Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come usare l'esperienza di analisi degli eventi imprevisti legacy di Microsoft Sentinel. Se stai usando la versione più recente dell'interfaccia, usa il set più recente di istruzioni da seguire. Per altre informazioni, vedere Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel.
Dopo aver connesso le origini dati a Microsoft Sentinel, si vuole ricevere una notifica quando si verifica un evento sospetto. Per eseguire questa operazione, Microsoft Sentinel consente di creare regole di analisi avanzate che generano eventi imprevisti che è possibile assegnare e analizzare.
Un evento imprevisto può includere più avvisi. Si tratta di un'aggregazione di tutte le prove rilevanti per un'indagine specifica. Un evento imprevisto viene creato in base alle regole di analisi create nella pagina Analisi . Le proprietà correlate agli avvisi, ad esempio gravità e stato, vengono impostate a livello di evento imprevisto. Dopo aver fatto sapere a Microsoft Sentinel quali tipi di minacce si stanno cercando e come trovarle, è possibile monitorare le minacce rilevate analizzando gli eventi imprevisti.
Importante
Le funzionalità annotate sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Prerequisiti
Potrai analizzare l'incidente solo se hai usato i campi di mapping delle entità quando hai configurato la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.
Se si dispone di un utente guest che deve assegnare incidenti, all'utente deve essere assegnato il ruolo Lettore directory nel tenant di Microsoft Entra. Gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.
Come analizzare gli eventi imprevisti
Selezionare Eventi imprevisti. La pagina Eventi imprevisti consente di conoscere il numero di eventi imprevisti presenti e se sono nuovi, attivi o chiusi. Per ogni evento imprevisto, è possibile visualizzare l'ora in cui si è verificato e lo stato dell'evento imprevisto. Esaminare la gravità per decidere quali eventi imprevisti gestire per primo.
È possibile filtrare gli eventi imprevisti in base alle esigenze, ad esempio in base allo stato o alla gravità. Per altre informazioni, vedere Cercare eventi imprevisti.
Per avviare un'indagine, selezionare un evento imprevisto specifico. A destra, è possibile visualizzare informazioni dettagliate sull'evento imprevisto, tra cui la relativa gravità, il riepilogo del numero di entità coinvolte, gli eventi non elaborati che hanno attivato questo evento imprevisto, l'ID univoco dell'evento imprevisto e qualsiasi tattica o tecniche MITRE ATT&CK mappate.
Per visualizzare altri dettagli sugli avvisi e sulle entità nell'evento imprevisto, selezionare Visualizza dettagli completi nella pagina degli eventi imprevisti ed esaminare le schede pertinenti che riepilogano le informazioni sull'evento imprevisto.
Se attualmente si usa la nuova esperienza, disattivarla in alto a destra nella pagina dei dettagli dell'incidente per usare invece l'esperienza precedente.
Nella scheda Sequenza temporale, esaminare la sequenza temporale degli avvisi e dei segnalibri nell'incidente, che consente di ricostruire la sequenza temporale dell'attività dell'attaccante.
Nella scheda Eventi imprevisti simili (anteprima) viene visualizzata una raccolta di fino a 20 altri eventi imprevisti più simili all'evento imprevisto corrente. Ciò consente di visualizzare l'evento imprevisto in un contesto più ampio e di indirizzare l'indagine. Altre informazioni su eventi imprevisti simili sono disponibili di seguito.
Nella scheda Avvisi esaminare gli avvisi inclusi in questo evento imprevisto. Vengono visualizzate tutte le informazioni pertinenti sugli avvisi, ovvero le regole di analisi che le hanno generate, il numero di risultati restituiti per ogni avviso e la possibilità di eseguire playbook sugli avvisi. Per analizzare ulteriormente l'incidente, seleziona il numero di eventi. Verrà aperta la query che ha generato i risultati e gli eventi che hanno attivato l'avviso in Log Analytics.
Nella scheda Segnalibri vengono visualizzati eventuali segnalibri che tu o altri investigatori avete collegato a questo incidente. Altre informazioni sui segnalibri.
Nella scheda Entità è possibile visualizzare tutte le entitàmappate come parte della definizione della regola di avviso. Si tratta degli oggetti che hanno svolto un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o altri tipi.
Infine, nella scheda Commenti è possibile aggiungere i commenti sull'indagine e visualizzare eventuali commenti fatti da altri analisti e investigatori. Altre informazioni sui commenti.
Se si sta esaminando attivamente un evento imprevisto, è consigliabile impostare lo stato dell'evento imprevisto su Attivo fino a quando non viene chiuso.
Gli eventi imprevisti possono essere assegnati a un utente specifico o a un gruppo. Per ogni evento imprevisto è possibile assegnare un proprietario impostando il campo Proprietario . Tutti gli eventi imprevisti iniziano come non assegnati. È anche possibile aggiungere commenti in modo che altri analisti siano in grado di comprendere cosa è stato esaminato e quali sono le preoccupazioni relative all'evento imprevisto.
Gli utenti e i gruppi selezionati di recente vengono visualizzati nella parte superiore dell'elenco a discesa con immagine.
Seleziona Indaga per visualizzare la mappa dell'indagine.
Usare il grafico di indagine per approfondire
Il grafico dell'indagine consente agli analisti di porre le domande giuste per ogni indagine. Il grafico dell'indagine consente di comprendere l'ambito e identificare la causa radice di una potenziale minaccia alla sicurezza correlando i dati pertinenti con qualsiasi entità coinvolta. È possibile approfondire e analizzare qualsiasi entità presentata nel grafico selezionandola e scegliendo tra diverse opzioni di espansione.
Il grafico di indagine offre:
Contesto visivo dai dati non elaborati: il grafico visivo live visualizza le relazioni di entità estratte automaticamente dai dati non elaborati. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse.
Individuazione completa dell'ambito di indagine: espandere l'ambito di indagine usando query di esplorazione predefinite per visualizzare l'ambito completo di una violazione.
Passaggi di indagine predefiniti: usare le opzioni di esplorazione predefinite per assicurarsi di porre le domande giuste in caso di minaccia.
Per usare il grafico di indagine:
Selezionare un evento imprevisto, quindi selezionare Analizza. In questo modo si passa al grafico di indagine. Il grafico fornisce una mappa illustrativa delle entità direttamente collegate all'avviso e a ogni ulteriore risorsa collegata.
Importante
Potrai analizzare l'incidente solo se hai usato i campi di mapping delle entità quando hai configurato la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.
Microsoft Sentinel supporta attualmente l'analisi degli eventi imprevisti fino a 30 giorni prima.
Selezionare un'entità per aprire il riquadro Entità in modo da poter esaminare le informazioni su tale entità.
Espandere l'indagine passando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per ogni tipo di entità per approfondire l'indagine. Queste opzioni vengono chiamate query di esplorazione.
Ad esempio, è possibile richiedere avvisi correlati. Se si seleziona una query di esplorazione, le autorizzazioni risultanti vengono aggiunte di nuovo al grafico. In questo esempio, selezionando Avvisi correlati , sono stati restituiti gli avvisi seguenti nel grafico:
Verificare che gli avvisi correlati vengano visualizzati connessi all'entità da linee tratteggiate.
Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati dell'evento non elaborato e la query usata in Log Analytics selezionando Eventi>.
Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.
Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in quale momento.
Concentrarsi sull'indagine
Informazioni su come ampliare o restringere l'ambito dell'indagine aggiungendo avvisi agli eventi imprevisti o rimuovendo avvisi dagli eventi imprevisti.
Eventi imprevisti simili (anteprima)
In qualità di analista delle operazioni di sicurezza, durante l'analisi di un evento imprevisto si vuole prestare attenzione al contesto più ampio. Ad esempio, è consigliabile verificare se altri eventi imprevisti come questo si sono verificati prima o stanno accadendo ora.
È possibile identificare eventi imprevisti simultanei che potrebbero far parte della stessa strategia di attacco più grande.
Potrebbe essere necessario identificare eventi imprevisti simili in passato, per usarli come punti di riferimento per l'indagine corrente.
È possibile identificare i proprietari di eventi imprevisti simili precedenti, per trovare le persone nel SOC che possono fornire più contesto o a cui è possibile inoltrare l'indagine.
La scheda eventi imprevisti simili nella pagina dei dettagli dell'evento imprevisto, ora in anteprima, presenta fino a 20 altri eventi imprevisti più simili a quello corrente. La somiglianza viene calcolata dagli algoritmi interni di Microsoft Sentinel e gli eventi imprevisti vengono ordinati e visualizzati in ordine decrescente di somiglianza.
Calcolo della somiglianza
Esistono tre criteri in base ai quali viene determinata la somiglianza:
Entità simili: Un evento imprevisto viene considerato simile a un altro evento imprevisto se includono entrambe le stesse entità. Più entità hanno in comune due eventi imprevisti, più simili sono considerati.
Regola simile: Un evento imprevisto viene considerato simile a un altro evento imprevisto se entrambi sono stati creati dalla stessa regola di analisi.
Dettagli dell'avviso simili: Un evento imprevisto viene considerato simile a un altro evento imprevisto se condividono lo stesso titolo, il nome del prodotto e/o i dettagli personalizzati.
I motivi per cui un evento imprevisto viene visualizzato nell'elenco eventi imprevisti simili viene visualizzato nella colonna Motivo somiglianza . Passare il puntatore del mouse sull'icona delle informazioni per visualizzare gli elementi comuni (entità, nome regola o dettagli).
Intervallo di tempo di somiglianza
La somiglianza degli eventi imprevisti viene calcolata in base ai dati dei 14 giorni precedenti all'ultima attività dell'evento imprevisto, ovvero l'ora di fine dell'avviso più recente nell'evento imprevisto.
La somiglianza degli eventi imprevisti viene ricalcolata ogni volta che si immette la pagina dei dettagli dell'evento imprevisto, pertanto i risultati possono variare tra le sessioni se sono stati creati o aggiornati nuovi eventi imprevisti.
Commentare gli eventi imprevisti
In qualità di analista delle operazioni di sicurezza, durante l'analisi di un evento imprevisto è necessario documentare accuratamente i passaggi da eseguire, sia per garantire report accurati per la gestione che per consentire la collaborazione e la collaborazione tra i colleghi. Microsoft Sentinel offre un ambiente di commento avanzato che consente di ottenere questo risultato.
Un altro aspetto importante dei commenti è la capacità di arricchire automaticamente gli incidenti. Quando si esegue un playbook su un evento imprevisto che recupera informazioni rilevanti da origini esterne (ad esempio, controllando un file di malware in VirusTotal), è possibile posizionare il playbook sulla risposta dell'origine esterna, insieme alle altre informazioni definite, nei commenti dell'evento imprevisto.
I commenti sono semplici da usare. È possibile accedervi tramite la scheda Commenti nella pagina dei dettagli dell'evento imprevisto.
Domande frequenti sui commenti agli eventi imprevisti
Quando si usano i commenti sugli eventi imprevisti, è necessario tenere conto di diverse considerazioni. L'elenco seguente di domande fa riferimento a queste considerazioni.
Quali tipi di input sono supportati?
Testo: I commenti in Microsoft Sentinel supportano input di testo in testo normale, HTML di base e Markdown. È anche possibile incollare testo copiato, HTML e Markdown nella finestra dei commenti.
Immagini: È possibile inserire collegamenti alle immagini nei commenti e le immagini vengono visualizzate inline, ma le immagini devono essere già ospitate in una posizione accessibile pubblicamente, ad esempio Dropbox, OneDrive, Google Drive e simili. Le immagini non possono essere caricate direttamente nei commenti.
Esiste un limite di dimensioni per i commenti?
Per commento: Un singolo commento può contenere fino a 30.000 caratteri.
Per evento imprevisto: Un singolo evento imprevisto può contenere fino a 100 commenti.
Annotazioni
Il limite di dimensioni di un singolo record di eventi imprevisti nella tabella SecurityIncident in Log Analytics è di 64 KB. Se questo limite viene superato, i commenti (a partire dal meno recente) verranno troncati, che potrebbero influire sui commenti che verranno visualizzati nei risultati avanzati della ricerca .
Le registrazioni effettive degli incidenti nel database degli incidenti non saranno influenzate.
Chi può modificare o eliminare commenti?
Redazione: Solo l'autore di un commento ha l'autorizzazione per modificarla.
Eliminazione: Solo gli utenti con il ruolo Collaboratore microsoft Sentinel hanno l'autorizzazione per eliminare i commenti. Anche l'autore del commento deve avere questo ruolo per eliminarlo.
Chiudere un evento imprevisto
Dopo aver risolto un evento imprevisto specifico( ad esempio, quando l'indagine ha raggiunto la sua conclusione), è necessario impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, ti verrà chiesto di classificare l'incidente specificando il motivo per cui lo stai chiudendo. Questo passaggio è obbligatorio. Selezionare Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:
- Vero positivo - Attività sospetta
- Positivo Benigno - sospetto ma previsto
- Falso positivo - Logica di avviso non corretta
- Falso positivo : dati non corretti
- Indeterminato
Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.
Dopo aver scelto la classificazione appropriata, aggiungere un testo descrittivo nel campo Commento . Ciò è utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, selezionare Applica e l'evento imprevisto viene chiuso.
Cercare eventi imprevisti
Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzati di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate.
Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.
Per esempio:
Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori Id evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.
Annotazioni
Le ricerche nel campo Proprietario supportano sia nomi che indirizzi di posta elettronica.
L'uso di opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:
| Comportamento di ricerca | Descrizione |
|---|---|
| Colore del pulsante di ricerca | Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca.
|
| Aggiornamento automatico | L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati. |
| Parametri di entità | Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità. |
| Stringhe di ricerca | La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole. |
| Supporto tra aree di lavoro | Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro. |
| Numero di risultati della ricerca visualizzati | Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta. |
Suggerimento
Se non si riesce a trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per restringere i risultati.
Contenuti correlati
In questo articolo si è appreso come iniziare a analizzare gli eventi imprevisti usando Microsoft Sentinel. Per altre informazioni, vedere: