Badanie zdarzeń za pomocą usługi Microsoft Sentinel

Ważne

Zanotowane funkcje są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Ten artykuł ułatwia badanie zdarzeń w usłudze Microsoft Sentinel. Po połączeniu źródeł danych z usługą Microsoft Sentinel chcesz zostać powiadomiony, gdy coś podejrzanego się stanie. Aby to zrobić, usługa Microsoft Sentinel umożliwia tworzenie zaawansowanych reguł analizy generujących zdarzenia, które można przypisywać i badać.

W tym artykule opisano:

  • Badanie zdarzeń
  • Korzystanie z wykresu badania
  • Reagowanie na zagrożenia

Zdarzenie może obejmować wiele alertów. Jest to agregacja wszystkich istotnych dowodów na konkretne dochodzenie. Zdarzenie jest tworzone na podstawie reguł analizy utworzonych na stronie Analiza . Właściwości związane z alertami, takimi jak ważność i stan, są ustawiane na poziomie zdarzenia. Po powiadomieniu usługi Microsoft Sentinel, jakiego rodzaju zagrożenia szukasz i jak je znaleźć, możesz monitorować wykryte zagrożenia, badając zdarzenia.

Wymagania wstępne

  • Będzie można zbadać zdarzenie tylko wtedy, gdy podczas konfigurowania reguły analizy użyto pól mapowania jednostek. Graf badania wymaga, aby oryginalny incydent zawierał jednostki.

  • Jeśli masz użytkownika-gościa, który musi przypisywać zdarzenia, użytkownik musi mieć przypisaną rolę Czytelnik katalogu w dzierżawie Azure AD. Domyślnie do tej roli przypisano zwykłą (nie-gościa).

Jak badać zdarzenia

  1. Wybierz pozycję Incydenty. Strona Incydenty informuje o liczbie posiadanych zdarzeń oraz o tym, czy są nowe, aktywne lub zamknięte. Dla każdego zdarzenia można zobaczyć czas jego wystąpienia i stan zdarzenia. Przyjrzyj się ważności, aby zdecydować, które zdarzenia mają być obsługiwane jako pierwsze.

    Zrzut ekranu przedstawiający widok ważności zdarzenia.

  2. Zdarzenia można filtrować w zależności od potrzeb, na przykład według stanu lub ważności. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zdarzeń.

  3. Aby rozpocząć badanie, wybierz określone zdarzenie. Po prawej stronie można zobaczyć szczegółowe informacje o zdarzeniu, w tym jego ważność, podsumowanie liczby zaangażowanych jednostek, nieprzetworzone zdarzenia, które wywołały ten incydent, unikatowy identyfikator zdarzenia i wszelkie mapowane taktyki lub techniki MITRE ATT&CK.

  4. Aby wyświetlić więcej szczegółów na temat alertów i jednostek w zdarzeniu, wybierz pozycję Wyświetl pełne szczegóły na stronie zdarzenia i przejrzyj odpowiednie karty podsumowujące informacje o zdarzeniu.

    Zrzut ekranu przedstawiający widok szczegółów alertu.

    • Na karcie Oś czasu przejrzyj oś czasu alertów i zakładek w zdarzeniu, co może pomóc w odtworzeniu osi czasu działania osoby atakującej.

    • Na karcie Podobne zdarzenia (wersja zapoznawcza) zobaczysz kolekcję maksymalnie 20 innych zdarzeń, które najbardziej przypominają bieżące zdarzenie. Dzięki temu można wyświetlić zdarzenie w większym kontekście i pomóc w kierowaniu badania. Dowiedz się więcej o podobnych incydentach poniżej.

    • Na karcie Alerty przejrzyj alerty uwzględnione w tym zdarzeniu. Zostaną wyświetlone wszystkie istotne informacje o alertach — reguły analizy, które je wygenerowały, liczba zwróconych wyników na alert oraz możliwość uruchamiania podręczników w alertach. Aby przejść do szczegółów zdarzenia, wybierz liczbę zdarzeń. Spowoduje to otwarcie zapytania, które wygenerowało wyniki i zdarzenia, które wyzwoliły alert w usłudze Log Analytics.

    • Na karcie Zakładki zobaczysz wszystkie zakładki powiązane z tym incydentem. Dowiedz się więcej o zakładkach.

    • Na karcie Jednostki są widoczne wszystkie jednostkimapowane w ramach definicji reguły alertu. Są to obiekty, które odegrały rolę w zdarzeniu, niezależnie od tego, czy są to użytkownicy, urządzenia, adresy, pliki, czy inne typy.

    • Na koniec na karcie Komentarze możesz dodać komentarze do badania i wyświetlić wszelkie komentarze dokonane przez innych analityków i badaczy. Dowiedz się więcej o komentarzach.

  5. Jeśli aktywnie badasz zdarzenie, dobrym pomysłem jest ustawienie stanu zdarzenia na Aktywny , dopóki go nie zamkniesz.

  6. Zdarzenia można przypisać do określonego użytkownika lub do grupy. Dla każdego incydentu można przypisać właściciela, ustawiając pole Właściciel . Wszystkie zdarzenia zaczynają się jako nieprzypisane. Możesz również dodać komentarze, aby inni analitycy mogli zrozumieć, co zbadano i jakie są Twoje obawy dotyczące zdarzenia.

    Zrzut ekranu przedstawiający przypisywanie zdarzenia do użytkownika.

    Ostatnio wybrani użytkownicy i grupy będą wyświetlane w górnej części wyświetlonej listy rozwijanej.

  7. Wybierz pozycję Zbadaj , aby wyświetlić mapę badania.

Szczegółowe omówienie za pomocą grafu badania

Wykres badania umożliwia analitykom zadawanie odpowiednich pytań dla każdego badania. Wykres badania pomaga zrozumieć zakres i zidentyfikować główną przyczynę potencjalnego zagrożenia bezpieczeństwa, korelując odpowiednie dane z dowolną zaangażowaną jednostką. Możesz dokładniej zbadać dowolną jednostkę przedstawioną na wykresie, wybierając ją i wybierając między różnymi opcjami rozszerzania.

Wykres badania zapewnia następujące elementy:

  • Kontekst wizualny z nieprzetworzonych danych: dynamiczny wykres wizualny wyświetla relacje jednostek wyodrębnione automatycznie z danych pierwotnych. Dzięki temu można łatwo wyświetlać połączenia między różnymi źródłami danych.

  • Odnajdywanie zakresu pełnego badania: rozwiń zakres badania przy użyciu wbudowanych zapytań eksploracji, aby uzyskać pełny zakres naruszenia zabezpieczeń.

  • Wbudowane kroki badania: użyj wstępnie zdefiniowanych opcji eksploracji, aby upewnić się, że zadajesz odpowiednie pytania w obliczu zagrożenia.

Aby użyć grafu badania:

  1. Wybierz zdarzenie, a następnie wybierz pozycję Zbadaj. Spowoduje to przejście do wykresu badania. Wykres zawiera ilustrcyjną mapę jednostek połączonych bezpośrednio z alertem, a każdy zasób jest połączony dalej.

    Wyświetl mapę.

    Ważne

    • Będzie można zbadać zdarzenie tylko wtedy, gdy podczas konfigurowania reguły analizy użyto pól mapowania jednostek. Graf badania wymaga, aby oryginalny incydent zawierał jednostki.

    • Usługa Microsoft Sentinel obsługuje obecnie badanie zdarzeń do 30 dni.

  2. Wybierz jednostkę, aby otworzyć okienko Jednostki , aby przejrzeć informacje dotyczące tej jednostki.

    Wyświetlanie jednostek na mapie

  3. Rozszerz badanie, umieszczając wskaźnik myszy na każdej jednostce, aby wyświetlić listę pytań zaprojektowanych przez naszych ekspertów ds. zabezpieczeń i analityków na typ jednostki w celu pogłębienia badania. Nazywamy to zapytaniami eksploracji tych opcji.

    Dowiedz się więcej szczegółów

    Możesz na przykład zażądać powiązanych alertów. Jeśli wybierzesz zapytanie eksploracji, wynikowe uprawnienia zostaną dodane z powrotem do grafu. W tym przykładzie wybranie pozycji Powiązane alerty zwróciło następujące alerty do wykresu:

    Zrzut ekranu: wyświetlanie powiązanych alertów

    Sprawdź, czy powiązane alerty są połączone z jednostką według wierszy kropkowanych.

  4. Dla każdego zapytania eksploracji można wybrać opcję otwarcia nieprzetworzonych wyników zdarzeń i zapytania używanego w usłudze Log Analytics, wybierając pozycję Zdarzenia>.

  5. Aby zrozumieć incydent, wykres przedstawia równoległą oś czasu.

    Zrzut ekranu: wyświetlanie osi czasu na mapie.

  6. Umieść kursor na osi czasu, aby zobaczyć, które elementy na grafie wystąpiły w jakim momencie.

    Zrzut ekranu: użyj osi czasu na mapie, aby zbadać alerty

Skup się na śledztwie

Dowiedz się, jak rozszerzyć lub zawęzić zakres badania, dodając alerty do zdarzeń lub usuwając alerty ze zdarzeń.

Podobne zdarzenia (wersja zapoznawcza)

Jako analityk operacji zabezpieczeń podczas badania incydentu warto zwrócić uwagę na jego większy kontekst. Na przykład warto sprawdzić, czy inne zdarzenia takie jak te miały miejsce wcześniej, czy teraz występują.

  • Możesz zidentyfikować współbieżne zdarzenia, które mogą być częścią tej samej większej strategii ataku.

  • Możesz zidentyfikować podobne incydenty w przeszłości, aby użyć ich jako punktów odniesienia dla bieżącego badania.

  • Możesz zidentyfikować właścicieli poprzednich podobnych zdarzeń, aby znaleźć osoby w SOC, które mogą zapewnić większy kontekst lub do których można eskalować dochodzenie.

Podobna karta zdarzeń na stronie szczegółów zdarzenia, teraz w wersji zapoznawczej, przedstawia maksymalnie 20 innych zdarzeń, które są najbardziej podobne do bieżącego. Podobieństwo jest obliczane przez wewnętrzne algorytmy usługi Microsoft Sentinel, a zdarzenia są sortowane i wyświetlane w kolejności malejącej podobieństwa.

Zrzut ekranu przedstawiający podobne zdarzenia.

Obliczenie podobieństwa

Istnieją trzy kryteria określania podobieństwa:

  • Podobne jednostki: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli oba te zdarzenia obejmują te same jednostki. Im więcej jednostek dwa incydenty są wspólne, tym bardziej podobne są one uważane za.

  • Podobna reguła: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli zostały utworzone przez tę samą regułę analizy.

  • Podobne szczegóły alertu: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli mają ten sam tytuł, nazwę produktu i/lub szczegóły niestandardowe.

Przyczyny wystąpienia zdarzenia na podobnej liście zdarzeń są wyświetlane w kolumnie Przyczyna podobieństwa . Umieść kursor na ikonie informacji, aby wyświetlić wspólne elementy (jednostki, nazwę reguły lub szczegóły).

Zrzut ekranu przedstawiający wyskakujące okienko z podobnymi szczegółami zdarzenia.

Przedział czasu podobieństwa

Podobieństwo zdarzenia jest obliczane na podstawie danych z 14 dni przed ostatnim działaniem w zdarzeniu, które jest czasem zakończenia ostatniego alertu w zdarzeniu.

Podobieństwo zdarzenia jest ponownie obliczane za każdym razem, gdy wprowadzasz stronę szczegółów zdarzenia, więc wyniki mogą się różnić między sesjami, jeśli nowe zdarzenia zostały utworzone lub zaktualizowane.

Komentarz do zdarzeń

Jako analityk operacji zabezpieczeń podczas badania incydentu należy dokładnie udokumentować wykonywane czynności, zarówno w celu zapewnienia dokładnego raportowania zarządzania, jak i umożliwienia bezproblemowej współpracy i współpracy między współpracownikami. Usługa Microsoft Sentinel udostępnia rozbudowane środowisko komentowania, które pomoże Ci to osiągnąć.

Kolejną ważną rzeczą, którą można zrobić z komentarzami, jest automatyczne wzbogacanie zdarzeń. Po uruchomieniu podręcznika w incydencie, który pobiera odpowiednie informacje ze źródeł zewnętrznych (na przykład sprawdzanie pliku złośliwego oprogramowania w VirusTotal), podręcznik może umieścić odpowiedź źródła zewnętrznego — wraz z innymi informacjami zdefiniowanymi przez Ciebie — w komentarzach zdarzenia.

Komentarze są proste do użycia. Dostęp do nich można uzyskać za pośrednictwem karty Komentarze na stronie szczegółów zdarzenia.

Zrzut ekranu przedstawiający wyświetlanie i wprowadzanie komentarzy.

Często zadawane pytania

Podczas korzystania z komentarzy o zdarzeniach należy wziąć pod uwagę kilka zagadnień. Poniższa lista pytań wskazuje na te zagadnienia.

Jakie rodzaje danych wejściowych są obsługiwane?

  • Tekst: Komentarze w usłudze Microsoft Sentinel obsługują wprowadzanie tekstu w postaci zwykłego tekstu, podstawowego kodu HTML i języka Markdown. Możesz również wkleić skopiowany tekst, kod HTML i markdown do okna komentarza.

  • Obrazów: Możesz wstawić linki do obrazów w komentarzach, a obrazy będą wyświetlane w tekście, ale obrazy muszą być już hostowane w publicznie dostępnej lokalizacji, takiej jak Dropbox, OneDrive, Google Drive i podobne. Nie można przekazać obrazów bezpośrednio do komentarzy.

Czy istnieje limit rozmiaru komentarzy?

  • Według komentarza: Pojedynczy komentarz może zawierać maksymalnie 30 000 znaków.

  • Na zdarzenie: Pojedyncze zdarzenie może zawierać maksymalnie 100 komentarzy.

    Uwaga

    Limit rozmiaru pojedynczego rekordu zdarzenia w tabeli SecurityIncident w usłudze Log Analytics wynosi 64 KB. Jeśli ten limit zostanie przekroczony, komentarze (począwszy od najwcześniejszego) zostaną obcięte, co może mieć wpływ na komentarze, które będą wyświetlane w zaawansowanych wynikach wyszukiwania .

    Rzeczywiste rekordy zdarzeń w bazie danych zdarzeń nie będą miały wpływu.

Kto może edytować lub usuwać komentarze?

  • Edycji: Tylko autor komentarza ma uprawnienia do jego edytowania.

  • Usuwanie: Tylko użytkownicy z rolą Współautor usługi Microsoft Sentinel mają uprawnienia do usuwania komentarzy. Nawet autor komentarza musi mieć tę rolę, aby ją usunąć.

Zamykanie zdarzenia

Po rozwiązaniu określonego zdarzenia (na przykład po osiągnięciu jej wniosku) należy ustawić stan zdarzenia na Zamknięty. Gdy to zrobisz, zostanie wyświetlony monit o sklasyfikowanie zdarzenia, określając przyczynę jego zamknięcia. Ten krok jest obowiązkowy. Kliknij pozycję Wybierz klasyfikację i wybierz jedną z następujących pozycji z listy rozwijanej:

  • Wynik prawdziwie dodatni — podejrzana aktywność
  • Wynik nieszkodliwie dodatni — podejrzane, ale oczekiwane
  • Wynik fałszywie dodatni — nieprawidłowa logika alertu
  • Wynik fałszywie dodatni — nieprawidłowe dane
  • Nieokreślone

Zrzut ekranu przedstawiający klasyfikacje dostępne na liście Wybierz klasyfikację.

Aby uzyskać więcej informacji na temat wyników fałszywie dodatnich i łagodnych, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Po wybraniu odpowiedniej klasyfikacji dodaj tekst opisowy w polu Komentarz . Będzie to przydatne w przypadku, gdy trzeba odwołać się do tego zdarzenia. Kliknij przycisk Zastosuj po zakończeniu, a zdarzenie zostanie zamknięte.

{alt-text}

Wyszukiwanie zdarzeń

Aby szybko znaleźć określone zdarzenie, wprowadź ciąg wyszukiwania w polu wyszukiwania powyżej siatki zdarzeń i naciśnij klawisz Enter , aby zmodyfikować listę wyświetlanych zdarzeń. Jeśli zdarzenie nie jest uwzględnione w wynikach, możesz zawęzić wyszukiwanie przy użyciu opcji wyszukiwania zaawansowanego .

Aby zmodyfikować parametry wyszukiwania, wybierz przycisk Wyszukaj , a następnie wybierz parametry, w których chcesz uruchomić wyszukiwanie.

Przykład:

Zrzut ekranu przedstawiający pole wyszukiwania i przycisk zdarzenia, aby wybrać opcje wyszukiwania podstawowego i/lub zaawansowanego.

Domyślnie wyszukiwanie zdarzeń jest uruchamiane tylko w obrębie wartości identyfikatora zdarzenia, tytułu, tagów, właściciela i nazwy produktu . W okienku wyszukiwania przewiń listę w dół, aby wybrać co najmniej jeden inny parametr do wyszukania, a następnie wybierz pozycję Zastosuj , aby zaktualizować parametry wyszukiwania. Wybierz pozycję Ustaw, aby zresetować wybrane parametry do domyślnej opcji.

Uwaga

Wyszukiwanie w polu Właściciel obsługuje zarówno nazwy, jak i adresy e-mail.

Użycie opcji wyszukiwania zaawansowanego zmienia zachowanie wyszukiwania w następujący sposób:

Działanie wyszukiwania Opis
Kolor przycisku wyszukiwania Kolor przycisku wyszukiwania zmienia się w zależności od typów parametrów aktualnie używanych w wyszukiwaniu.
  • Tak długo, jak wybrano tylko parametry domyślne, przycisk jest szary.
  • Po wybraniu różnych parametrów, takich jak zaawansowane parametry wyszukiwania, przycisk zmieni kolor na niebieski.
Automatyczne odświeżanie Użycie zaawansowanych parametrów wyszukiwania uniemożliwia wybranie opcji automatycznego odświeżania wyników.
Parametry jednostki Wszystkie parametry jednostki są obsługiwane w przypadku wyszukiwania zaawansowanego. Podczas wyszukiwania w dowolnym parametrze jednostki wyszukiwanie jest uruchamiane we wszystkich parametrach jednostki.
Wyszukiwanie ciągów Wyszukiwanie ciągu wyrazów zawiera wszystkie wyrazy w zapytaniu wyszukiwania. Ciągi wyszukiwania są uwzględniane w wielkości liter.
Obsługa między obszarami roboczymi Wyszukiwania zaawansowane nie są obsługiwane w przypadku widoków wielu obszarów roboczych.
Liczba wyświetlanych wyników wyszukiwania Gdy używasz zaawansowanych parametrów wyszukiwania, wyświetlane są jednocześnie tylko 50 wyników.

Porada

Jeśli nie możesz odnaleźć szukanych zdarzeń, usuń parametry wyszukiwania, aby rozwinąć wyszukiwanie. Jeśli wyniki wyszukiwania będą zawierać zbyt wiele elementów, dodaj więcej filtrów, aby zawęzić wyniki.

Następne kroki

W tym artykule przedstawiono, jak rozpocząć badanie zdarzeń przy użyciu usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz: