Omówienie możliwości badania zdarzeń i zarządzania przypadkami w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel oferuje kompletną, w pełni funkcjoną platformę zarządzania przypadkami na potrzeby badania zdarzeń zabezpieczeń i zarządzania nimi. Zdarzenia to nazwa plików przypadków firmy Microsoft Sentinel, które zawierają kompletną i stale aktualizowaną chronologię zagrożenia bezpieczeństwa, niezależnie od tego, czy jest to poszczególne dowody (alerty), podejrzani i strony zainteresowań (jednostek), szczegółowe informacje zebrane i wyselekcjonowane przez ekspertów ds. zabezpieczeń oraz modele sztucznej inteligencji/uczenia maszynowego, komentarze i dzienniki wszystkich działań podjętych w trakcie badania.
Doświadczenie w badaniu zdarzeń w usłudze Microsoft Sentinel rozpoczyna się od strony Incydenty — nowe środowisko zaprojektowane w celu zapewnienia wszystkiego, czego potrzebujesz do zbadania w jednym miejscu. Kluczowym celem tego nowego środowiska jest zwiększenie wydajności i skuteczności SOC, skracając średni czas rozwiązania (MTTR).
W tym artykule przedstawiono fazy typowego badania zdarzeń, przedstawiając wszystkie wyświetlane ekrany i narzędzia, które ci pomogą.
Zwiększ dojrzałość SOC
Usługa Microsoft Sentinel udostępnia narzędzia ułatwiające dojrzałość operacji zabezpieczeń (SecOps).
Standaryzacja procesów
Zadania zdarzeń to listy zadań przepływu pracy dla analityków, które należy wykonać w celu zapewnienia jednolitego standardu opieki i zapobiegania pomijaniu kluczowych kroków. Menedżerowie SOC i inżynierowie mogą opracowywać te listy zadań i automatycznie stosować je do różnych grup zdarzeń zgodnie z potrzebami lub w całej tablicy. Analitycy SOC mogą następnie uzyskiwać dostęp do przydzielonych zadań w ramach każdego zdarzenia, oznaczając je jako ukończone. Analitycy mogą również ręcznie dodawać zadania do otwartych zdarzeń, jako przypomnienia lub z korzyścią dla innych analityków, którzy mogą współpracować nad incydentem (na przykład ze względu na zmianę lub eskalację).
Dowiedz się więcej o zadaniach zdarzeń.
Inspekcja zarządzania zdarzeniami
Dziennik aktywności zdarzeń śledzi działania wykonywane w zdarzeniu, niezależnie od tego, czy zainicjowane przez ludzi, czy zautomatyzowane procesy, i wyświetla je wraz ze wszystkimi komentarzami dotyczącymi zdarzenia. Możesz również dodać własne komentarze tutaj. Zapewnia on pełny zapis wszystkiego, co się stało, zapewniając szczegółowość i odpowiedzialność.
Efektywne i wydajne badanie
Zobacz oś czasu
Najpierw: Jako analityk najbardziej podstawowe pytanie, na które chcesz odpowiedzieć, jest to, dlaczego to zdarzenie jest zwracane na moją uwagę? Wprowadzenie strony szczegółów zdarzenia odpowie na to pytanie: bezpośrednio na środku ekranu zobaczysz widżet oś czasu zdarzenia. Oś czasu to pamiętnik wszystkich alertów reprezentujących wszystkie zarejestrowane zdarzenia, które są istotne dla badania, w kolejności, w której wystąpiły. Oś czasu przedstawia również zakładki, migawki dowodów zebranych podczas wyszukiwania zagrożeń i dodawania do zdarzenia. Zapoznaj się z pełnymi szczegółami dowolnego elementu na tej liście, wybierając go. Wiele z tych szczegółów — takich jak oryginalny alert, reguła analizy, która ją utworzyła, i wszystkie zakładki — są wyświetlane jako linki, które można wybrać, aby jeszcze bardziej szczegółowo poznać i dowiedzieć się więcej.
Dowiedz się więcej o tym, co można zrobić na osi czasu zdarzenia.
Nauka na podstawie podobnych zdarzeń
Jeśli cokolwiek widziałeś do tej pory w zdarzeniu wygląda znajomo, może być dobry powód. Usługa Microsoft Sentinel pozostaje o krok przed Tobą, pokazując zdarzenia najbardziej podobne do otwartego. Widżet Podobne zdarzenia pokazuje najbardziej istotne informacje o zdarzeniach, które są uważane za podobne, w tym ich data i godzina ostatniej aktualizacji, ostatni właściciel, ostatni stan (w tym, jeśli zostały zamknięte, przyczyna ich zamknięcia) i przyczyna podobieństwa.
Może to przynieść korzyści w badaniu na kilka sposobów:
- Wykrywaj współbieżne zdarzenia, które mogą być częścią większej strategii ataku.
- Użyj podobnych zdarzeń jako punktów odniesienia dla bieżącego badania — zobacz, jak zostały one rozwiązane.
- Zidentyfikuj właścicieli poprzednich podobnych zdarzeń, aby czerpać korzyści ze swojej wiedzy.
Widżet przedstawia 20 najbardziej podobnych zdarzeń. Usługa Microsoft Sentinel decyduje, które zdarzenia są podobne w oparciu o typowe elementy, w tym jednostki, regułę analizy źródła i szczegóły alertu. Z tego widżetu można przejść bezpośrednio do dowolnej ze stron szczegółów tych zdarzeń, zachowując połączenie z bieżącym zdarzeniem bez zmian.
Dowiedz się więcej o tym, co można zrobić z podobnymi zdarzeniami.
Sprawdzanie najważniejszych szczegółowych informacji
Następnie, mając szerokie zarysy tego, co się stało (lub nadal się dzieje) i lepiej zrozumiesz kontekst, będziesz ciekawi, jakie interesujące informacje microsoft Sentinel już się za Ciebie dowiedział. Automatycznie zadaje duże pytania dotyczące jednostek w zdarzeniu i wyświetla najważniejsze odpowiedzi w widżecie Najważniejsze szczegółowe informacje widoczne po prawej stronie szczegółów zdarzenia. Ten widżet przedstawia kolekcję szczegółowych informacji na podstawie analizy uczenia maszynowego i curation najlepszych zespołów ekspertów ds. zabezpieczeń.
Są to specjalnie wybrane podzestaw szczegółowych informacji wyświetlanych na stronach jednostki, ale w tym kontekście są prezentowane szczegółowe informacje dotyczące wszystkich jednostek w zdarzeniu, co daje bardziej szczegółowy obraz tego, co się dzieje. Pełny zestaw szczegółowych informacji jest wyświetlany na karcie Jednostki osobno dla każdej jednostki — zobacz poniżej.
Widżet Najważniejsze szczegółowe informacje odpowiada na pytania dotyczące jednostki odnoszącej się do jej zachowania w porównaniu z elementami równorzędnymi i własną historią, obecnością na listach obserwowanych lub w analizie zagrożeń lub innym rodzajem nietypowego wystąpienia związanego z nim.
Większość tych szczegółowych informacji zawiera linki do dodatkowych informacji. Te linki otwierają panel Dzienniki w kontekście, w którym zobaczysz zapytanie źródłowe dla tych szczegółowych informacji wraz z wynikami.
Wyświetlanie jednostek
Teraz, gdy masz jakiś kontekst i odpowiedzi na niektóre podstawowe pytania, chcesz uzyskać więcej szczegółowych informacji na temat głównych graczy w tej historii. Nazwy użytkowników, nazwy hostów, adresy IP, nazwy plików i inne typy jednostek mogą być "osobami interesującymi" w dochodzeniu. Usługa Microsoft Sentinel znajduje je wszystkie dla Ciebie i wyświetla je z przodu i na środku w widżecie Jednostki wraz z osią czasu. Wybranie jednostki z tego widżetu spowoduje przestawienie cię na listę tej jednostki na karcie Jednostki na tej samej stronie zdarzenia.
Karta Jednostki zawiera listę wszystkich jednostek w zdarzeniu. Po wybraniu jednostki na liście zostanie otwarty panel boczny zawierający ekran na podstawie strony jednostki. Panel boczny zawiera trzy karty:
Informacje zawierają podstawowe informacje o jednostce. W przypadku jednostki konta użytkownika może to być takie elementy jak nazwa użytkownika, nazwa domeny, identyfikator zabezpieczeń (SID), informacje organizacyjne, informacje o zabezpieczeniach i inne.
Oś czasu zawiera listę alertów, które zawierają tę jednostkę i działania, które zostały wykonane przez jednostkę, zgodnie z danymi zebranymi z dzienników, w których jest wyświetlana jednostka.
Szczegółowe informacje zawiera odpowiedzi na pytania dotyczące jednostki odnoszącej się do jej zachowania w porównaniu z rówieśnikami i własną historią, obecnością na listach obserwowanych lub w analizie zagrożeń lub w innym rodzaju nietypowym wystąpieniu związanym z nim. Odpowiedzi te są wynikami zapytań zdefiniowanych przez badaczy zabezpieczeń firmy Microsoft, które zapewniają cenne i kontekstowe informacje o zabezpieczeniach jednostek na podstawie danych z kolekcji źródeł.
Od listopada 2023 r. panel Szczegółowe informacje obejmuje następną generację szczegółowych informacji dostępnych w wersji zapoznawczej w postaci widżetów wzbogacania, wraz z istniejącymi szczegółowymi informacjami. Aby korzystać z tych nowych widżetów, musisz włączyć środowisko widżetu.
W zależności od typu jednostki można wykonać szereg dalszych akcji z tego panelu bocznego:
- Przejdź do pełnej strony jednostki jednostki, aby uzyskać jeszcze więcej szczegółów w dłuższym przed czasie lub uruchomić graficzne narzędzie do badania skoncentrowane na tej jednostce.
- Uruchom podręcznik, aby wykonać określoną odpowiedź lub akcje korygowania w jednostce (w wersji zapoznawczej).
- Klasyfikuj jednostkę jako wskaźnik naruszenia (IOC) i dodaj ją do listy analizy zagrożeń.
Każda z tych akcji jest obecnie obsługiwana w przypadku niektórych typów jednostek, a nie dla innych. W poniższej tabeli przedstawiono, które akcje są obsługiwane dla typów jednostek:
| Dostępne akcje ▶ Typy jednostek ► |
Wyświetl szczegóły (na stronie jednostki) |
Dodaj do ti * | Uruchamianie podręcznika * (wersja zapoznawcza) |
|---|---|---|---|
| Konto użytkownika | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| Adres IP | ✔ | ✔ | ✔ |
| Adres URL | ✔ | ✔ | |
| Nazwa domeny | ✔ | ✔ | |
| Plik (skrót) | ✔ | ✔ | |
| Zasób platformy Azure | ✔ | ||
| Urządzenie IoT | ✔ |
* W przypadku jednostek, dla których są dostępne akcje Dodaj do ti lub Run playbook , możesz wykonać te akcje bezpośrednio z widżetu Jednostki na karcie Przegląd, nigdy nie opuszczając strony zdarzenia.
Eksplorowanie dzienników
Teraz chcesz wyjść do szczegółów, aby dowiedzieć się, co dokładnie się stało? Z niemal każdego miejsca wymienionego powyżej możesz przejść do szczegółów poszczególnych alertów, jednostek, szczegółowych informacji i innych elementów zawartych w zdarzeniu, wyświetlając oryginalne zapytanie i jego wyniki. Te wyniki są wyświetlane na ekranie Dzienniki (log analytics), który jest wyświetlany tutaj jako rozszerzenie panelu strony szczegółów zdarzenia, więc nie pozostawiasz kontekstu badania.
Zachowaj kolejność rekordów
Na koniec, w interesie przejrzystości, odpowiedzialności i ciągłości, chcesz zarejestrować wszystkie działania, które zostały podjęte w ramach zdarzenia — niezależnie od tego, czy przez zautomatyzowane procesy, czy przez osoby. W dzienniku aktywności zdarzeń są wyświetlane wszystkie te działania. Możesz również zobaczyć wszelkie komentarze, które zostały wykonane i dodać własne. Dziennik aktywności jest stale automatycznie odświeżany, nawet gdy jest otwarty, dzięki czemu można zobaczyć zmiany w czasie rzeczywistym.
Następne kroki
W tym dokumencie przedstawiono sposób, w jaki środowisko badania zdarzeń w usłudze Microsoft Sentinel pomaga przeprowadzić badanie w jednym kontekście. Aby uzyskać więcej informacji na temat zarządzania zdarzeniami i badania ich, zobacz następujące artykuły:
- Zarządzanie zdarzeniami w usłudze Microsoft Sentinel za pomocą zadań
- Zbadaj jednostki za pomocą stron jednostek w usłudze Microsoft Sentinel.
- Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.
- Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
- Wyszukiwanie zagrożeń bezpieczeństwa.