Entità ed evidenza degli eventi imprevisti
- 5 minuti
Microsoft Sentinel usa diverse fonti di informazioni di sicurezza per creare gli eventi imprevisti. È necessario conoscere queste fonti per sfruttare al meglio la gestione degli eventi imprevisti in Microsoft Sentinel.
Evidenza dell'evento imprevisto
L'evidenza dell'evento imprevisto è costituita dalle informazioni sugli eventi di sicurezza e dagli asset di Microsoft Sentinel correlati che identificano le minacce nell'ambiente di Microsoft Sentinel. L'evidenza mostra come Microsoft Sentinel ha identificato una minaccia e include un collegamento a risorse specifiche utilizzabili per capire meglio i dettagli degli eventi imprevisti.
Eventi
Gli eventi contengono collegamenti a uno o più eventi specifici dalle aree di lavoro Log Analytics associate a Microsoft Sentinel. Queste aree di lavoro contengono in genere migliaia di eventi che sono troppo numerosi per essere analizzati manualmente.
Se una query associata a una regola di analisi di Microsoft Sentinel restituisce eventi, questi vengono associati all'evento imprevisto generato per potenziali altre verifiche. È possibile usare questi eventi per comprendere l'ambito e la frequenza dell'evento imprevisto prima di indagare ulteriormente.
Avvisi
La maggior parte degli eventi imprevisti viene generata a causa di un avviso di una regola di analisi. Di seguito sono riportati alcuni esempi di avvisi:
- Rilevamento di file sospetti.
- Rilevamento di attività utente sospette.
- Tentativo di elevazione dei privilegi.
Le regole di analisi generano avvisi basati su query KQL (Kusto Query Language) o sulla connessione diretta a soluzioni di Microsoft Security come Microsoft Defender per il cloud o Microsoft Defender XDR. Se si abilita il raggruppamento degli avvisi, Microsoft Sentinel include le evidenze degli avvisi correlate per l'evento imprevisto.
Segnalibri
Durante le indagini per un evento imprevisto, si potrebbero identificare eventi da monitorare o contrassegnare per analisi successive. È possibile conservare le query eseguite in Log Analytics scegliendo uno o più eventi e designandoli come segnalibri. È anche possibile registrare note e tag per aggiungere altre informazioni per i successivi processi di ricerca delle. I segnalibri sono disponibili per l'utente e i colleghi.
Entità degli eventi imprevisti
Un'entità di un evento imprevisto fa riferimento a una risorsa di rete o utente interessata da un evento. È possibile usare le entità come punti di ingresso per esplorare tutti gli avvisi e le correlazioni associati a tale entità.
Le relazioni tra entità sono utili per le indagini sugli eventi imprevisti. Anziché analizzare singolarmente gli avvisi di identità, gli avvisi di rete e gli avvisi di accesso ai dati, è possibile usare le entità per osservare tutti gli avvisi associati a un utente, un host o un indirizzo specifico nell'ambiente.
I tipi di entità includono:
- Account
- Host
- Protocollo Internet (IP)
- URL
- Hash del file
Le entità consentono ad esempio di identificare tutti gli avvisi associati a un utente specifico in Contoso, il computer host dell'utente e altri host a cui l'utente si è connesso. È possibile determinare quali indirizzi IP sono associati all'utente in questione, esponendo gli eventi e gli avvisi che potrebbero far parte dello stesso attacco.
Verifica delle conoscenze
Commenti e suggerimenti
Questa pagina è stata utile?
No
Serve aiuto con questo argomento?
Provare a usare Ask Learn per chiarire o guidare l'utente in questo argomento?