Analizzare gli eventi imprevisti con Microsoft Sentinel (legacy)

  • Si applica a: Microsoft Sentinel in the Azure portal

Questo articolo consente di usare l'esperienza di indagine sugli eventi imprevisti legacy di Microsoft Sentinel. Se si usa la versione più recente dell'interfaccia, usare il set di istruzioni più recente per la corrispondenza. Per altre informazioni, vedere Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel.

Dopo aver collegato le origini dati a Microsoft Sentinel, si vuole ricevere una notifica quando si verifica un problema sospetto. A tale scopo, Microsoft Sentinel consente di creare regole di analisi avanzate che generano eventi imprevisti che è possibile assegnare e analizzare.

Un evento imprevisto può includere più avvisi. Si tratta di un'aggregazione di tutte le prove rilevanti per un'indagine specifica. Un evento imprevisto viene creato in base alle regole di analisi create nella pagina Analisi . Le proprietà correlate agli avvisi, ad esempio gravità e stato, vengono impostate a livello di evento imprevisto. Dopo aver fatto sapere a Microsoft Sentinel quali tipi di minacce si sta cercando e come trovarle, è possibile monitorare le minacce rilevate analizzando gli eventi imprevisti.

Importante

Le funzionalità annotate sono attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Prerequisiti

  • Sarà possibile analizzare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.

  • Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore di directory nel tenant Microsoft Entra. Per impostazione predefinita, questo ruolo è assegnato agli utenti normali (non regolari).

Come analizzare gli eventi imprevisti

  1. Selezionare Eventi imprevisti. La pagina Eventi imprevisti consente di sapere quanti eventi imprevisti si verificano e se sono nuovi, attivi o chiusi. Per ogni evento imprevisto, è possibile visualizzare l'ora in cui si è verificato e lo stato dell'evento imprevisto. Esaminare la gravità per decidere quali eventi imprevisti gestire per primi.

    Screenshot della visualizzazione della gravità dell'evento imprevisto.

  2. È possibile filtrare gli eventi imprevisti in base alle esigenze, ad esempio in base allo stato o alla gravità. Per altre informazioni, vedere Cercare gli eventi imprevisti.

  3. Per avviare un'indagine, selezionare un evento imprevisto specifico. A destra è possibile visualizzare informazioni dettagliate per l'evento imprevisto, tra cui la gravità, il riepilogo del numero di entità coinvolte, gli eventi non elaborati che hanno attivato l'evento imprevisto, l'ID univoco dell'evento imprevisto e tutte le tattiche o tecniche MITRE ATT mappate&CK.

  4. Per visualizzare altri dettagli sugli avvisi e sulle entità nell'evento imprevisto, selezionare Visualizza dettagli completi nella pagina dell'evento imprevisto ed esaminare le schede pertinenti che riepilogano le informazioni sull'evento imprevisto.

    Screenshot della visualizzazione dei dettagli dell'avviso.

    • Se attualmente si usa la nuova esperienza, disattivarla in alto a destra nella pagina dei dettagli dell'evento imprevisto per usare invece l'esperienza legacy.

    • Nella scheda Sequenza temporale esaminare la sequenza temporale degli avvisi e dei segnalibri nell'evento imprevisto, che consente di ricostruire la sequenza temporale dell'attività degli utenti malintenzionati.

    • Nella scheda Eventi imprevisti simili (anteprima) viene visualizzata una raccolta di un massimo di 20 altri eventi imprevisti più simili all'evento imprevisto corrente. Ciò consente di visualizzare l'evento imprevisto in un contesto più ampio e consente di indirizzare l'indagine. Altre informazioni su eventi imprevisti simili sono disponibili di seguito.

    • Nella scheda Avvisi esaminare gli avvisi inclusi in questo evento imprevisto. Vengono visualizzate tutte le informazioni rilevanti sugli avvisi, ovvero le regole di analisi che le hanno generate, il numero di risultati restituiti per ogni avviso e la possibilità di eseguire playbook negli avvisi. Per approfondire ulteriormente l'evento imprevisto, selezionare il numero di eventi. Verrà aperta la query che ha generato i risultati e gli eventi che hanno attivato l'avviso in Log Analytics.

    • Nella scheda Segnalibri vengono visualizzati eventuali segnalibri collegati a questo evento imprevisto da parte dell'utente o di altri investigatori. Altre informazioni sui segnalibri.

    • Nella scheda Entità è possibile visualizzare tutte le entitàmappate come parte della definizione della regola di avviso. Questi sono gli oggetti che hanno giocato un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o qualsiasi altro tipo.

    • Infine, nella scheda Commenti è possibile aggiungere i commenti all'indagine e visualizzare eventuali commenti fatti da altri analisti e investigatori. Altre informazioni sui commenti.

  5. Se si sta analizzando attivamente un evento imprevisto, è consigliabile impostare lo stato dell'evento imprevisto su Attivo fino alla chiusura.

  6. Gli eventi imprevisti possono essere assegnati a un utente specifico o a un gruppo. Per ogni evento imprevisto è possibile assegnare un proprietario impostando il campo Proprietario . Tutti gli eventi imprevisti iniziano come non assegnati. È anche possibile aggiungere commenti in modo che altri analisti siano in grado di comprendere cosa si è indagato e quali sono le preoccupazioni relative all'evento imprevisto.

    Screenshot dell'assegnazione dell'evento imprevisto all'utente.

    Gli utenti e i gruppi selezionati di recente vengono visualizzati nella parte superiore dell'elenco a discesa illustrato.

  7. Selezionare Analizza per visualizzare la mappa di indagine.

Usare il grafico di indagine per approfondire

Il grafico di indagine consente agli analisti di porre le domande corrette per ogni indagine. Il grafico di analisi consente di comprendere l'ambito e identificare la causa radice di una potenziale minaccia alla sicurezza correlando i dati rilevanti con qualsiasi entità coinvolta. È possibile approfondire e analizzare qualsiasi entità presentata nel grafico selezionandola e scegliendo tra diverse opzioni di espansione.

Il grafico di analisi fornisce:

  • Contesto visivo da dati non elaborati: il grafico visivo attivo visualizza le relazioni di entità estratte automaticamente dai dati non elaborati. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse.

  • Individuazione dell'ambito di indagine completo: espandere l'ambito dell'indagine usando query di esplorazione predefinite per visualizzare l'intero ambito di una violazione.

  • Passaggi di indagine predefiniti: usare opzioni di esplorazione predefinite per assicurarsi di porre le domande corrette di fronte a una minaccia.

Per usare il grafico di analisi:

  1. Selezionare un evento imprevisto, quindi selezionare Analizza. In questo modo si passa al grafico di indagine. Il grafico fornisce una mappa illustrativa delle entità direttamente connesse all'avviso e di ogni risorsa connessa ulteriormente.

    Visualizzare la mappa.

    Importante

    • Sarà possibile analizzare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.

    • Microsoft Sentinel attualmente supporta l'indagine su eventi imprevisti fino a 30 giorni fa.

  2. Selezionare un'entità per aprire il riquadro Entità in modo da poter esaminare le informazioni sull'entità.

    Visualizzare le entità nella mappa

  3. Espandere l'indagine passando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per tipo di entità per approfondire l'indagine. Queste opzioni vengono chiamate query di esplorazione.

    Esplorare altri dettagli

    Ad esempio, è possibile richiedere avvisi correlati. Se si seleziona una query di esplorazione, i diritti risultanti vengono aggiunti di nuovo al grafico. In questo esempio, selezionando Avvisi correlati sono stati restituiti gli avvisi seguenti nel grafico:

    Screenshot: visualizzare gli avvisi correlati

    Verificare che gli avvisi correlati vengano visualizzati connessi all'entità tramite linee tratteggiate.

  4. Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati degli eventi non elaborati e la query usata in Log Analytics selezionando Eventi>.

  5. Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.

    Screenshot: visualizzare la sequenza temporale nella mappa.

  6. Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in quale momento.

    Screenshot: usare la sequenza temporale nella mappa per analizzare gli avvisi.

Concentrare l'indagine

Informazioni su come ampliare o limitare l'ambito dell'indagine aggiungendo avvisi agli eventi imprevisti o rimuovendo gli avvisi dagli eventi imprevisti.

Eventi imprevisti simili (anteprima)

In qualità di analista delle operazioni di sicurezza, quando si analizza un evento imprevisto si vuole prestare attenzione al contesto più ampio. Ad esempio, si vuole verificare se altri eventi imprevisti come questo si sono verificati prima o si stanno verificando ora.

  • È possibile identificare gli eventi imprevisti simultanei che potrebbero far parte della stessa strategia di attacco più grande.

  • È possibile identificare eventi imprevisti simili in passato, per usarli come punti di riferimento per l'indagine corrente.

  • È possibile identificare i proprietari di eventi imprevisti simili precedenti, trovare le persone nel SOC che possono fornire più contesto o a cui è possibile inoltrare l'indagine.

La scheda eventi imprevisti simili nella pagina dei dettagli degli eventi imprevisti, ora in anteprima, presenta fino a 20 altri eventi imprevisti più simili a quelli correnti. La somiglianza viene calcolata in base agli algoritmi di Microsoft Sentinel interni e gli eventi imprevisti vengono ordinati e visualizzati in ordine decrescente di somiglianza.

Screenshot della visualizzazione di eventi imprevisti simili.

Calcolo della somiglianza

Esistono tre criteri in base ai quali viene determinata la somiglianza:

  • Entità simili: Un evento imprevisto è considerato simile a un altro evento imprevisto se entrambi includono le stesse entità. Più entità hanno in comune due eventi imprevisti, più simili sono considerate.

  • Regola simile: Un evento imprevisto è considerato simile a un altro evento imprevisto se entrambi sono stati creati dalla stessa regola di analisi.

  • Dettagli di avviso simili: Un evento imprevisto è considerato simile a un altro evento imprevisto se condividono lo stesso titolo, lo stesso nome del prodotto e/o i dettagli personalizzati.

I motivi per cui un evento imprevisto viene visualizzato nell'elenco eventi imprevisti simili vengono visualizzati nella colonna Motivo della somiglianza . Passare il puntatore del mouse sull'icona delle informazioni per visualizzare gli elementi comuni (entità, nome della regola o dettagli).

Screenshot della visualizzazione popup di dettagli di eventi imprevisti simili.

Intervallo di tempo di somiglianza

La somiglianza degli eventi imprevisti viene calcolata in base ai dati dei 14 giorni precedenti all'ultima attività dell'evento imprevisto, ovvero l'ora di fine dell'avviso più recente nell'evento imprevisto.

La somiglianza degli eventi imprevisti viene ricalcolata ogni volta che si immette la pagina dei dettagli dell'evento imprevisto, pertanto i risultati potrebbero variare tra le sessioni se sono stati creati o aggiornati nuovi eventi imprevisti.

Commento sugli eventi imprevisti

In qualità di analista delle operazioni di sicurezza, durante l'analisi di un evento imprevisto è consigliabile documentare accuratamente i passaggi da eseguire, sia per garantire report accurati alla gestione che per consentire una collaborazione e una collaborazione senza problemi tra i colleghi. Microsoft Sentinel offre un ambiente di commento completo che consente di eseguire questa operazione.

Un'altra cosa importante che è possibile fare con i commenti è arricchire automaticamente gli eventi imprevisti. Quando si esegue un playbook su un evento imprevisto che recupera informazioni rilevanti da origini esterne (ad esempio, controllando un file per il malware in VirusTotal), è possibile fare in modo che il playbook inserisci la risposta dell'origine esterna , insieme a qualsiasi altra informazione definita, nei commenti dell'evento imprevisto.

I commenti sono semplici da usare. È possibile accedervi tramite la scheda Commenti nella pagina dei dettagli dell'evento imprevisto.

Screenshot della visualizzazione e dell'immissione di commenti.

Domande frequenti sui commenti degli eventi imprevisti

Quando si usano i commenti degli eventi imprevisti, è necessario tenere conto di diverse considerazioni. L'elenco di domande seguente fa riferimento a queste considerazioni.

Quali tipi di input sono supportati?

  • Testo: I commenti in Microsoft Sentinel supportano gli input di testo in testo normale, HTML di base e Markdown. È anche possibile incollare testo copiato, HTML e Markdown nella finestra dei commenti.

  • Immagini: È possibile inserire collegamenti alle immagini nei commenti e le immagini vengono visualizzate inline, ma le immagini devono essere già ospitate in una posizione accessibile pubblicamente, ad esempio Dropbox, OneDrive, Google Drive e simili. Le immagini non possono essere caricate direttamente nei commenti.

Esiste un limite di dimensioni per i commenti?

  • Per commento: Un singolo commento può contenere fino a 30.000 caratteri.

  • Per evento imprevisto: Un singolo evento imprevisto può contenere fino a 100 commenti.

    Nota

    Il limite di dimensioni di un singolo record di eventi imprevisti nella tabella SecurityIncident in Log Analytics è di 64 KB. Se questo limite viene superato, i commenti (a partire dalla prima) verranno troncati, il che potrebbe influire sui commenti che verranno visualizzati nei risultati della ricerca avanzata .

    I record degli eventi imprevisti effettivi nel database degli eventi imprevisti non saranno interessati.

Chi può modificare o eliminare i commenti?

  • Modifica: Solo l'autore di un commento ha l'autorizzazione per modificarlo.

  • Eliminazione: Solo gli utenti con il ruolo collaboratore Microsoft Sentinel dispongono dell'autorizzazione per eliminare i commenti. Anche l'autore del commento deve avere questo ruolo per eliminarlo.

Chiudere un evento imprevisto

Dopo aver risolto un evento imprevisto specifico( ad esempio, quando l'indagine ha raggiunto la conclusione), è necessario impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, verrà richiesto di classificare l'evento imprevisto specificando il motivo per cui lo si sta chiudendo. Questo passaggio è obbligatorio. Selezionare Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:

  • True Positive - Attività sospetta
  • Positivo benigno - sospetto ma previsto
  • Falso positivo - Logica di avviso non corretta
  • Falso positivo : dati non corretti
  • Indeterminato

Screenshot che evidenzia le classificazioni disponibili nell'elenco Seleziona classificazione.

Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.

Dopo aver scelto la classificazione appropriata, aggiungere del testo descrittivo nel campo Commento . Questa operazione è utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, selezionare Applica e l'evento imprevisto è chiuso.

Screenshot della chiusura di un evento imprevisto.

Cercare gli eventi imprevisti

Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzato di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate .

Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.

Ad esempio:

Screenshot della casella di ricerca degli eventi imprevisti e del pulsante per selezionare le opzioni di ricerca di base e/o avanzate.

Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori ID evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.

Nota

Le ricerche nel campo Proprietario supportano sia i nomi che gli indirizzi di posta elettronica.

L'uso delle opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:

Comportamento di ricerca Descrizione
Colore pulsante di ricerca Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca.
  • Se sono selezionati solo i parametri predefiniti, il pulsante è grigio.
  • Non appena vengono selezionati parametri diversi, ad esempio parametri di ricerca avanzati, il pulsante diventa blu.
Aggiornamento automatico L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati.
Parametri dell'entità Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità.
Stringhe di ricerca La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole.
Supporto tra aree di lavoro Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro.
Numero di risultati della ricerca visualizzati Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta.

Consiglio

Se non è possibile trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per limitare i risultati.

Contenuto correlato

In questo articolo si è appreso come iniziare a analizzare gli eventi imprevisti usando Microsoft Sentinel. Per altre informazioni, vedere:

  • Last updated on