Incidenten beheren

  • 5 minuten

Nadat u Microsoft Sentinel hebt gebruikt om incidenten te genereren, kunnen u en het IT-team van Contoso de incidenten onderzoeken. Microsoft Sentinel heeft geavanceerde hulpprogramma's voor onderzoek en analyse die u kunt gebruiken om informatie te verzamelen en herstelstappen te bepalen.

Incidenten beoordelen

Als u beveiligingsproblemen wilt identificeren en oplossen, moet u eerst incidenten onderzoeken. De overzichtspagina van Microsoft Sentinel bevat een lijst met de meest recente incidenten voor snelzoekgidsen. Voor meer informatie en een volledig overzicht van incidenten gebruikt u de pagina Incidenten , waarin alle incidenten in de huidige werkruimte en details over deze incidenten worden weergegeven.

De pagina Incidenten bevat een volledige lijst met incidenten in Microsoft Sentinel. De pagina bevat ook basisinformatie over incidenten. Informatie omvat ernst, id, titel, waarschuwingen, productnamen, gemaakte tijd, laatste updatetijd, eigenaar en status. U kunt sorteren op elke incidentkolom en de lijst met incidenten filteren op naam, ernst, status, productnaam of eigenaar.

Screenshot of a list of incidents in Microsoft Sentinel.

Op deze pagina kunt u verschillende stappen ondernemen om incidenten te onderzoeken.

Belangrijk

Microsoft Entra-gebruikers die incidenten onderzoeken, moeten lid zijn van de rol Directory Reader.

Details van incidenten onderzoeken

Selecteer een incident op de pagina Incidenten om meer informatie weer te geven over het incident in het rechterdeelvenster. Dit deelvenster bevat een beschrijving van het incident en vermeldt de gerelateerde bewijzen, entiteiten en tactieken. Het deelvenster bevat ook koppelingen naar gekoppelde werkmappen en de analyseregel die het incident heeft gegenereerd. Deze informatie kan u helpen bij het verduidelijken van de aard, context en de werking van het incident.

Screenshot of the incident details pane.

Selecteer in het deelvenster Details van het incident de optie Volledige details weergeven om de pagina Incident te openen en meer informatie over het incident weer te geven. U kunt deze details gebruiken om de context van het incident beter te begrijpen. In een beveiligingsincident kunt u bijvoorbeeld naar de Log Analytics-query voor de waarschuwing gaan om het aantal aanvallen te bepalen.

Eigendom, status en ernst van incidenten beheren

Elk incident dat Microsoft Sentinel maakt, bevat gekoppelde metagegevens die u kunt bekijken en beheren. Met deze informatie kunt u het volgende doen:

  • Het eigendom van incidenten toewijzen en bijhouden.
  • De status van een incident instellen en bijhouden, van het maken tot de oplossing.
  • Ernst instellen en beoordelen.

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Eigendom

In een typische omgeving moet aan elk incident een eigenaar van het beveiligingsteam worden toegewezen. De eigenaar van het incident is verantwoordelijk voor het algehele incidentbeheer, inclusief onderzoek en statusupdates. U kunt het eigendom op elk gewenst moment wijzigen en het incident aan een ander lid van het beveiligingsteam toewijzen voor verder onderzoek of escalatie.

Status

Aan elk nieuw incident dat is gemaakt in Microsoft Sentinel, wordt de status Nieuw toegewezen. Wanneer u incidenten bekijkt en erop reageert, wijzigt u de status handmatig zodat deze overeenkomt met de huidige status van het incident. Voor incidenten die worden onderzocht, stelt u de status in op Actief. Wanneer een incident volledig is opgelost, stelt u de status in op Gesloten.

Wanneer u de status instelt op Gesloten, wordt u gevraagd een van de volgende oplossingen te kiezen:

  • Terecht positief - Verdachte activiteit
  • Goedaardig positief - Verdacht maar verwacht
  • Fout-positief - Onjuiste waarschuwingslogica
  • Fout-positief - Onnauwkeurige gegevens
  • Onbepaald

Ernst

Met de regel of microsoft-beveiligingsbron die het incident heeft gegenereerd, wordt de ernst in eerste instantie ingesteld. In de meeste gevallen blijft de ernst van incidenten ongewijzigd, maar u kunt de ernst wijzigen als u besluit dat het incident meer of minder ernstig is dan in eerste instantie is geclassificeerd. Opties voor ernst zijn informatief, laag, gemiddeld en hoog.

De onderzoeksgrafiek gebruiken

U kunt een incident verder onderzoeken door Onderzoeken te selecteren op de pagina Incident. Met deze actie wordt de onderzoeksgrafiek geopend. Dit is een visueel hulpprogramma waarmee u entiteiten kunt vaststellen die betrokken zijn bij de aanval en de relaties tussen deze entiteiten. Als het incident meerdere waarschuwingen in de loop van de tijd omvat, kunt u ook de waarschuwingstijdlijn en correlaties tussen waarschuwingen bekijken.

The screenshot shows the investigation graph.

Details van entiteiten controleren

U kunt elke entiteit selecteren in de grafiek om meer informatie over de entiteit te bekijken. Deze informatie omvat relaties met andere entiteiten, accountgebruik en gegevensstroomgegevens. Voor elk informatiegebied kunt u naar de gerelateerde gebeurtenissen in Log Analytics gaan en de gerelateerde waarschuwingsgegevens toevoegen aan de grafiek.

Details van incidenten controleren

U kunt het incidentitem in de grafiek selecteren om de metagegevens van incidenten te observeren die betrekking hebben op de beveiligings- en omgevingscontext van het incident.

Test uw kennis

1.

Welke incidentparameter moet u wijzigen om een incident te escaleren naar het beveiligingsteam van de volgende laag?

2.

Met welke Microsoft Sentinel-interface kunt u tijdlijnen en relaties tussen incidentbronnen bekijken?