario di tutti gli avvisi che rappresentano tutti gli eventi registrati rilevanti per l'indagine, nell'ordine in cui si sono verificati. La sequenza temporale mostra anche segnalibri, snapshot delle prove raccolte durante la ricerca e l'aggiunta all'evento imprevisto. Per visualizzare i dettagli completi di qualsiasi elemento in questo elenco, selezionarlo. Molti di questi dettagli, ad esempio l'avviso originale, la regola di analisi che l'ha creata e tutti i segnalibri, vengono visualizzati come collegamenti che è possibile selezionare per approfondire e ottenere altre informazioni.
Altre informazioni sulle operazioni che è possibile eseguire dalla sequenza temporale degli eventi imprevisti.
Imparare da eventi imprevisti simili
Se qualcosa che hai visto finora nell'incidente sembra familiare, potrebbe esserci un buon motivo. Microsoft Sentinel rimane un passo avanti mostrando gli eventi imprevisti più simili a quello aperto. Il widget Eventi imprevisti simili mostra le informazioni più rilevanti sugli eventi imprevisti ritenuti simili, tra cui la data e l'ora dell'ultimo aggiornamento, l'ultimo proprietario, l'ultimo stato (incluso, se sono chiusi, il motivo per cui sono stati chiusi) e il motivo della somiglianza.
Ciò può trarre vantaggio dall'indagine in diversi modi:
- Individuare eventi imprevisti simultanei che possono far parte di una strategia di attacco più ampia.
- Usare eventi imprevisti simili come punti di riferimento per l'indagine corrente, vedere come sono stati gestiti.
- Identificare i proprietari di eventi imprevisti simili passati per trarre vantaggio dalle proprie conoscenze.
Il widget mostra i 20 eventi imprevisti più simili. Microsoft Sentinel decide quali eventi imprevisti sono simili in base a elementi comuni, tra cui entità, regola di analisi dell'origine e dettagli degli avvisi. Da questo widget è possibile passare direttamente alle pagine dei dettagli completi di questi eventi imprevisti, mantenendo intatta la connessione all'evento imprevisto corrente.
Altre informazioni sulle operazioni che è possibile eseguire con eventi imprevisti simili.
Esaminare le informazioni dettagliate principali
Successivamente, avendo le ampie linee di ciò che è successo (o sta ancora accadendo) e avendo una migliore comprensione del contesto, si sarà curiosi di quali informazioni interessanti Microsoft Sentinel ha già scoperto per l'utente. Pone automaticamente le grandi domande sulle entità nell'evento imprevisto e mostra le risposte principali nel widget Informazioni dettagliate principali, visibile sul lato destro della pagina dei dettagli dell'evento imprevisto. Questo widget mostra una raccolta di informazioni dettagliate basate sia sull'analisi di Machine Learning che sulla cura dei team principali degli esperti di sicurezza.
Si tratta di un subset appositamente selezionato delle informazioni dettagliate visualizzate nelle pagine delle entità, ma in questo contesto vengono presentate informazioni dettagliate per tutte le entità dell'evento imprevisto, offrendo un quadro più completo di ciò che accade. Il set completo di informazioni dettagliate viene visualizzato nella scheda Entità per ogni entità separatamente. Vedere di seguito.
Il widget Informazioni dettagliate principali risponde alle domande sull'entità relativa al proprio comportamento rispetto ai peer e alla propria cronologia, alla sua presenza negli elenchi di controllo o nell'intelligence sulle minacce o a qualsiasi altro tipo di occorrenza insolita relativa.
La maggior parte di queste informazioni dettagliate contiene collegamenti ad altre informazioni. Questi collegamenti aprono il pannello Log nel contesto, in cui verrà visualizzata la query di origine per tali informazioni dettagliate insieme ai relativi risultati.
Visualizzare le entità
Ora che hai qualche contesto e alcune domande di base a cui hai risposto, avrai voglia di approfondire i giocatori principali sono in questa storia. Nomi utente, nomi host, indirizzi IP, nomi di file e altri tipi di entità possono essere "persone di interesse" nell'indagine. Microsoft Sentinel li trova tutti per l'utente e li visualizza davanti e al centro nel widget Entità , insieme alla sequenza temporale. La selezione di un'entità da questo widget consente di passare all'elenco dell'entità nella scheda Entità nella stessa pagina dell'evento imprevisto.
La scheda Entità contiene un elenco di tutte le entità nell'evento imprevisto. Quando viene selezionata un'entità nell'elenco, viene aperto un pannello laterale contenente una visualizzazione basata sulla pagina dell'entità. Il pannello laterale contiene tre schede:
Le informazioni contengono informazioni di base sull'entità. Per un'entità dell'account utente, questo potrebbe essere un nome utente, un nome di dominio, un SID (Security Identifier), informazioni sull'organizzazione, informazioni di sicurezza e altro ancora.
La sequenza temporale contiene un elenco degli avvisi che includono questa entità e le attività eseguite dall'entità, come raccolto dai log in cui viene visualizzata l'entità.
Insights contiene risposte alle domande sull'entità relativa al proprio comportamento rispetto ai peer e alla propria cronologia, alla sua presenza negli elenchi di controllo o nell'intelligence sulle minacce o a qualsiasi altro tipo di occorrenza insolita relativa. Queste risposte sono i risultati delle query definite dai ricercatori di sicurezza Microsoft che forniscono informazioni di sicurezza preziose e contestuali sulle entità, in base ai dati di una raccolta di origini.
A partire da novembre 2023, il pannello Insights include la nuova generazione di informazioni dettagliate, disponibile in ANTEPRIMA, sotto forma di widget di arricchimento, insieme alle informazioni dettagliate esistenti. Per sfruttare i vantaggi di questi nuovi widget, è necessario abilitare l'esperienza del widget.
A seconda del tipo di entità, è possibile eseguire diverse altre azioni da questo pannello laterale:
- Passare alla pagina dell'entità completa dell'entità per ottenere altri dettagli su un intervallo di tempo più lungo o avviare lo strumento di analisi grafica centrato su tale entità.
- Eseguire un playbook per eseguire azioni specifiche di risposta o correzione sull'entità (in anteprima).
- Classificare l'entità come indicatore di compromissione (IOC) e aggiungerla all'elenco intelligence per le minacce.
Ognuna di queste azioni è attualmente supportata per determinati tipi di entità e non per altri. La tabella seguente illustra le azioni supportate per i tipi di entità:
| ▶ Azioni disponibili Tipi di entità ^ |
L’utente deve visualizzare i dettagli completi (nella pagina dell'entità) |
Aggiungi a TI * | Eseguire il playbook * (anteprima) |
|---|---|---|---|
| Account utente | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| Indirizzo IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nome di dominio | ✔ | ✔ | |
| File (hash) | ✔ | ✔ | |
| Risorsa di Azure | ✔ | ||
| Dispositivo IoT | ✔ |
* Per le entità per le quali sono disponibili le azioni Aggiungi a TI o Esegui playbook , è possibile eseguire tali azioni direttamente dal widget Entità nella scheda Panoramica, senza mai uscire dalla pagina dell'evento imprevisto.
Esplorare i log
Ora vuoi entrare nei dettagli per sapere cosa è successo esattamente? Da quasi tutte le posizioni indicate in precedenza, è possibile eseguire il drill-down nei singoli avvisi, entità, informazioni dettagliate e altri elementi contenuti nell'evento imprevisto, visualizzando la query originale e i relativi risultati. Questi risultati vengono visualizzati nella schermata Log (Log Analytics) visualizzata qui come estensione del pannello della pagina dei dettagli dell'evento imprevisto, quindi non si lascia il contesto dell'indagine.
Conservare i record in ordine
Infine, nell'interesse della trasparenza, della responsabilità e della continuità, è necessario registrare tutte le azioni eseguite sull'evento imprevisto, sia da processi automatizzati che da persone. Il log attività degli eventi imprevisti mostra tutte queste attività. È anche possibile visualizzare eventuali commenti che sono stati fatti e aggiungere i propri. Il log attività viene costantemente aggiornato automaticamente, anche durante l'apertura, in modo da visualizzare le modifiche apportate in tempo reale.
Passaggi successivi
In questo documento si è appreso come l'esperienza di indagine sugli eventi imprevisti in Microsoft Sentinel consente di eseguire un'indagine in un unico contesto. Per altre informazioni sulla gestione e l'analisi degli eventi imprevisti, vedere gli articoli seguenti:
- Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel
- Analizzare le entità con le pagine di entità in Microsoft Sentinel.
- Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione.
- Identificare le minacce avanzate con Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel
- Cercare minacce per la sicurezza.