Condividi tramite


Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel

Microsoft Sentinel offre una piattaforma completa di gestione dei casi completa per l'analisi degli eventi imprevisti di sicurezza. La pagina Dettagli evento imprevisto è la posizione centrale da cui eseguire l'indagine, raccogliendo tutte le informazioni pertinenti e tutti gli strumenti e le attività applicabili in un'unica schermata.

Questo articolo illustra tutti i pannelli e le opzioni disponibili nella pagina dei dettagli dell'evento imprevisto, consentendo di esplorare e analizzare gli eventi imprevisti in modo più rapido, efficace ed efficiente e riducendo il tempo medio di risoluzione (MTTR).

Vedere le istruzioni per la versione precedente dell'indagine sugli eventi imprevisti.

Gli eventi imprevisti sono i file del caso che contengono un'aggregazione di tutte le prove pertinenti per indagini specifiche. Ogni evento imprevisto viene creato (o aggiunto a) in base a elementi di prova (avvisi) generati da regole di analisi o importati da prodotti di sicurezza di terze parti che generano avvisi personalizzati. Gli eventi imprevisti ereditano le entità contenute negli avvisi, nonché le proprietà degli avvisi, ad esempio gravità, stato e tattiche e tecniche MITRE ATT&CK.

Prerequisiti

  • L'assegnazione di ruolo risponditore di Microsoft Sentinel è necessaria per analizzare gli eventi imprevisti.

    Altre informazioni sui ruoli in Microsoft Sentinel.

  • Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore directory nel tenant di Microsoft Entra. Gli utenti normali (non guest) hanno questo ruolo assegnato per impostazione predefinita.

Pagina Eventi imprevisti

  1. Dal menu di spostamento di Microsoft Sentinel, in Gestione delle minacce, selezionare Eventi imprevisti.

    La pagina Eventi imprevisti fornisce informazioni di base su tutti gli eventi imprevisti aperti.

    • Nella parte superiore della schermata sono presenti i conteggi degli eventi imprevisti aperti, nuovi o attivi e i conteggi degli eventi imprevisti aperti in base alla gravità. È anche disponibile il banner con azioni che è possibile eseguire all'esterno di un evento imprevisto specifico, sia nella griglia nel suo complesso che su più eventi imprevisti selezionati.

    • Nel riquadro centrale è presente la griglia degli eventi imprevisti, un elenco di eventi imprevisti filtrati in base ai controlli di filtro nella parte superiore dell'elenco e una barra di ricerca per trovare eventi imprevisti specifici.

    • Sul lato destro è disponibile un riquadro dei dettagli che mostra informazioni importanti sull'evento imprevisto evidenziato nell'elenco centrale, insieme ai pulsanti per l'esecuzione di determinate azioni specifiche relative a tale evento imprevisto.

    Screenshot of view of incident severity.

  2. Il team addetto alle operazioni di sicurezza può disporre di regole di automazione per eseguire la valutazione di base sui nuovi eventi imprevisti e assegnarle al personale appropriato.

    In tal caso, filtrare l'elenco degli eventi imprevisti in base al proprietario per limitare l'elenco agli eventi imprevisti assegnati all'utente o al team. Questo set filtrato rappresenta il carico di lavoro personale.

    In caso contrario, è possibile eseguire manualmente la valutazione di base. È possibile iniziare filtrando l'elenco degli eventi imprevisti in base ai criteri di filtro disponibili, sia lo stato, la gravità o il nome del prodotto. Per altre informazioni, vedere Cercare eventi imprevisti.

  3. Valutare un evento imprevisto specifico ed eseguire immediatamente alcune azioni, direttamente dal riquadro dei dettagli nella pagina Eventi imprevisti , senza dover immettere la pagina dei dettagli completi dell'evento imprevisto.

    • Analizzare gli eventi imprevisti di Microsoft Defender XDR in Microsoft Defender XDR: seguire il collegamento Analisi in Microsoft Defender XDR per passare all'evento imprevisto parallelo nel portale di Defender. Tutte le modifiche apportate all'evento imprevisto in Microsoft Defender XDR verranno sincronizzate con lo stesso evento imprevisto in Microsoft Sentinel.

    • Aprire l'elenco delle attività assegnate: gli eventi imprevisti per i quali sono state assegnate attività visualizzeranno un conteggio delle attività completate e totali e un collegamento Visualizza dettagli completi. Seguire il collegamento per aprire il pannello Attività evento imprevisto per visualizzare l'elenco delle attività per questo evento imprevisto.

    • Assegnare la proprietà dell'evento imprevisto a un utente o a un gruppo selezionando dall'elenco a discesa Proprietario .

      Screenshot of assigning incident to user.

      Gli utenti e i gruppi selezionati di recente verranno visualizzati nella parte superiore dell'elenco a discesa con immagine.

    • Aggiornare lo stato dell'evento imprevisto, ad esempio da Nuovo a Attivo o Chiuso, selezionando dall'elenco a discesa Stato . Quando si chiude un evento imprevisto, sarà necessario specificare un motivo. Vedere di seguito per istruzioni.

    • Modificare la gravità dell'evento imprevisto selezionando nell'elenco a discesa Gravità .

    • Aggiungere tag per classificare gli eventi imprevisti. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere tag.

    • Aggiungere commenti per registrare azioni, idee, domande e altro ancora. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere commenti.

  4. Se le informazioni nel riquadro dei dettagli sono sufficienti per richiedere ulteriori azioni di correzione o mitigazione, selezionare il pulsante Azioni nella parte inferiore del riquadro dei dettagli per eseguire una delle operazioni seguenti:

    • Analisi: usare lo strumento di analisi grafica per individuare le relazioni tra avvisi, entità e attività, sia all'interno di questo evento imprevisto che in altri eventi imprevisti.

    • Run playbook (anteprima): eseguire un playbook su questo evento imprevisto per eseguire particolari azioni di arricchimento, collaborazione o risposta, ad esempio i tecnici SOC, potrebbero aver reso disponibili.

    • Creare una regola di automazione: creare una regola di automazione che verrà eseguita solo in caso di eventi imprevisti come questo (generato dalla stessa regola di analisi) in futuro, per ridurre il carico di lavoro futuro o per tenere conto di una modifica temporanea dei requisiti ,ad esempio per un test di penetrazione.

    • Creare un team (anteprima): creare un team in Microsoft Teams per collaborare con altri utenti o team in diversi reparti per gestire l'evento imprevisto.

    Screenshot of menu of actions that can be performed on an incident from the details pane.

  5. Se sono necessarie altre informazioni sull'evento imprevisto, selezionare Visualizza dettagli completi nel riquadro dei dettagli per aprire e visualizzare i dettagli dell'evento imprevisto nell'intero evento, inclusi gli avvisi e le entità nell'evento imprevisto, un elenco di eventi imprevisti simili e informazioni dettagliate principali selezionate.

Vedere le sezioni successive di questo articolo per seguire un percorso di indagine tipico, apprendere nel processo su tutte le informazioni che verranno visualizzate e tutte le azioni che è possibile eseguire.

Analizzare in profondità l'evento imprevisto

Microsoft Sentinel offre un'esperienza completa di analisi degli eventi imprevisti e gestione dei casi, in modo da poter analizzare, correggere e risolvere gli eventi imprevisti in modo più rapido ed efficiente. Ecco la nuova pagina dei dettagli dell'evento imprevisto:

Screenshot of incident details page, featuring the overview tab.

Preparare il terreno correttamente

Durante la configurazione per analizzare un evento imprevisto, assemblare gli elementi necessari per indirizzare il flusso di lavoro. In una barra dei pulsanti nella parte superiore della pagina dell'evento imprevisto sono disponibili gli strumenti seguenti, subito sotto il titolo.

Screenshot of the button bar on the incident details page.

  1. Selezionare Attività per visualizzare le attività assegnate per questo evento imprevisto o per aggiungere attività personalizzate.

    Altre informazioni sull'uso delle attività degli eventi imprevisti per migliorare la standardizzazione dei processi nel SOC.

  2. Selezionare Log attività per verificare se sono già state eseguite azioni su questo evento imprevisto, ad esempio tramite regole di automazione, e eventuali commenti che sono stati effettuati. È anche possibile aggiungere commenti personalizzati qui. Per altre informazioni sul log attività, vedere di seguito.

  3. Selezionare Log in qualsiasi momento per aprire una finestra di query completa e vuota di Log Analytics all'interno della pagina dell'evento imprevisto. Comporre ed eseguire una query, correlata o meno, senza uscire dall'evento imprevisto. Quindi, ogni volta che sei colpito con ispirazione improvvisa per andare a inseguire un pensiero, non preoccuparti di interrompere il tuo flusso. I log sono disponibili per l'utente.

    Per altre informazioni sui log, vedere di seguito.

Verrà visualizzato anche il pulsante Azioni evento imprevisto opposto alle schede Panoramica ed Entità . Qui sono disponibili le stesse azioni descritte in precedenza come disponibili dal pulsante Azioni nel riquadro dei dettagli nella pagina griglia Eventi imprevisti . L'unico elemento mancante è Ricerca, disponibile nel pannello dei dettagli a sinistra.

Screenshot of incident actions button available on incident details page.

Per riepilogare le azioni disponibili nel pulsante Azioni evento imprevisto:

  • Run playbook: eseguire un playbook su questo evento imprevisto per eseguire particolari azioni di arricchimento, collaborazione o risposta, ad esempio i tecnici SOC, potrebbero aver reso disponibili.

  • Creare una regola di automazione: creare una regola di automazione che verrà eseguita solo in caso di eventi imprevisti come questo (generato dalla stessa regola di analisi) in futuro, per ridurre il carico di lavoro futuro o per tenere conto di una modifica temporanea dei requisiti ,ad esempio per un test di penetrazione.

  • Creare un team (anteprima): creare un team in Microsoft Teams per collaborare con altri utenti o team in diversi reparti per gestire l'evento imprevisto. Se un team è già stato creato per questo evento imprevisto, questa voce di menu verrà visualizzata come Apri Teams.

Ottenere l'intera immagine nella pagina dei dettagli dell'evento imprevisto

Il pannello a sinistra della pagina dei dettagli dell'evento imprevisto contiene le stesse informazioni dettagliate sugli eventi imprevisti visualizzate nella pagina Eventi imprevisti a destra della griglia ed è praticamente invariato rispetto alla versione precedente. Questo pannello è sempre visualizzato, indipendentemente dalla scheda visualizzata nella parte restante della pagina. Da qui è possibile visualizzare le informazioni di base dell'evento imprevisto ed eseguire il drill-down nei modi seguenti:

  • Selezionare Eventi, Avvisi o Segnalibri per aprire il pannello Log all'interno della pagina dell'evento imprevisto. Il pannello Log verrà visualizzato con la query di qualsiasi delle tre opzioni selezionate ed è possibile esaminare i risultati della query in modo approfondito, senza passare dall'evento imprevisto. Altre informazioni sui log.

  • Selezionare una delle voci in Entità per visualizzarla nella scheda Entità. Di seguito sono illustrate solo le prime quattro entità dell'evento imprevisto. Per visualizzare il resto, selezionare Visualizza tutto o nel widget Entità nella scheda Panoramica o nella scheda Entità. Informazioni sulle operazioni che è possibile eseguire nella scheda Entità.

    Screenshot of details panel in incident details page.

È anche possibile selezionare Ricerca per aprire l'evento imprevisto nello strumento di analisi grafica che diagramma le relazioni tra tutti gli elementi dell'evento imprevisto.

Questo pannello può anche essere compresso nel margine sinistro dello schermo selezionando la piccola freccia doppia rivolta verso sinistra accanto all'elenco a discesa Proprietario . Anche in questo stato ridotto a icona, tuttavia, sarà comunque possibile modificare il proprietario, lo stato e la gravità.

Screenshot of collapsed side panel on incident details page.

Il resto della pagina dei dettagli dell'evento imprevisto è suddiviso in due schede, Panoramica ed Entità.

La scheda Panoramica contiene i widget seguenti, ognuno dei quali rappresenta un obiettivo essenziale dell'indagine.

La scheda Entities (Entità) mostra l'elenco completo delle entità nell'evento imprevisto (quelle del widget Entities sopra). Quando si seleziona un'entità nel widget, si viene indirizzati qui per visualizzare il dossier completo dell'entità, ovvero le informazioni di identificazione, una sequenza temporale dell'attività (sia all'interno che all'esterno dell'evento imprevisto) e il set completo di informazioni dettagliate sull'entità, proprio come si noterebbe nella pagina completa dell'entità (ma limitata all'intervallo di tempo appropriato per l'evento imprevisto).

Sequenza temporale degli eventi imprevisti

Il widget Sequenza temporale degli eventi imprevisti mostra la sequenza temporale degli avvisi e dei segnalibri nell'evento imprevisto, che consente di ricostruire la sequenza temporale dell'attività dell'utente malintenzionato.

È possibile eseguire una ricerca nell'elenco di avvisi e segnalibri oppure filtrare l'elenco in base alla gravità, alle tattiche o al tipo di contenuto (avviso o segnalibro) per trovare l'elemento da perseguire.

La visualizzazione iniziale della sequenza temporale indica immediatamente diversi aspetti importanti su ogni elemento, sia che si tratti di un avviso o di un segnalibro:

  • Data e ora della creazione dell'avviso o del segnalibro.
  • Tipo di elemento, avviso o segnalibro, indicato da un'icona e da una descrizione comando quando si passa il puntatore del mouse sull'icona.
  • Nome dell'avviso o del segnalibro, in grassetto nella prima riga dell'elemento.
  • Gravità dell'avviso, indicata da una banda di colori lungo il bordo sinistro e in forma di parola all'inizio del "sottotitolo" in tre parti dell'avviso.
  • Provider di avvisi, nella seconda parte del sottotitolo. Per i segnalibri, creatore del segnalibro.
  • Le tattiche MITRE ATT&CK associate all'avviso, indicate dalle icone e dagli strumenti Suggerimenti, nella terza parte del sottotitolo.

Passare il puntatore del mouse su qualsiasi icona o elemento di testo incompleto per visualizzare una descrizione comando con il testo completo dell'icona o dell'elemento di testo. Questi strumenti Suggerimenti sono utili quando il testo visualizzato viene troncato a causa della larghezza limitata del widget. Vedere l'esempio in questo screenshot:

Screenshot of incident timeline display details.

Selezionare un singolo avviso o un segnalibro per visualizzarne i dettagli completi.

  • I dettagli dell'avviso includono la gravità e lo stato dell'avviso, le regole di analisi che l'hanno generata, il prodotto che ha generato l'avviso, le entità indicate nell'avviso, le tattiche e le tecniche MITRE ATT&CK associate e l'ID avviso interno del sistema.

    Selezionare il collegamento ID avviso di sistema per eseguire il drill-down ulteriormente nell'avviso, aprire il pannello Log e visualizzare la query che ha generato i risultati e gli eventi che hanno attivato l'avviso.

  • I dettagli dei segnalibri non corrispondono esattamente ai dettagli dell'avviso, mentre includono anche entità, tattiche e tecniche MITRE ATT&CK e l'ID segnalibro, includono anche il risultato non elaborato e le informazioni sull'autore dei segnalibri.

    Selezionare il collegamento Visualizza log segnalibro per aprire il pannello Log e visualizzare la query che ha generato i risultati salvati come segnalibro.

    Screenshot of the details of an alert displayed in the incident details page.

Dal widget della sequenza temporale degli eventi imprevisti è anche possibile eseguire le azioni seguenti su avvisi e segnalibri:

Eventi imprevisti simili

In qualità di analista delle operazioni di sicurezza, quando si esamina un evento imprevisto, è consigliabile prestare attenzione al contesto più ampio. Ad esempio, è consigliabile verificare se altri eventi imprevisti come questo si sono verificati prima o stanno accadendo ora.

  • È possibile identificare eventi imprevisti simultanei che possono far parte della stessa strategia di attacco più grande.

  • Potrebbe essere necessario identificare eventi imprevisti simili in passato, per usarli come punti di riferimento per l'indagine corrente.

  • È possibile identificare i proprietari di eventi imprevisti simili precedenti, per trovare le persone nel SOC che possono fornire più contesto o a cui è possibile inoltrare l'indagine.

Il widget eventi imprevisti simili nella pagina dei dettagli dell'evento imprevisto presenta fino a 20 altri eventi imprevisti più simili a quello corrente. La somiglianza viene calcolata dagli algoritmi interni di Microsoft Sentinel e gli eventi imprevisti vengono ordinati e visualizzati in ordine decrescente di somiglianza.

Screenshot of the similar incidents display.

Come per il widget della sequenza temporale degli eventi imprevisti, è possibile passare il puntatore del mouse su qualsiasi testo visualizzato in modo incompleto a causa della larghezza della colonna per visualizzare il testo completo.

Esistono tre criteri in base ai quali viene determinata la somiglianza:

  • Entità simili: un evento imprevisto viene considerato simile a un altro evento imprevisto se includono entrambe le stesse entità. Più le entità due eventi imprevisti hanno in comune, più simili sono considerate.

  • Regola simile: un evento imprevisto viene considerato simile a un altro evento imprevisto se entrambi sono stati creati dalla stessa regola di analisi.

  • Dettagli di avviso simili: un evento imprevisto viene considerato simile a un altro evento imprevisto se condividono lo stesso titolo, nome del prodotto e/o dettagli personalizzati.

I motivi per cui un evento imprevisto viene visualizzato nell'elenco eventi imprevisti simili viene visualizzato nella colonna Motivo somiglianza. Passare il puntatore del mouse sull'icona delle informazioni per visualizzare gli elementi comuni (entità, nome regola o dettagli).

Screenshot of pop-up display of similar incident details.

La somiglianza degli eventi imprevisti viene calcolata in base ai dati dei 14 giorni precedenti all'ultima attività dell'evento imprevisto, ovvero l'ora di fine dell'avviso più recente nell'evento imprevisto.

La somiglianza degli eventi imprevisti viene ricalcolata ogni volta che si immette la pagina dei dettagli dell'evento imprevisto, pertanto i risultati possono variare tra le sessioni se sono stati creati o aggiornati nuovi eventi imprevisti.

Ottenere le informazioni più dettagliate sull'evento imprevisto

Gli esperti di sicurezza di Microsoft Sentinel hanno creato query che fanno automaticamente domande importanti sulle entità nell'evento imprevisto. È possibile visualizzare le risposte principali nel widget Informazioni dettagliate principali, visibile sul lato destro della pagina dei dettagli dell'evento imprevisto. Questo widget mostra una raccolta di informazioni dettagliate basate sia sull'analisi di Machine Learning che sulla cura dei team principali degli esperti di sicurezza.

Si tratta di alcune delle stesse informazioni dettagliate visualizzate nelle pagine delle entità, appositamente selezionate per aiutare l'utente a valutare rapidamente e comprendere l'ambito della minaccia. Per lo stesso motivo, le informazioni dettagliate per tutte le entità nell'evento imprevisto vengono presentate insieme per offrire un quadro più completo di ciò che accade.

Di seguito sono riportate le informazioni dettagliate principali attualmente selezionate (l'elenco è soggetto a modifiche):

  1. Azioni per account.
  2. Azioni sull'account .
  3. Informazioni dettagliate UEBA.
  4. Indicatori di minaccia correlati all'utente.
  5. Watchlist insights (anteprima).
  6. Numero anomalo elevato di eventi di sicurezza.
  7. Attività di accesso di Windows.
  8. Connessioni remote per indirizzi IP.
  9. Connessioni remote con indirizzo IP con corrispondenza TI.

Ognuna di queste informazioni dettagliate (ad eccezione di quelle relative alle watchlist, per il momento) include un collegamento che è possibile selezionare per aprire la query sottostante nel pannello Log che si apre nella pagina dell'evento imprevisto. È quindi possibile eseguire il drill-down nei risultati della query.

L'intervallo di tempo per il widget Informazioni dettagliate principali è compreso tra 24 ore prima del primo avviso dell'evento imprevisto fino all'ora dell'ultimo avviso.

Esplorare le entità dell'evento imprevisto

Il widget Entities (Entità) mostra tutte le entità identificate negli avvisi nell'evento imprevisto. Si tratta degli oggetti che hanno svolto un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o altri tipi.

È possibile cercare l'elenco di entità nel widget delle entità o filtrare l'elenco in base al tipo di entità per facilitare la ricerca di un'entità.

Screenshot of the actions you can take on an entity from the overview tab.

Se si sa già che una determinata entità è un indicatore noto di compromissione, selezionare i tre puntini nella riga dell'entità e scegliere Aggiungi a TI per aggiungere l'entità all'intelligence sulle minacce. Questa opzione è disponibile per i tipi di entità supportati.

Se si vuole attivare una sequenza di risposta automatica per una determinata entità, selezionare i tre puntini e scegliere Esegui playbook (anteprima). Questa opzione è disponibile per i tipi di entità supportati.

Selezionare un'entità per visualizzarne i dettagli completi. Quando si seleziona un'entità, si passerà dalla scheda Panoramica alla scheda Entità, un'altra parte della pagina dei dettagli dell'evento imprevisto.

Scheda Entità

La scheda Entità mostra un elenco di tutte le entità nell'evento imprevisto.

Screenshot of entities tab in incident details page.

Analogamente al widget delle entità, questo elenco può anche essere cercato e filtrato in base al tipo di entità. Le ricerche e i filtri applicati in un elenco non verranno applicati all'altro.

Selezionare una riga nell'elenco per visualizzare le informazioni dell'entità in un pannello laterale a destra.

Se il nome dell'entità viene visualizzato come collegamento, selezionando il nome dell'entità si reindirizzerà alla pagina dell'entità completa, all'esterno della pagina di indagine degli eventi imprevisti. Per visualizzare solo il pannello laterale senza uscire dall'evento imprevisto, selezionare la riga nell'elenco in cui viene visualizzata l'entità, ma non selezionarne il nome.

Qui è possibile eseguire le stesse azioni che è possibile eseguire dal widget nella pagina di panoramica. Selezionare i tre puntini nella riga dell'entità per eseguire un playbook o aggiungere l'entità all'intelligence sulle minacce.

È anche possibile eseguire queste azioni selezionando il pulsante accanto a Visualizza dettagli completi nella parte inferiore del pannello laterale. Il pulsante leggerà l'opzione Aggiungi a TI, Esegui playbook (anteprima) o Azioni entità, nel qual caso verrà visualizzato un menu con le altre due opzioni.

Il pulsante Visualizza dettagli completi verrà reindirizzato alla pagina dell'entità completa dell'entità.

Il pannello laterale include tre schede:

  • Le informazioni contengono informazioni di identificazione sull'entità. Ad esempio, per un'entità dell'account utente può trattarsi di nomi utente, nome di dominio, ID di sicurezza (SID), informazioni sull'organizzazione, informazioni di sicurezza e altro ancora e per un indirizzo IP che includerebbe, ad esempio, la georilevazione.

  • La sequenza temporale contiene un elenco di avvisi, segnalibri e anomalie che includono questa entità e anche le attività eseguite dall'entità, come raccolto dai log in cui viene visualizzata l'entità. Tutti gli avvisi con questa entità saranno inclusi in questo elenco, indipendentemente dal fatto che gli avvisi appartengano a questo evento imprevisto.

    Gli avvisi che non fanno parte dell'evento imprevisto verranno visualizzati in modo diverso: l'icona dello scudo verrà disattivata, la banda di colore di gravità sarà una linea tratteggiata anziché una linea continua e sarà presente un pulsante con un segno più sul lato destro della riga dell'avviso.

    Screenshot of entity timeline in entities tab.

    Selezionare il segno più per aggiungere l'avviso a questo evento imprevisto. Quando l'avviso viene aggiunto all'evento imprevisto, vengono aggiunte anche tutte le altre entità dell'avviso (che non fanno già parte dell'evento imprevisto). È ora possibile espandere ulteriormente l'indagine esaminando le sequenze temporali delle entità per gli avvisi correlati.

    Questa sequenza temporale è limitata agli avvisi e alle attività nei sette giorni precedenti. Per tornare indietro, passare alla sequenza temporale nella pagina dell'entità completa, il cui intervallo di tempo è personalizzabile.

  • Insights contiene i risultati delle query definite dai ricercatori di sicurezza Microsoft che forniscono informazioni di sicurezza preziose e contestuali sulle entità, in base ai dati di una raccolta di origini. Queste informazioni dettagliate includono quelle del widget Informazioni dettagliate principali e molte altre. Sono le stesse visualizzate nella pagina dell'entità completa, ma in un intervallo di tempo limitato: a partire da 24 ore prima del primo avviso nell'evento imprevisto e termina con l'ora dell'avviso più recente.

    La maggior parte delle informazioni dettagliate contiene collegamenti che, se selezionati, aprire il pannello Log che visualizza la query che ha generato le informazioni dettagliate insieme ai risultati.

Concentrarsi sull'indagine

Informazioni su come ampliare o restringere l'ambito dell'indagine aggiungendo avvisi agli eventi imprevisti o rimuovendo avvisi dagli eventi imprevisti.

Approfondire i dati nei log

Da qualsiasi punto dell'esperienza di indagine, sarà possibile selezionare un collegamento che aprirà una query sottostante nel pannello Log , nel contesto dell'indagine. Se si accede al pannello Log da uno di questi collegamenti, la query corrispondente verrà visualizzata nella finestra di query e la query verrà eseguita automaticamente e genererà i risultati appropriati da esplorare.

È anche possibile chiamare un pannello Log vuoto all'interno della pagina dei dettagli dell'evento imprevisto in qualsiasi momento, se si pensa a una query che si vuole provare durante l'analisi, mentre rimane nel contesto. A tale scopo, selezionare Log nella parte superiore della pagina.

Tuttavia, si finisce nel pannello Log, se è stata eseguita una query i cui risultati si desidera salvare:

  1. Contrassegnare la casella di controllo accanto alla riga da salvare tra i risultati. Per salvare tutti i risultati, contrassegnare la casella di controllo nella parte superiore della colonna.

  2. Salvare i risultati contrassegnati come segnalibro. A questo scopo, sono disponibili due opzioni:

    • Selezionare Aggiungi segnalibro all'evento imprevisto corrente per creare un segnalibro e aggiungerlo all'evento imprevisto aperto. Seguire le istruzioni del segnalibro per completare il processo. Al termine, il segnalibro verrà visualizzato nella sequenza temporale dell'evento imprevisto.

    • Selezionare Aggiungi segnalibro per creare un segnalibro senza aggiungerlo ad alcun evento imprevisto. Seguire le istruzioni del segnalibro per completare il processo. Sarà possibile trovare questo segnalibro insieme a tutti gli altri creati nella pagina Ricerca , nella scheda Segnalibri . Da qui è possibile aggiungerlo a questo o a qualsiasi altro evento imprevisto.

  3. Dopo aver creato il segnalibro (o se si sceglie di non farlo), selezionare Fine per chiudere il pannello Log .

Screenshot of Logs panel open in incident details page.

Controllare e commentare gli eventi imprevisti

Durante l'analisi di un evento imprevisto, è necessario documentare accuratamente i passaggi da eseguire, sia per garantire report accurati per la gestione che per consentire una perfetta collaborazione e collaborazione tra i colleghi. È anche possibile visualizzare chiaramente i record di eventuali azioni eseguite sull'evento imprevisto da altri utenti, inclusi i processi automatizzati. Microsoft Sentinel offre il log attività, un ambiente avanzato di controllo e commento, che consente di eseguire questa operazione.

È anche possibile arricchire automaticamente gli eventi imprevisti con commenti. Ad esempio, quando si esegue un playbook su un evento imprevisto che recupera informazioni rilevanti da origini esterne (ad esempio, controllando un file di malware in VirusTotal), è possibile posizionare il playbook sulla risposta dell'origine esterna, insieme a qualsiasi altra informazione definita, nei commenti dell'evento imprevisto.

Il log attività viene aggiornato automaticamente, anche durante l'apertura, in modo che sia sempre possibile visualizzare le modifiche in tempo reale. Si riceverà anche una notifica delle modifiche apportate al log attività mentre è aperto.

Per visualizzare il log di attività e commenti o per aggiungere commenti personalizzati:

  1. Selezionare Log attività nella parte superiore della pagina dei dettagli dell'evento imprevisto.
  2. Per filtrare il log per visualizzare solo le attività o solo i commenti, selezionare il controllo filtro nella parte superiore del log.
  3. Se si vuole aggiungere un commento, immetterlo nell'editor di testo RTF nella parte inferiore del pannello Log attività eventi imprevisti.
  4. Selezionare Commento per inviare il commento. Il commento verrà visualizzato nella parte superiore del log.

Screenshot of viewing and entering comments.

Considerazioni per i commenti

Di seguito sono riportate alcune considerazioni da tenere in considerazione quando si usano i commenti sugli eventi imprevisti.

Input supportato:

  • Testo: i commenti in Microsoft Sentinel supportano input di testo in testo normale, HTML di base e Markdown. È anche possibile incollare testo copiato, HTML e Markdown nella finestra dei commenti.

  • Collegamenti: i collegamenti devono essere sotto forma di tag di ancoraggio HTML e devono avere il parametro target="_blank". Esempio:

    <a href="https://www.url.com" target="_blank">link text</a>
    

    Nota

    Se sono presenti playbook che creano commenti negli eventi imprevisti, i collegamenti in tali commenti devono ora essere conformi a questo modello, a causa di una modifica nel formato dei commenti.

  • Immagini: è possibile inserire collegamenti alle immagini nei commenti e le immagini verranno visualizzate inline, ma le immagini devono essere già ospitate in una posizione accessibile pubblicamente, ad esempio Dropbox, OneDrive, Google Drive e simili. Le immagini non possono essere caricate direttamente nei commenti.

Limite di dimensioni:

  • Per commento: un singolo commento può contenere fino a 30.000 caratteri.

  • Per evento imprevisto: un singolo evento imprevisto può contenere fino a 100 commenti.

    Nota

    Il limite di dimensioni di un singolo record di eventi imprevisti nella tabella SecurityIncident in Log Analytics è di 64 KB. Se questo limite viene superato, i commenti (a partire dal meno recente) verranno troncati, che potrebbero influire sui commenti che verranno visualizzati nei risultati avanzati della ricerca .

    I record effettivi degli eventi imprevisti nel database degli eventi imprevisti non saranno interessati.

Chi può modificare o eliminare:

  • Modifica: solo l'autore di un commento ha l'autorizzazione per modificarla.

  • Eliminazione: solo gli utenti con il ruolo Collaboratore microsoft Sentinel hanno l'autorizzazione per eliminare i commenti. Anche l'autore del commento deve avere questo ruolo per eliminarlo.

Analizzare visivamente gli eventi imprevisti usando il grafico di indagine

Se si preferisce una rappresentazione grafica e visiva di avvisi, entità e connessioni tra di essi nell'indagine, è possibile eseguire molte delle operazioni descritte in precedenza anche con il grafico di indagine classico. Lo svantaggio del grafico è che si finisce per cambiare contesto molto di più.

Il grafico di indagine offre:

  • Contesto visivo basato sui dati non elaborati: il grafico visivo live consente di visualizzare le relazioni di entità estratte automaticamente dai dati non elaborati. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse.

  • Individuazione completa dell'ambito di indagine: è possibile espandere l'ambito dell'indagine usando query di esplorazione predefinite per esporre l'ambito completo della violazione.

  • Passaggi di indagine predefiniti: si possono usare le opzioni di esplorazione predefinite per assicurarsi di porre le domande corrette in caso di minaccia.

Per usare il grafico di indagine:

  1. Selezionare un evento imprevisto, quindi Ricerca causa. In questo modo si passa al grafico di indagine. Il grafico fornisce una mappa illustrativa delle entità direttamente collegate all'avviso e a ogni ulteriore risorsa collegata.

    View map.

    Importante

    • Sarà possibile analizzare l'evento imprevisto solo se la regola di analisi o il segnalibro generato contiene mapping di entità. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.

    • Il grafico di indagine supporta attualmente l'analisi degli eventi imprevisti fino a 30 giorni prima.

  2. Selezionare un'entità per aprire il riquadro Entità in modo da poter esaminare le informazioni su tale entità.

    View entities in map

  3. Espandere l'indagine passando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per ogni tipo di entità per approfondire l'indagine. Queste opzioni vengono chiamate query di esplorazione.

    Explore more details

    Ad esempio, è possibile richiedere avvisi correlati. Se si seleziona una query di esplorazione, le autorizzazioni risultanti vengono aggiunte di nuovo al grafico. In questo esempio, selezionando Avvisi correlati, sono stati restituiti gli avvisi seguenti nel grafico:

    Screenshot: view related alerts.

    Verificare che gli avvisi correlati vengano visualizzati connessi all'entità da linee tratteggiate.

  4. Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati dell'evento non elaborato e la query usata in Log Analytics selezionando Eventi>.

  5. Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.

    Screenshot: view timeline in map.

  6. Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in quale momento.

    Screenshot: use timeline in map to investigate alerts.'

Chiusura di un evento imprevisto

Dopo aver risolto un evento imprevisto specifico(ad esempio, quando l'indagine ha raggiunto la sua conclusione), è necessario impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, verrà chiesto di classificare l'evento imprevisto specificando il motivo per cui si sta chiudendo. Questo passaggio è obbligatorio. Fare clic su Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:

  • Vero positivo : attività sospetta
  • Positivo non dannoso: sospetto ma previsto
  • Falso positivo: logica di avviso non corretta
  • Falso positivo: dati non corretti
  • Indeterminato

Screenshot that highlights the classifications available in the Select classification list.

Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.

Dopo aver scelto la classificazione appropriata, aggiungere un testo descrittivo nel campo Commento . Ciò sarà utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, fare clic su Applica e l'evento imprevisto verrà chiuso.

{alt-text}

Cercare eventi imprevisti

Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzati di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate.

Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.

Ad esempio:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori Id evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.

Nota

Le ricerche nel campo Proprietario supportano sia nomi che indirizzi di posta elettronica.

L'uso di opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:

Comportamento di ricerca Descrizione
Colore del pulsante di ricerca Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca.
  • Se vengono selezionati solo i parametri predefiniti, il pulsante è grigio.
  • Non appena vengono selezionati parametri diversi, ad esempio i parametri di ricerca avanzati, il pulsante diventa blu.
Aggiornamento automatico L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati.
Parametri di entità Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità.
Stringhe di ricerca La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole.
Supporto tra aree di lavoro Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro.
Numero di risultati della ricerca visualizzati Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta.

Suggerimento

Se non si riesce a trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per restringere i risultati.

Passaggi successivi

In questo articolo si è appreso come iniziare a analizzare gli eventi imprevisti usando Microsoft Sentinel. Per altre informazioni, vedi: