Nawigowanie po zdarzeniach i badanie ich w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia kompletną, w pełni funkcjoną platformę zarządzania przypadkami na potrzeby badania zdarzeń zabezpieczeń. Strona Szczegóły zdarzenia to centralna lokalizacja, z której ma zostać uruchomione badanie, zbierając wszystkie istotne informacje i wszystkie odpowiednie narzędzia i zadania na jednym ekranie.
W tym artykule przedstawiono wszystkie panele i opcje dostępne na stronie szczegółów zdarzenia, ułatwiając szybsze, efektywne i efektywne badanie zdarzeń oraz skrócenie średniego czasu rozwiązywania problemów (MTTR).
Zobacz instrukcje dotyczące poprzedniej wersji badania zdarzeń.
Zdarzenia to pliki przypadków, które zawierają agregację wszystkich odpowiednich dowodów dla konkretnych dochodzeń. Każde zdarzenie jest tworzone (lub dodawane do) na podstawie dowodów (alertów), które zostały wygenerowane przez reguły analizy lub zaimportowane z produktów zabezpieczeń innych firm, które generują własne alerty. Zdarzenia dziedziczą jednostki zawarte w alertach, a także właściwości alertów, takie jak ważność, stan i taktyka i techniki MITRE ATT&CK.
Wymagania wstępne
Przypisanie roli osoby odpowiadającej usłudze Microsoft Sentinel jest wymagane do zbadania zdarzeń.
Dowiedz się więcej o rolach w usłudze Microsoft Sentinel.
Jeśli masz użytkownika-gościa, który musi przypisać zdarzenia, użytkownik musi mieć przypisaną rolę Czytelnik katalogu w dzierżawie firmy Microsoft Entra. Domyślnie do tej roli przypisano zwykłą (nie-gościa).
Nawigowanie po zdarzeniach i klasyfikowanie
Strona Incydenty
Z menu nawigacji usługi Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Incydenty.
Strona Incydenty zawiera podstawowe informacje o wszystkich otwartych zdarzeniach.
W górnej części ekranu znajduje się liczba otwartych zdarzeń, niezależnie od tego, czy są nowe, czy aktywne, oraz liczba otwartych zdarzeń według ważności. Masz również baner z akcjami, które można wykonać poza określonym zdarzeniem — na siatce jako całości lub na wielu wybranych incydentach.
W środkowym okienku znajduje się siatka zdarzeń, lista zdarzeń filtrowana według kontrolek filtrowania w górnej części listy oraz pasek wyszukiwania umożliwiający znalezienie określonych zdarzeń.
Po prawej stronie znajduje się okienko szczegółów zawierające ważne informacje o zdarzeniu wyróżnione na centralnej liście wraz z przyciskami umożliwiającymi podejmowanie określonych działań w odniesieniu do tego zdarzenia.
Zespół ds. operacji zabezpieczeń może mieć obowiązujące reguły automatyzacji w celu przeprowadzenia podstawowej klasyfikacji nowych zdarzeń i przypisania ich do odpowiedniego personelu.
W takim przypadku przefiltruj listę zdarzeń według pozycji Właściciel , aby ograniczyć listę do zdarzeń przypisanych do Ciebie lub twojego zespołu. Ten filtrowany zestaw reprezentuje osobiste obciążenie.
W przeciwnym razie możesz samodzielnie przeprowadzić klasyfikację podstawową. Możesz zacząć od filtrowania listy zdarzeń według dostępnych kryteriów filtrowania, stanu, ważności lub nazwy produktu. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zdarzeń.
Klasyfikowanie określonego zdarzenia i natychmiastowe wykonywanie pewnych akcji bezpośrednio w okienku szczegółów na stronie Incydenty bez konieczności wprowadzania pełnej strony szczegółów zdarzenia.
Zbadaj zdarzenia XDR usługi Microsoft Defender w usłudze Microsoft Defender XDR: postępuj zgodnie z linkiem Badanie w usłudze Microsoft Defender XDR , aby przestawienia się do zdarzenia równoległego w portalu usługi Defender. Wszelkie zmiany wprowadzone w zdarzeniu w usłudze Microsoft Defender XDR zostaną zsynchronizowane z tym samym zdarzeniem w usłudze Microsoft Sentinel.
Otwórz listę przydzielonych zadań: Zdarzenia, dla których przydzielono wszystkie zadania, będą wyświetlać liczbę ukończonych i łącznych zadań oraz link Wyświetl pełne szczegóły . Kliknij link, aby otworzyć panel Zadania zdarzeń, aby wyświetlić listę zadań dla tego zdarzenia.
Przypisz własność zdarzenia do użytkownika lub grupy, wybierając z listy rozwijanej Właściciel .
Ostatnio wybrani użytkownicy i grupy będą wyświetlane w górnej części wyświetlonej listy rozwijanej.
Zaktualizuj stan zdarzenia (na przykład z obszaru Nowy na Aktywny lub Zamknięty), wybierając z listy rozwijanej Stan . Podczas zamykania zdarzenia konieczne będzie określenie przyczyny. Aby uzyskać instrukcje, zobacz poniżej.
Zmień ważność zdarzenia, wybierając z listy rozwijanej Ważność .
Dodaj tagi , aby kategoryzować zdarzenia. Może być konieczne przewinięcie w dół do dołu okienka szczegółów, aby zobaczyć, gdzie dodać tagi.
Dodaj komentarze , aby rejestrować akcje, pomysły, pytania i nie tylko. Może być konieczne przewinięcie w dół do dołu okienka szczegółów, aby zobaczyć, gdzie dodać komentarze.
Jeśli informacje w okienku szczegółów są wystarczające, aby wyświetlić monit o dalsze działania naprawcze lub zaradcze, wybierz przycisk Akcje w dolnej części okienka szczegółów, aby wykonać jedną z następujących czynności:
Zbadaj: użyj graficznego narzędzia do badania, aby odnaleźć relacje między alertami, jednostkami i działaniami, zarówno w ramach tego zdarzenia, jak i w innych zdarzeniach.
Uruchom podręcznik (wersja zapoznawcza): uruchom podręcznik dotyczący tego zdarzenia, aby wykonać konkretne akcje wzbogacania, współpracy lub odpowiedzi , takie jak inżynierowie SOC.
Utwórz regułę automatyzacji: utwórz regułę automatyzacji, która będzie działać tylko w przypadku takich zdarzeń (wygenerowanych przez tę samą regułę analizy) w przyszłości, aby zmniejszyć przyszłe obciążenie lub uwzględnić tymczasową zmianę wymagań (np. w przypadku testu penetracyjnych).
Tworzenie zespołu (wersja zapoznawcza): utwórz zespół w usłudze Microsoft Teams, aby współpracować z innymi osobami lub zespołami w różnych działach w zakresie obsługi incydentu.
Jeśli potrzebujesz więcej informacji o zdarzeniu, wybierz pozycję Wyświetl pełne szczegóły w okienku szczegółów, aby otworzyć i wyświetlić szczegóły zdarzenia w całości, w tym alerty i jednostki w zdarzeniu, listę podobnych zdarzeń i wybrane najważniejsze szczegółowe informacje.
Zapoznaj się z kolejnymi sekcjami tego artykułu, aby postępować zgodnie z typową ścieżką badania, ucząc się w procesie o wszystkich widocznych tam informacjach i wszystkich akcjach, które możesz wykonać.
Szczegółowe badanie zdarzenia
Usługa Microsoft Sentinel oferuje kompletne, w pełni funkcjonalne środowisko do badania zdarzeń i zarządzania przypadkami, dzięki czemu można badać, korygować i rozwiązywać zdarzenia szybciej i wydajniej. Oto nowa strona szczegółów zdarzenia:
Właściwie przygotuj ziemię
Podczas konfigurowania w celu zbadania zdarzenia zmontuj elementy, które będą potrzebne do kierowania przepływu pracy. Poniższe narzędzia znajdują się na pasku przycisków w górnej części strony incydentu, tuż pod tytułem.
Wybierz pozycję Zadania , aby wyświetlić zadania przydzielone dla tego zdarzenia lub dodać własne zadania.
Dowiedz się więcej o używaniu zadań zdarzeń w celu ulepszenia standaryzacji procesów w soc.
Wybierz pozycję Dziennik aktywności, aby sprawdzić, czy jakiekolwiek akcje zostały już podjęte w tym zdarzeniu — na przykład przez reguły automatyzacji — i wszelkie komentarze, które zostały wykonane. Możesz również dodać własne komentarze tutaj. Zobacz więcej na temat poniższego dziennika aktywności.
Wybierz pozycję Dzienniki w dowolnym momencie, aby otworzyć pełne, puste okno zapytania usługi Log Analytics na stronie zdarzenia. Utwórz i uruchom zapytanie, powiązane lub nie, bez opuszczania zdarzenia. Więc za każdym razem, gdy uderzasz z nagłą inspiracją, aby gonić myśl, nie martw się o przerywanie przepływu. Dzienniki są dostępne dla Ciebie.
Zobacz więcej na temat dzienników poniżej.
Zobaczysz również przycisk Akcje zdarzenia naprzeciwko kart Przegląd i Jednostki . W tym miejscu masz dostęp do tych samych akcji opisanych powyżej, co dostępne w przycisku Akcje w okienku szczegółów na stronie siatki Incydenty . Jedyną brakującą jest opcja Zbadaj, która jest dostępna na panelu szczegółów po lewej stronie.
Aby podsumować dostępne akcje w obszarze przycisku Akcje zdarzenia:
Uruchamianie podręcznika: uruchamianie podręcznika na tym zdarzeniu w celu podjęcia konkretnych działań wzbogacania, współpracy lub odpowiedzi, takich jak inżynierowie SOC, mogli udostępnić.
Utwórz regułę automatyzacji: utwórz regułę automatyzacji, która będzie działać tylko w przypadku takich zdarzeń (wygenerowanych przez tę samą regułę analizy) w przyszłości, aby zmniejszyć przyszłe obciążenie lub uwzględnić tymczasową zmianę wymagań (np. w przypadku testu penetracyjnych).
Tworzenie zespołu (wersja zapoznawcza): utwórz zespół w usłudze Microsoft Teams, aby współpracować z innymi osobami lub zespołami w różnych działach w zakresie obsługi incydentu. Jeśli zespół został już utworzony dla tego zdarzenia, ten element menu będzie wyświetlany jako Otwórz aplikację Teams.
Pobieranie całego obrazu na stronie szczegółów zdarzenia
Lewy panel strony szczegółów incydentu zawiera te same informacje szczegółowe o zdarzeniu, które były wyświetlane na stronie Incydenty po prawej stronie siatki i jest prawie niezmienione z poprzedniej wersji. Ten panel jest zawsze wyświetlany, niezależnie od tego, która karta jest wyświetlana w pozostałej części strony. W tym miejscu możesz zobaczyć podstawowe informacje o zdarzeniu i przejść do szczegółów w następujący sposób:
Wybierz pozycję Zdarzenia, Alerty lub Zakładki, aby otworzyć panel Dzienniki na stronie zdarzenia. Panel Dzienniki będzie wyświetlany z zapytaniem niezależnie od wybranej trójki i można przejść przez szczegółowe wyniki zapytania bez przechodzenia od zdarzenia. Dowiedz się więcej o dziennikach.
Wybierz dowolny z wpisów w obszarze Jednostki, aby wyświetlić go na karcie Jednostki. (W tym miejscu są wyświetlane tylko pierwsze cztery jednostki w zdarzeniu. Zobacz resztę tych elementów, wybierając pozycję Wyświetl wszystko lub w widżecie Jednostki na karcie Przegląd lub na karcie Jednostki. Dowiedz się, co możesz zrobić na karcie Jednostki.
Możesz również wybrać pozycję Zbadaj, aby otworzyć zdarzenie w graficznym narzędziu do badania, które diagramuje relacje między wszystkimi elementami zdarzenia.
Ten panel można również zwinąć do lewego marginesu ekranu, wybierając małą, lewą strzałkę podwójną obok listy rozwijanej Właściciel . Nawet w tym zminimalizowaniu stanu nadal będzie można zmienić właściciela, stan i ważność.
Pozostała część strony szczegółów zdarzenia jest podzielona na dwie karty: Przegląd i Jednostki.
Karta Przegląd zawiera następujące widżety, z których każdy reprezentuje podstawowy cel badania.
Widżet Oś czasu zdarzenia przedstawia oś czasu alertów i zakładek w zdarzeniu, co może ułatwić odtworzenie osi czasu działania osoby atakującej. Wybierz pojedynczy element, aby wyświetlić wszystkie jego szczegóły, umożliwiając dalsze przechodzenie do szczegółów.
W widżecie Podobne zdarzenia zobaczysz kolekcję maksymalnie 20 innych zdarzeń, które najbardziej przypominają bieżące zdarzenie. Dzięki temu można wyświetlić zdarzenie w większym kontekście i pomóc w kierowaniu badania.
Widżet Jednostki zawiera wszystkie jednostki , które zostały zidentyfikowane w alertach. Są to obiekty, które odegrały rolę w zdarzeniu, niezależnie od tego, czy są użytkownikami, urządzeniami, adresami, plikami, czy innymi typami. Wybierz jednostkę, aby wyświetlić jej pełne szczegóły (które będą wyświetlane na karcie Jednostki — zobacz poniżej).
Na koniec w widżecie Najważniejsze szczegółowe informacje zobaczysz kolekcję wyników zapytań zdefiniowanych przez badaczy zabezpieczeń firmy Microsoft, które zapewniają cenne i kontekstowe informacje o zabezpieczeniach dla wszystkich jednostek w zdarzeniu na podstawie danych z kolekcji źródeł.
Dowiedz się więcej na temat widżetu Najważniejsze szczegółowe informacje poniżej.
Karta Jednostki zawiera pełną listę jednostek w zdarzeniu (te same jak w widżecie Jednostki powyżej). Po wybraniu jednostki w widżecie nastąpi przekierowanie w celu wyświetlenia pełnej dokumentacji jednostki — informacji identyfikujących, osi czasu jej działania (zarówno w ramach zdarzenia, jak i poza nią) oraz pełnego zestawu szczegółowych informacji o jednostce, tak samo jak na pełnej stronie jednostki (ale ograniczone do przedziału czasu odpowiedniego dla zdarzenia).
Oś czasu zdarzenia
Widżet Oś czasu zdarzenia przedstawia oś czasu alertów i zakładek w zdarzeniu, co może ułatwić odtworzenie osi czasu działania osoby atakującej.
Możesz wyszukać listę alertów i zakładek albo filtrować listę według ważności, taktyki lub typu zawartości (alertu lub zakładki), aby ułatwić znalezienie elementu, który chcesz realizować.
Początkowy ekran osi czasu natychmiast informuje o kilku ważnych kwestiach dotyczących każdego elementu, niezależnie od tego, czy jest to alert, czy zakładka:
- Data i godzina utworzenia alertu lub zakładki.
- Typ elementu, alertu lub zakładki wskazywany przez ikonę i etykietkę narzędzia po umieszczeniu wskaźnika myszy na ikonie.
- Nazwa alertu lub zakładki w typie pogrubionym w pierwszym wierszu elementu.
- Ważność alertu, wskazywana przez pasek kolorów wzdłuż lewej krawędzi, i w formie wyrazu na początku trzyczęściowego "podtytułu" alertu.
- Dostawca alertów w drugiej części podtytułu. W przypadku zakładek twórca zakładki.
- Taktyka MITRE ATT&CK skojarzona z alertem wskazywana przez ikony i narzędzie Wskazówki w trzeciej części podtytułu.
Umieść kursor nad dowolną ikoną lub niekompletnym elementem tekstowym, aby wyświetlić etykietkę narzędzia z pełnym tekstem tej ikony lub elementu tekstowego. To narzędzie Wskazówki przydaje się, gdy wyświetlany tekst zostanie obcięty ze względu na ograniczoną szerokość widżetu. Zobacz przykład na tym zrzucie ekranu:
Wybierz pojedynczy alert lub zakładkę, aby wyświetlić jego pełne szczegóły.
Szczegóły alertu obejmują ważność i stan alertu, reguły analizy, które je wygenerowały, produkt, który wygenerował alert, jednostki wymienione w alercie, skojarzone taktyki i techniki MITRE ATT&CK oraz wewnętrzny identyfikator alertu systemu.
Wybierz link Identyfikator alertu systemu, aby przejść do szczegółów alertu, otwierając panel Dzienniki i wyświetlając zapytanie, które wygenerowało wyniki i zdarzenia, które wyzwoliły alert.
Szczegóły zakładki nie są dokładnie takie same jak szczegóły alertu. Zawierają one również jednostki, taktykę i techniki MITRE ATT&CK oraz identyfikator zakładki, zawierają również nieprzetworzone wyniki i informacje o twórcy zakładek.
Wybierz link Wyświetl dzienniki zakładek, aby otworzyć panel Dzienniki i wyświetlić zapytanie, które wygenerowało wyniki zapisane jako zakładka.
W widżecie osi czasu zdarzenia możesz również wykonać następujące akcje dotyczące alertów i zakładek:
Uruchom element playbook w alercie, aby podjąć natychmiastowe działania w celu ograniczenia zagrożenia. Czasami należy zablokować lub odizolować zagrożenie przed kontynuowaniem badania. Dowiedz się więcej o uruchamianiu podręczników dotyczących alertów.
Usuwanie alertu ze zdarzenia. Możesz usunąć alerty dodane do zdarzeń po ich utworzeniu, jeśli ocenisz je jako nieistotne. Dowiedz się więcej o usuwaniu alertów ze zdarzeń.
Usuń zakładkę ze zdarzenia lub zmodyfikuj te pola w zakładce, które można edytować (nie są wyświetlane).
Podobne incydenty
Jako analityk operacji zabezpieczeń podczas badania incydentu warto zwrócić uwagę na jego większy kontekst. Na przykład chcesz sprawdzić, czy inne zdarzenia, takie jak te, wystąpiły wcześniej lub są teraz wykonywane.
Możesz zidentyfikować współbieżne zdarzenia, które mogą być częścią tej samej większej strategii ataku.
Możesz zidentyfikować podobne incydenty w przeszłości, aby użyć ich jako punktów odniesienia dla bieżącego badania.
Możesz chcieć zidentyfikować właścicieli poprzednich podobnych zdarzeń, aby znaleźć osoby w SOC, które mogą dostarczyć więcej kontekstu lub do kogo można eskalować dochodzenie.
Podobny widżet zdarzeń na stronie szczegółów zdarzenia zawiera maksymalnie 20 innych zdarzeń, które są najbardziej podobne do bieżącego. Podobieństwo jest obliczane przez wewnętrzne algorytmy usługi Microsoft Sentinel, a zdarzenia są sortowane i wyświetlane w kolejności malejącej podobieństwa.
Podobnie jak w przypadku widżetu osi czasu zdarzenia, możesz umieścić kursor na dowolnym tekście, który jest niekompletnie wyświetlany ze względu na szerokość kolumny, aby wyświetlić pełny tekst.
Istnieją trzy kryteria określające podobieństwo:
Podobne jednostki: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli oba te jednostki obejmują te same jednostki. Im więcej jednostek dwa zdarzenia mają wspólne, tym bardziej podobne są one uważane za.
Podobna reguła: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli zostały utworzone przez tę samą regułę analizy.
Podobne szczegóły alertu: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli mają ten sam tytuł, nazwę produktu i/lub szczegóły niestandardowe.
Przyczyny wystąpienia zdarzenia na podobnej liście zdarzeń są wyświetlane w kolumnie Przyczyna podobieństwa. Umieść kursor na ikonie informacji, aby wyświetlić typowe elementy (jednostki, nazwę reguły lub szczegóły).
Podobieństwo zdarzenia jest obliczane na podstawie danych z 14 dni przed ostatnim działaniem w zdarzeniu, które jest czasem zakończenia ostatniego alertu w zdarzeniu.
Podobieństwo zdarzenia jest obliczane ponownie za każdym razem, gdy wprowadzasz stronę szczegółów zdarzenia, więc wyniki mogą się różnić między sesjami, jeśli nowe zdarzenia zostały utworzone lub zaktualizowane.
Uzyskiwanie najważniejszych informacji o zdarzeniu
Eksperci ds. zabezpieczeń usługi Microsoft Sentinel utworzyli zapytania, które automatycznie zadają duże pytania dotyczące jednostek w zdarzeniu. Najważniejsze odpowiedzi można wyświetlić w widżecie Najważniejsze szczegółowe informacje widoczne po prawej stronie szczegółów zdarzenia. Ten widżet przedstawia kolekcję szczegółowych informacji na podstawie analizy uczenia maszynowego i curation najlepszych zespołów ekspertów ds. zabezpieczeń.
Są to niektóre z tych samych szczegółowych informacji, które są wyświetlane na stronach jednostki, specjalnie wybrane do szybkiego klasyfikacji i zrozumienia zakresu zagrożenia. Z tego samego powodu szczegółowe informacje dotyczące wszystkich jednostek w zdarzeniu są prezentowane razem, aby uzyskać bardziej szczegółowy obraz tego, co się dzieje.
Poniżej przedstawiono aktualnie wybrane najważniejsze szczegółowe informacje (lista może ulec zmianie):
- Akcje według konta.
- Akcje na koncie.
- Szczegółowe informacje o ueBA.
- Wskaźniki zagrożeń związane z użytkownikiem.
- Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
- Nietypowo duża liczba zdarzeń zabezpieczeń.
- Działanie logowania w systemie Windows.
- Połączenia zdalne adresów IP.
- Połączenia zdalne adresu IP z dopasowaniem ti.
Każdy z tych szczegółowych informacji (z wyjątkiem tych odnoszących się do list obserwowanych, na razie) ma link, który można wybrać, aby otworzyć zapytanie bazowe w panelu Dzienniki , które zostanie otwarte na stronie zdarzenia. Następnie możesz przejść do szczegółów wyników zapytania.
Przedział czasu dla widżetu Najważniejsze szczegółowe informacje wynosi od 24 godzin przed najwcześniejszym alertem w zdarzeniu do czasu ostatniego alertu.
Eksplorowanie jednostek zdarzenia
Widżet Jednostki zawiera wszystkie jednostki , które zostały zidentyfikowane w alertach w zdarzeniu. Są to obiekty, które odegrały rolę w zdarzeniu, niezależnie od tego, czy są użytkownikami, urządzeniami, adresami, plikami, czy innymi typami.
Listę jednostek można przeszukiwać w widżecie jednostek lub filtrować listę według typu jednostki, aby ułatwić znalezienie jednostki.
Jeśli wiesz już, że określona jednostka jest znanym wskaźnikiem naruszenia zabezpieczeń, wybierz trzy kropki w wierszu jednostki i wybierz pozycję Dodaj do ti , aby dodać jednostkę do analizy zagrożeń. (Ta opcja jest dostępna dla obsługiwanych typów jednostek).
Jeśli chcesz wyzwolić sekwencję odpowiedzi automatycznej dla określonej jednostki, wybierz trzy kropki, a następnie wybierz pozycję Uruchom podręcznik (wersja zapoznawcza). (Ta opcja jest dostępna dla obsługiwanych typów jednostek).
Wybierz jednostkę, aby wyświetlić jej pełne szczegóły. Po wybraniu jednostki nastąpi przejście z karty Przegląd do karty Jednostki, innej części strony szczegółów zdarzenia.
Karta Jednostki
Karta Jednostki zawiera listę wszystkich jednostek w zdarzeniu.
Podobnie jak widżet jednostek, tę listę można również przeszukiwać i filtrować według typu jednostki. Wyszukiwania i filtry zastosowane na jednej liście nie będą stosowane do drugiej.
Wybierz wiersz z listy informacji o tej jednostce, który ma być wyświetlany w panelu bocznym po prawej stronie.
Jeśli nazwa jednostki zostanie wyświetlona jako link, wybranie nazwy jednostki spowoduje przekierowanie do pełnej strony jednostki poza stroną badania zdarzeń. Aby wyświetlić tylko panel boczny bez opuszczania zdarzenia, wybierz wiersz na liście, w którym jest wyświetlana jednostka, ale nie wybieraj jej nazwy.
W tym miejscu możesz wykonać te same akcje, które można wykonać z widżetu na stronie przeglądu. Wybierz trzy kropki w wierszu jednostki, aby uruchomić podręcznik lub dodać jednostkę do analizy zagrożeń.
Możesz również wykonać te akcje, wybierając przycisk obok pozycji Wyświetl pełne szczegóły w dolnej części panelu bocznego. Przycisk będzie odczytywać pozycje Dodaj do ti, Run playbook (Wersja zapoznawcza) lub Akcje jednostki — w tym przypadku zostanie wyświetlone menu z dwoma pozostałymi opcjami.
Sam przycisk Wyświetl pełne szczegóły przekierowuje Cię do pełnej strony jednostki.
Panel boczny zawiera trzy karty:
Informacje zawierają informacje identyfikujące jednostkę. Na przykład w przypadku jednostki konta użytkownika może to być takie elementy jak nazwa użytkownika, nazwa domeny, identyfikator zabezpieczeń (SID), informacje organizacyjne, informacje o zabezpieczeniach i nie tylko oraz adres IP, na przykład geolokalizacja.
Oś czasu zawiera listę alertów, zakładek i anomalii , które zawierają tę jednostkę, a także działania wykonywane przez jednostkę, zbierane z dzienników, w których jest wyświetlana jednostka. Wszystkie alerty z tą jednostką będą znajdować się na tej liście, niezależnie od tego, czy alerty należą do tego zdarzenia.
Alerty, które nie są częścią incydentu, będą wyświetlane inaczej: ikona tarczy będzie wyszarana, pasek koloru ważności będzie linią kropkowaną zamiast linii stałej, a po prawej stronie wiersza alertu pojawi się przycisk z znakiem plus.
Wybierz znak plus, aby dodać alert do tego zdarzenia. Po dodaniu alertu do zdarzenia zostaną również dodane wszystkie inne jednostki alertu (które nie zostały jeszcze częścią zdarzenia). Teraz możesz jeszcze bardziej rozszerzyć badanie, przeglądając osie czasu tych jednostek dla powiązanych alertów.
Ta oś czasu jest ograniczona do alertów i działań w ciągu ostatnich siedmiu dni. Aby wrócić, przejdź do osi czasu na pełnej stronie jednostki, której ramy czasowe można dostosowywać.
Szczegółowe informacje zawiera wyniki zapytań zdefiniowanych przez badaczy zabezpieczeń firmy Microsoft, które zapewniają cenne i kontekstowe informacje o zabezpieczeniach jednostek na podstawie danych z kolekcji źródeł. Te szczegółowe informacje obejmują te z widżetu Najważniejsze szczegółowe informacje i wiele innych. Są to te same, które są wyświetlane na pełnej stronie jednostki, ale w ograniczonym przedziale czasu: od 24 godzin przed najwcześniejszym alertem w zdarzeniu i kończące się czasem ostatniego alertu.
Większość szczegółowych informacji zawiera linki, które po wybraniu otwórz panel Dzienniki z wyświetlonym zapytaniem, które wygenerowało szczegółowe informacje wraz z wynikami.
Skoncentruj swoje badanie
Dowiedz się, jak rozszerzyć lub zawęzić zakres badania, dodając alerty do zdarzeń lub usuwając alerty ze zdarzeń.
Szczegółowe informacje na temat danych w dziennikach
Z niemal dowolnego miejsca w środowisku badania będziesz mieć możliwość wybrania linku, który otworzy zapytanie bazowe w panelu Dzienniki w kontekście badania. Jeśli przejdziesz do panelu Dzienniki z jednego z tych linków, odpowiednie zapytanie pojawi się w oknie zapytania, a zapytanie zostanie uruchomione automatycznie i wygeneruje odpowiednie wyniki do zbadania.
Możesz również wywołać pusty panel Dzienniki na stronie szczegółów zdarzenia w dowolnym momencie, jeśli myślisz o zapytaniu, które chcesz spróbować podczas badania, pozostając w kontekście. W tym celu wybierz pozycję Dzienniki w górnej części strony.
Jednak na panelu Dzienniki zostanie uruchomione zapytanie, którego wyniki chcesz zapisać:
Zaznacz pole wyboru obok wiersza, z którego chcesz zapisać wyniki. Aby zapisać wszystkie wyniki, zaznacz pole wyboru w górnej części kolumny.
Zapisz oznaczone wyniki jako zakładkę. Dostępne są dwie opcje:
Wybierz pozycję Dodaj zakładkę do bieżącego zdarzenia , aby utworzyć zakładkę i dodać ją do otwartego zdarzenia. Postępuj zgodnie z instrukcjami zakładki, aby ukończyć proces. Po zakończeniu zakładka będzie wyświetlana na osi czasu zdarzenia.
Wybierz pozycję Dodaj zakładkę , aby utworzyć zakładkę bez dodawania jej do dowolnego zdarzenia. Postępuj zgodnie z instrukcjami zakładki, aby ukończyć proces. Tę zakładkę będzie można znaleźć wraz ze wszystkimi innymi utworzonymi na stronie Wyszukiwanie zagrożeń na karcie Zakładki . Stamtąd możesz dodać go do tego lub innego zdarzenia.
Po utworzeniu zakładki (lub jeśli nie chcesz), wybierz pozycję Gotowe , aby zamknąć panel Dzienniki .
Inspekcja i komentowanie zdarzeń
Podczas badania incydentu należy dokładnie udokumentować kroki, które należy wykonać, zarówno w celu zapewnienia dokładnego raportowania zarządzania, jak i umożliwienia bezproblemowej współpracy między współpracownikami. Warto również wyraźnie zobaczyć rekordy wszelkich akcji podjętych w zdarzeniu przez inne osoby, w tym przez zautomatyzowane procesy. Usługa Microsoft Sentinel udostępnia dziennik aktywności, rozbudowane środowisko inspekcji i komentowania, które pomoże Ci to osiągnąć.
Możesz również automatycznie wzbogacić zdarzenia o komentarze. Na przykład po uruchomieniu podręcznika na incydencie, który pobiera odpowiednie informacje ze źródeł zewnętrznych (np. sprawdzanie pliku pod kątem złośliwego oprogramowania w virusTotal), podręcznik może umieścić odpowiedź zewnętrznego źródła — wraz z innymi informacjami zdefiniowanymi — w komentarzach zdarzenia.
Automatyczne odświeżanie dziennika aktywności, nawet podczas otwierania, dzięki czemu zawsze można zobaczyć zmiany w czasie rzeczywistym. Otrzymasz również powiadomienie o wszelkich zmianach wprowadzonych w dzienniku aktywności podczas otwierania.
Aby wyświetlić dziennik działań i komentarzy, lub dodać własne komentarze:
- Wybierz pozycję Dziennik aktywności w górnej części strony szczegółów zdarzenia.
- Aby przefiltrować dziennik, aby wyświetlić tylko działania lub tylko komentarze, wybierz kontrolkę filtru w górnej części dziennika.
- Jeśli chcesz dodać komentarz, wprowadź go w edytorze tekstu sformatowanego w dolnej części panelu Dziennik aktywności zdarzenia.
- Wybierz pozycję Komentarz , aby przesłać komentarz. W górnej części dziennika zostanie wyświetlony komentarz.
Uwagi dotyczące komentarzy
Poniżej przedstawiono kilka zagadnień, które należy wziąć pod uwagę podczas korzystania z komentarzy dotyczących zdarzeń.
Obsługiwane dane wejściowe:
Tekst: Komentarze w usłudze Microsoft Sentinel obsługują wprowadzanie tekstu w postaci zwykłego tekstu, podstawowego kodu HTML i języka Markdown. Możesz również wkleić skopiowany tekst, kod HTML i znacznik Markdown w oknie komentarza.
Linki: Linki muszą być w postaci tagów kotwicy HTML i muszą mieć parametr
target="_blank"
. Przykład:<a href="https://www.url.com" target="_blank">link text</a>
Uwaga
Jeśli masz podręczniki, które tworzą komentarze w zdarzeniach, linki w tych komentarzach muszą być teraz zgodne z tym szablonem, ze względu na zmianę formatu komentarzy.
Obrazy: Możesz wstawić linki do obrazów w komentarzach, a obrazy będą wyświetlane w tekście, ale obrazy muszą być już hostowane w publicznie dostępnej lokalizacji, takiej jak Dropbox, OneDrive, Google Drive i podobne. Nie można przekazywać obrazów bezpośrednio do komentarzy.
Limit rozmiaru:
Na komentarz: pojedynczy komentarz może zawierać maksymalnie 30 000 znaków.
Na zdarzenie: pojedyncze zdarzenie może zawierać maksymalnie 100 komentarzy.
Uwaga
Limit rozmiaru pojedynczego rekordu incydentu w tabeli SecurityIncident w usłudze Log Analytics wynosi 64 KB. Jeśli ten limit zostanie przekroczony, komentarze (począwszy od najwcześniejszego) zostaną obcięte, co może mieć wpływ na komentarze, które będą wyświetlane w zaawansowanych wynikach wyszukiwania .
Rzeczywiste rekordy zdarzeń w bazie danych zdarzeń nie będą miały wpływu.
KtoTo może edytować lub usuwać:
Edytowanie: tylko autor komentarza ma uprawnienia do jego edytowania.
Usuwanie: tylko użytkownicy z rolą Współautor usługi Microsoft Sentinel mają uprawnienia do usuwania komentarzy. Nawet autor komentarza musi mieć tę rolę, aby ją usunąć.
Badanie zdarzeń wizualnie przy użyciu wykresu badania
Jeśli wolisz wizualizację, graficzną reprezentację alertów, jednostek i połączeń między nimi w badaniu, możesz również wykonać wiele opisanych powyżej elementów za pomocą klasycznego grafu badania. Wadą grafu jest to, że trzeba będzie przełączać konteksty o wiele więcej.
Wykres badania zapewnia następujące elementy:
Kontekst wizualny z nieprzetworzonych danych: dynamiczny wykres wizualny wyświetla relacje jednostek wyodrębnione automatycznie z danych pierwotnych. Dzięki temu można łatwo wyświetlać połączenia między różnymi źródłami danych.
Odnajdywanie zakresu pełnego badania: rozwiń zakres badania przy użyciu wbudowanych zapytań eksploracyjnych, aby wyświetlić pełny zakres naruszenia.
Wbudowane kroki badania: użyj wstępnie zdefiniowanych opcji eksploracji, aby upewnić się, że zadajesz odpowiednie pytania w obliczu zagrożenia.
Aby użyć wykresu badania:
Wybierz zdarzenie, a następnie wybierz pozycję Zbadaj. Spowoduje to przejście do wykresu badania. Wykres zawiera ilustracyjną mapę jednostek połączonych bezpośrednio z alertem i każdy zasób połączony dalej.
Ważne
Będziesz mieć możliwość zbadania zdarzenia tylko wtedy, gdy reguła analizy lub zakładka, która ją wygenerowała, zawiera mapowania jednostek. Graf badania wymaga, aby oryginalny incydent zawierał jednostki.
Wykres badania obecnie obsługuje badanie zdarzeń do 30 dni.
Wybierz jednostkę, aby otworzyć okienko Jednostki , aby przejrzeć informacje dotyczące tej jednostki.
Rozwiń badanie, umieszczając wskaźnik myszy na każdej jednostce, aby wyświetlić listę pytań zaprojektowanych przez naszych ekspertów ds. zabezpieczeń i analityków na typ jednostki w celu pogłębienia badania. Nazywamy te zapytania eksploracji opcji.
Możesz na przykład zażądać powiązanych alertów. Jeśli wybierzesz zapytanie eksploracji, wynikowe uprawnienia zostaną dodane z powrotem do grafu. W tym przykładzie wybranie pozycji Powiązane alerty zwróciły następujące alerty do grafu:
Sprawdź, czy powiązane alerty są wyświetlane połączone z jednostką według wierszy kropkowanych.
Dla każdego zapytania eksploracji można wybrać opcję otwierania nieprzetworzonych wyników zdarzeń i zapytania używanego w usłudze Log Analytics, wybierając pozycję Zdarzenia>.
Aby zrozumieć zdarzenie, wykres przedstawia równoległą oś czasu.
Zatrzymaj wskaźnik myszy na osi czasu, aby zobaczyć, które elementy na grafie wystąpiły w jakim momencie w czasie.
Zamykanie zdarzenia
Po rozwiązaniu określonego zdarzenia (na przykład po zakończeniu badania należy ustawić stan zdarzenia na Zamknięty. Gdy to zrobisz, zostanie wyświetlony monit o sklasyfikowanie zdarzenia, określając przyczynę jego zamknięcia. Ten krok jest obowiązkowy. Kliknij pozycję Wybierz klasyfikację i wybierz jedną z następujących pozycji z listy rozwijanej:
- Prawdziwie dodatnie — podejrzane działanie
- Łagodny pozytywny — podejrzany, ale oczekiwany
- Wynik fałszywie dodatni — nieprawidłowa logika alertu
- Wynik fałszywie dodatni — nieprawidłowe dane
- Nieokreślone
Aby uzyskać więcej informacji na temat wyników fałszywie dodatnich i łagodnych wyników dodatnich, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.
Po wybraniu odpowiedniej klasyfikacji dodaj tekst opisowy w polu Komentarz . Będzie to przydatne w przypadku, gdy musisz odwołać się z powrotem do tego zdarzenia. Kliknij przycisk Zastosuj po zakończeniu, a zdarzenie zostanie zamknięte.
Wyszukiwanie zdarzeń
Aby szybko znaleźć określone zdarzenie, wprowadź ciąg wyszukiwania w polu wyszukiwania powyżej siatki zdarzeń i naciśnij klawisz Enter , aby odpowiednio zmodyfikować listę wyświetlanych zdarzeń. Jeśli zdarzenie nie jest uwzględnione w wynikach, możesz zawęzić wyszukiwanie przy użyciu opcji wyszukiwania zaawansowanego.
Aby zmodyfikować parametry wyszukiwania, wybierz przycisk Wyszukaj , a następnie wybierz parametry, w których chcesz uruchomić wyszukiwanie.
Na przykład:
Domyślnie wyszukiwania zdarzeń są uruchamiane tylko w wartościach Identyfikator zdarzenia, Tytuł, Tagi, Właściciel i Nazwa produktu. W okienku wyszukiwania przewiń listę w dół, aby wybrać co najmniej jeden inny parametr do wyszukania, a następnie wybierz pozycję Zastosuj , aby zaktualizować parametry wyszukiwania. Wybierz pozycję Ustaw, aby zresetować wybrane parametry do domyślnej opcji.
Uwaga
Wyszukiwanie w polu Właściciel obsługuje zarówno nazwy, jak i adresy e-mail.
Użycie opcji wyszukiwania zaawansowanego zmienia zachowanie wyszukiwania w następujący sposób:
Sposób wyszukiwania | opis |
---|---|
Kolor przycisku wyszukiwania | Kolor przycisku wyszukiwania zmienia się w zależności od typów parametrów aktualnie używanych w wyszukiwaniu.
|
Automatyczne odświeżanie | Korzystanie z zaawansowanych parametrów wyszukiwania uniemożliwia wybranie opcji automatycznego odświeżania wyników. |
Parametry jednostki | Wszystkie parametry jednostki są obsługiwane w przypadku wyszukiwania zaawansowanego. Podczas wyszukiwania w dowolnym parametrze jednostki wyszukiwanie jest uruchamiane we wszystkich parametrach jednostki. |
Wyszukiwanie ciągów | Wyszukiwanie ciągu wyrazów obejmuje wszystkie wyrazy w zapytaniu wyszukiwania. W ciągach wyszukiwania jest rozróżniana wielkość liter. |
Obsługa między obszarami roboczymi | Wyszukiwania zaawansowane nie są obsługiwane w przypadku widoków wielu obszarów roboczych. |
Liczba wyświetlonych wyników wyszukiwania | W przypadku korzystania z zaawansowanych parametrów wyszukiwania wyświetlane są jednocześnie tylko 50 wyników. |
Napiwek
Jeśli nie możesz znaleźć szukanych zdarzeń, usuń parametry wyszukiwania, aby rozwinąć wyszukiwanie. Jeśli wyniki wyszukiwania będą zawierać zbyt wiele elementów, dodaj więcej filtrów, aby zawęzić wyniki.
Następne kroki
W tym artykule przedstawiono sposób rozpoczynania badania zdarzeń przy użyciu usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz: