Informazioni sulle funzionalità di analisi e gestione degli eventi imprevisti di Microsoft Sentinel
Microsoft Sentinel offre una piattaforma completa di gestione dei casi completa per l'analisi e la gestione degli eventi imprevisti di sicurezza. Gli eventi imprevisti sono il nome di Microsoft Sentinel per i file del caso che contengono una cronologia completa e costantemente aggiornata di una minaccia alla sicurezza, indipendentemente dal fatto che si tratti di singoli elementi di prova (avvisi), sospetti e parti di interesse (entità), informazioni dettagliate raccolte e curate da esperti di sicurezza e modelli di intelligenza artificiale/machine learning o commenti e log di tutte le azioni eseguite durante l'indagine.
L'esperienza di indagine sugli eventi imprevisti in Microsoft Sentinel inizia con la pagina eventi imprevisti, una nuova esperienza progettata per offrire tutto ciò che serve per l'indagine in un'unica posizione. L'obiettivo principale di questa nuova esperienza è aumentare l'efficienza e l'efficacia del SOC’, riducendo il tempo medio di risoluzione (MTTR).
Questo articolo illustra le fasi di un'indagine tipica sugli eventi imprevisti, presentando tutti gli strumenti e gli schermi disponibili per facilitare l'esecuzione.
Aumentare la maturità del SOC
Microsoft Sentinel offre gli strumenti per migliorare il livello di maturità delle operazioni di sicurezza (SecOps).
Normalizzare i processi
Le attività impreviste sono elenchi di attività del flusso di lavoro che gli analisti devono seguire per garantire un standard uniforme di assistenza e per evitare la mancata esecuzione di passaggi cruciali. I responsabili e i tecnici SOC possono sviluppare questi elenchi di attività e applicarli automaticamente a diversi gruppi di eventi imprevisti in base alle esigenze o all'interno della lavagna. Gli analisti SOC possono quindi accedere alle attività assegnate all'interno di ogni evento imprevisto, contrassegnandole come completate. Gli analisti possono anche aggiungere manualmente attività agli eventi imprevisti aperti, come autopromemoria o per il vantaggio di altri analisti che possono collaborare all'evento imprevisto ( ad esempio, a causa di una modifica o un'escalation di turni).
Altre informazioni sulle attività degli incidenti.
Controllare la gestione degli eventi imprevisti
L'evento imprevisto log attività tiene traccia delle azioni eseguite su un evento imprevisto, sia che vengano avviate da persone o processi automatizzati e le visualizzi insieme a tutti i commenti sull'evento imprevisto. È possibile aggiungere i propri commenti anche qui. Dà un record completo di tutto ciò che è successo, garantendo la completezza e la responsabilità.
Analizzare in modo efficace ed efficiente
Vedere la sequenza temporale
Prima di tutto: In qualità di analista, la domanda più importante a cui si vuole rispondere è, perché questo incidente è stato portato alla mia attenzione? Se si immette una pagina dei dettagli di un evento imprevisto, si risponderà a questa domanda: proprio al centro della schermata verrà visualizzato il widget sequenza temporale degli eventi imprevisti. La sequenza temporale è il diario di tutti gli avvisi che rappresentano tutti gli eventi registrati rilevanti per l'indagine, nell'ordine in cui si sono verificati. La sequenza temporale mostra anche segnalibri, snapshot delle prove raccolte durante la ricerca e aggiunte all'evento imprevisto. Per visualizzare i dettagli completi di qualsiasi elemento in questo elenco, selezionarlo. Molti di questi dettagli—, ad esempio l'avviso originale, la regola di analisi che l'ha creata e tutti i segnalibri—vengono visualizzati come collegamenti che è possibile selezionare per approfondire e ottenere altre informazioni.
Altre informazioni sulle operazioni che è possibile eseguire dalla sequenza temporale degli eventi imprevisti.
Imparare da eventi imprevisti simili
Se tutto ciò che è stato visto finora nell’incidente sembra familiare, potrebbe esserci una buona ragione. Microsoft Sentinel è sempre un passo avanti a voi, mostrando gli incidenti più simili a quello aperto. Il widget Eventi imprevisti simili mostra le informazioni più rilevanti sugli eventi imprevisti ritenuti simili, tra cui la data e l'ora dell'ultimo aggiornamento, l'ultimo proprietario, l'ultimo stato (incluso, se sono chiusi, il motivo per cui sono stati chiusi) e il motivo della somiglianza.
Ciò può trarre vantaggio dall'indagine in diversi modi:
- Individuare eventi imprevisti simultanei che possono far parte di una strategia di attacco più ampia.
- Usare eventi imprevisti simili come punti di riferimento per l'indagine in corso: vedere come sono stati gestiti.
- Identificare i proprietari di eventi imprevisti simili passati per trarre vantaggio dalle proprie conoscenze.
Il widget mostra i 20 eventi imprevisti più simili. Microsoft Sentinel decide quali eventi imprevisti sono simili in base a elementi comuni, tra cui entità, regola di analisi dell'origine e dettagli degli avvisi. Da questo widget è possibile passare direttamente alle pagine dei dettagli completi di questi eventi imprevisti, mantenendo intatta la connessione all'evento imprevisto corrente.
Altre informazioni sulle operazioni che è possibile eseguire con eventi imprevisti simili.
Esaminare le informazioni dettagliate principali
Successivamente, avendo le ampie linee di ciò che è successo (o sta ancora accadendo) e avendo una migliore comprensione del contesto, si sarà curiosi di quali informazioni interessanti Microsoft Sentinel ha già scoperto per l'utente. Pone automaticamente le grandi domande sulle entità nell'evento imprevisto e mostra le risposte principali nel widget Informazioni dettagliate principali, visibile sul lato destro della pagina dei dettagli dell'evento imprevisto. Questo widget mostra una raccolta di informazioni dettagliate basate sia sull'analisi di Machine Learning che sulla cura dei team principali degli esperti di sicurezza.
Si tratta di un subset appositamente selezionato delle informazioni dettagliate visualizzate in pagine di entità, ma in questo contesto vengono presentate informazioni dettagliate per tutte le entità dell'evento imprevisto, offrendo un quadro più completo delle operazioni che stanno accadendo. Il set completo di informazioni dettagliate viene visualizzato nella scheda Entità, per ogni entità separatamente (vedere di seguito).
Il widget informazioni dettagliate principali risponde alle domande sull'entità relativa al suo comportamento rispetto ai peer e alla propria cronologia, alla sua presenza negli watchlist o nell'intelligence sulle minacce o a qualsiasi altro tipo di occorrenza insolita relativa.
La maggior parte di queste informazioni dettagliate contiene collegamenti ad altre informazioni. Questi collegamenti aprono il pannello dei Log nel contesto, in cui verrà visualizzata la query di origine per tali informazioni dettagliate insieme ai relativi risultati.
Visualizzare le entità
Ora che è stato dato un po' di contesto e che si è risposto ad alcune domande di base, si vorrà approfondire la conoscenza dei principali protagonisti di questa storia. Nomi utente, nomi host, indirizzi IP, nomi di file e altri tipi di entità possono essere “persone di interesse” per l'indagine. Microsoft Sentinel li trova tutti per l'utente e li visualizza davanti e al centro nel widget Entità insieme alla sequenza temporale. La selezione di un'entità da questo widget consente di passare all'elenco dell'entità nella scheda Entità nella stessa pagina evento imprevisto.
La scheda Entità contiene un elenco di tutte le entità nell'evento imprevisto. Quando viene selezionata un'entità nell'elenco, viene aperto un pannello laterale contenente una visualizzazione basata sulla pagina dell'entità. Il pannello laterale contiene tre schede:
- Info contiene informazioni di base sull'entità. Per un'entità dell'account utente, questo potrebbe essere un nome utente, un nome di dominio, un SID (ID di sicurezza), informazioni sull'organizzazione, informazioni di sicurezza e altro ancora.
- La Sequenza temporale contiene un elenco degli avvisi che includono questa entità e le attività eseguite dall'entità, come raccolto dai log in cui viene visualizzata l'entità.
- Insights contiene risposte alle domande sull'entità relativa al suo comportamento rispetto ai peer e alla propria cronologia, alla sua presenza negli watchlist o nell'intelligence sulle minacce o a qualsiasi altro tipo di occorrenza insolita relativa. Queste risposte sono i risultati delle query definite dai ricercatori di sicurezza Microsoft che forniscono informazioni di sicurezza preziose e contestuali sulle entità, basate su dati provenienti da una raccolta di origini.
A seconda del tipo di entità, è possibile eseguire diverse altre azioni da questo pannello laterale:
- Passare alla pagina di entità completa dell'entità per ottenere altri dettagli su un intervallo di tempo più lungo o avviare lo strumento di analisi grafica centrato su tale entità.
- Eseguire un playbook per eseguire azioni specifiche di risposta o correzione sull'entità (in anteprima).
- Classificare l'entità come indicatore di compromissione (IOC) e aggiungerla all'elenco intelligence per le minacce.
Ognuna di queste azioni è attualmente supportata per determinati tipi di entità e non per altri. La tabella seguente illustra le azioni supportate per i tipi di entità:
| Azioni disponibili ▶ Tipi di entità ▼ |
L’utente deve visualizzare i dettagli completi (nella pagina dell'entità) |
Aggiungi a TI * | Esegui playbook * (anteprima) |
|---|---|---|---|
| Account utente | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| Indirizzo IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nome di dominio | ✔ | ✔ | |
| File (hash) | ✔ | ✔ | |
| Risorsa di Azure | ✔ | ||
| Dispositivo IoT | ✔ |
* Per le entità per le quali sono disponibili le azioni Aggiungi a TI o Esegui playbook, è possibile eseguire queste azioni direttamente dal widget Entità nella scheda Panoramica, senza uscire mai dalla pagina dell'evento imprevisto.
Esplorare i log
Ora si desidera scendere nei dettagli per sapere cosa è successo esattamente? Da quasi tutte le posizioni indicate in precedenza, è possibile eseguire il drill-down nei singoli avvisi, entità, informazioni dettagliate e altri elementi contenuti nell'evento imprevisto, visualizzando la query originale e i relativi risultati. Questi risultati vengono visualizzati nella schermata Log (analisi dei log) visualizzata qui come estensione del pannello della pagina dei dettagli dell'evento imprevisto, in modo da non lasciare il contesto dell'indagine.
Conservare i record in ordine
Infine, nell'interesse della trasparenza, della responsabilità e della continuità, è necessario registrare tutte le azioni eseguite sull'evento imprevisto, sia da processi automatizzati che da persone. L'evento imprevisto log attività mostra tutte queste attività. È anche possibile visualizzare eventuali commenti che sono stati fatti e aggiungere i propri. Il log attività viene costantemente aggiornato automaticamente, anche durante l'apertura, in modo da visualizzare le modifiche apportate in tempo reale.
Passaggi successivi
In questo documento si è appreso come l'esperienza di indagine sugli eventi imprevisti in Microsoft Sentinel consente di eseguire un'indagine in un singolo contesto. Per altre informazioni sulla gestione e l'analisi degli eventi imprevisti, vedere gli articoli seguenti:
- Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel
- Analizzare le entità con le pagine di entità in Microsoft Sentinel.
- Automatizzare la gestione degli incidenti in Microsoft Sentinel con regole di automazione.
- Identificare le minacce avanzate con Analisi del comportamento dell'utente e dell'entità (UEBA) in Microsoft Sentinel
- Rilevare minacce per la sicurezza.