Investigue incidentes com o Microsoft Sentinel

  • Artigo

Importante

Os recursos indicados estão em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Este artigo ajuda você a investigar incidentes com o Microsoft Sentinel. Depois de conectar suas fontes de dados ao Microsoft Sentinel, você deseja ser notificado quando algo suspeito acontecer. Para permitir que você faça isso, o Microsoft Sentinel permite que você crie regras de análise avançadas, que geram incidentes que você pode atribuir e investigar.

Este artigo cobre:

  • Investigar incidentes
  • Usar os gráficos de investigação
  • Responda às ameaças

Um incidente pode incluir vários alertas. É uma agregação de todas as evidências relevantes para uma investigação específica. Um incidente é criado com base nas regras de análise que você criou na página de Análise. As propriedades relacionadas aos alertas, como severidade e status, são definidas no nível do incidente. Depois de permitir que a Microsoft Sentinel saiba quais tipos de ameaças você está procurando e como encontrá-las, você pode monitorar ameaças detectadas investigando incidentes.

Pré-requisitos

  • Você só será capaz de investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar a regra analítica. O grafo de investigação exige que o incidente original inclua as entidades.

  • Se você tiver um usuário convidado que precisa atribuir incidentes, a função de Leitor de Diretório deverá ser atribuída ao usuário em seu locatário do Microsoft Entra. Usuários regulares (não convidados) têm essa função atribuída por padrão.

Como investigar incidentes

  1. Selecione Incidentes. A página Incidentes permite que você saiba quantos incidentes você tem e se eles são novos, Ativos ou fechados. Para cada incidente, você pode ver a hora em que ocorreu e seu status. Examine a severidade para decidir quais incidentes tratar primeiro.

    Screenshot of view of incident severity.

  2. Você pode filtrar os incidentes conforme necessário. Por exemplo, por status ou severidade. Para obter mais informações, confira Procurar incidentes.

  3. Para iniciar uma investigação, selecione um incidente específico. À direita, você pode ver informações detalhadas sobre o incidente, incluindo sua gravidade, resumo do número de entidades envolvidas, os eventos brutos que desencadearam esse incidente, a ID exclusiva do incidente e quaisquer táticas ou técnicas mapeadas do MITRE ATT&CK.

  4. Para exibir mais detalhes sobre os alertas e entidades no incidente, selecione Exibir detalhes completos na página incidente e examine as guias relevantes que resumem as informações do incidente.

    Screenshot of view of alert details.

    • Na guia Linha do Tempo, revise a linha do tempo de alertas e indicadores no incidente, o que pode ajudar você a reconstruir a linha do tempo da atividade do invasor.

    • Na guia Incidentes semelhantes (versão prévia), você verá uma coleção de até 20 outros incidentes que mais se assemelham ao incidente atual. Isso permite que você exiba o incidente em um contexto maior e ajuda a direcionar sua investigação. Saiba mais sobre incidentes semelhantes abaixo.

    • Na guia Alertas, examine os alertas incluídos neste incidente. Você verá todas as informações relevantes sobre o alerta: as regras de análise que o produziu, o número de resultados retornados por alerta e a capacidade de executar guias estratégicos nos alertas. Para detalhar ainda mais o incidente, selecione o número de Eventos. Isso abre a consulta que gerou os resultados e os eventos que dispararam o alerta no Log Analytics.

    • Na guia Indicadores, você verá todos os indicadores que você ou outros investigadores vincularam a este incidente. Saiba mais sobre os indicadores.

    • Na guia Entidades, você pode ver todas as entidades que você mapeou como parte da definição da regra de alerta. Esses são os objetos que executam uma função no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou qualquer outro tipo.

    • Por fim, na guia Comentários, você pode adicionar seus comentários sobre a investigação e exibir quaisquer comentários feitos por outros analistas e investigadores. Saiba mais sobre comentários.

  5. Se você estiver investigando um incidente ativamente, é melhor definir o status do incidente como Ativo até fechá-lo.

  6. Os incidentes podem ser atribuídos a um usuário específico ou a um grupo. Para cada incidente, você pode atribuir um proprietário, definindo o campo Proprietário. Todos os incidentes começam como não atribuídos. Você também pode adicionar comentários para que outros analistas possam entender o que você investigou e quais são suas preocupações em relação ao incidente.

    Screenshot of assigning incident to user.

    Usuários e grupos selecionados recentemente aparecerão na parte superior da lista suspensa exibida.

  7. Selecione Investigar para exibir o mapa de investigação.

Use o gráfico de investigação para se aprofundar

O gráfico de investigação permite que os analistas façam as perguntas certas para cada investigação. O grafo de investigação ajuda a entender o escopo e identificar a causa raiz de uma possível ameaça à segurança ao correlacionar os dados relevantes com qualquer entidade envolvida. Você pode analisar mais detalhadamente e investigar as entidades apresentadas no grafo, selecionando-as e escolhendo entre diferentes opções de expansão.

O gráfico de investigação fornece:

  • Contexto visual de dados brutos: o gráfico visual dinâmico exibe as relações de entidade extraídas automaticamente dos dados brutos. Isso permite que você veja facilmente as conexões entre diferentes fontes de dados.

  • Descoberta completa de escopo de investigação: expanda seu escopo de investigação usando consultas de exploração internas para trazer o escopo completo de uma violação.

  • Etapas de investigação internas: use opções de exploração predefinidas para verificar se você está fazendo as perguntas certas diante de uma ameaça.

Para usar o gráfico de investigação:

  1. Selecione um incidente e, em seguida, selecione Investigar. Isso levará você ao gráfico de investigação. O gráfico fornece um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.

    View map.

    Importante

    • Você só será capaz de investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar a regra analítica. O grafo de investigação exige que o incidente original inclua as entidades.

    • No momento, o Azure Sentinel dá suporte à investigação de incidentes de até 30 dias.

  2. Selecione uma entidade para abrir o painel Entidades para que você possa examinar as informações sobre essa entidade.

    View entities in map

  3. Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas projetadas por nossos especialistas em segurança e analistas por tipo de entidade para aprofundar sua investigação. Chamamos essas opções de consultas de exploração.

    Explore more details

    Por exemplo, você pode solicitar alertas relacionados. Se você selecionar uma consulta de exploração, as entidades resultantes serão adicionadas de volta ao gráfico. Neste exemplo, a seleção de Alertas relacionados retornou os seguintes alertas para o gráfico:

    Screenshot: view related alerts

    Veja se os alertas relacionados aparecem conectados à entidade por linhas pontilhadas.

  4. Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados do evento bruto e a consulta usada no Log Analytics, selecionando Eventos> .

  5. Para entender o incidente, o gráfico fornece uma linha do tempo paralela.

    Screenshot: view timeline in map.

  6. Passe o mouse sobre a linha do tempo para ver quais eventos no gráfico ocorreram em que ponto no tempo.

    Screenshot: use timeline in map to investigate alerts.'

Concentre sua investigação

Saiba como ampliar ou restringir o escopo de sua investigação adicionando alertas a seus incidentes ou removendo alertas de incidentes.

Incidentes semelhantes (versão prévia)

Como analista de operações de segurança, ao investigar um incidente, você vai querer prestar atenção ao seu contexto maior. Por exemplo, você vai querer ver se outros incidentes como esse aconteceram antes ou estão acontecendo agora.

  • Talvez você queira identificar incidentes simultâneos que possam fazer parte da mesma estratégia de ataque maior.

  • Talvez você queira identificar incidentes semelhantes no passado para usá-los como pontos de referência para sua investigação atual.

  • Talvez você queira identificar os proprietários de incidentes semelhantes passados, para encontrar as pessoas em seu SOC que podem fornecer mais contexto ou para quem você pode escalonar a investigação.

A guia incidentes semelhantes na página de detalhes do incidente, agora em versão prévia, apresenta até 20 incidentes diferentes que são os mais semelhantes ao atual. A similaridade é calculada por algoritmos internos do Microsoft Sentinel e os incidentes são classificados e exibidos em ordem decrescente de similaridade.

Screenshot of the similar incidents display.

Cálculo de similaridade

A similaridade é determinada por três critérios:

  • Entidades semelhantes: um incidente será considerado semelhante a outro incidente se ambos incluírem as mesmas entidades. Quanto mais entidades dois incidentes tiverem em comum, mais semelhantes serão considerados.

  • Regra semelhante: um incidente será considerado semelhante a outro incidente se ambos foram criados pela mesma regra de análise.

  • Detalhes de alerta semelhantes: um incidente será considerado semelhante a outro incidente se eles compartilharem o mesmo título, nome do produto e/ou detalhes personalizados.

Os motivos pelos quais um incidente aparece na lista de incidentes semelhantes são exibidos na coluna Motivo da similaridade. Passe o mouse sobre o ícone de informações para mostrar os itens comuns (entidades, nome da regra ou detalhes).

Screenshot of pop-up display of similar incident details.

Período de similaridade

A similaridade do incidente é calculada com base nos dados dos 14 dias anteriores à última atividade no incidente, que é a hora final do alerta mais recente no incidente.

A similaridade do incidente é recalculada sempre que você insere a página de detalhes do incidente, portanto, os resultados podem variar entre as sessões se novos incidentes forem criados ou atualizados.

Comentário sobre incidentes

Como analista de operações de segurança, ao investigar um incidente, você deseja documentar detalhadamente as etapas que segue, tanto para garantir relatórios precisos para o gerenciamento quanto para facilitar a cooperação e colaboração entre colegas de trabalho. O Microsoft Sentinel oferece um ambiente de comentários avançado para ajudar você a fazer isso.

Outra coisa importante que você pode fazer com comentários é enriquecer seus incidentes automaticamente. Quando você executa um guia estratégico em um incidente que busca informações relevantes de fontes externas (por exemplo, verificando um arquivo para malware no VirusTotal), você pode fazer com que o guia estratégico coloque a resposta da fonte externa, juntamente com qualquer outra informação que você definir, nos comentários do incidente.

Os comentários são simples de usar. Você pode acessá-los por meio da guia Comentários na página de detalhes do incidente.

Screenshot of viewing and entering comments.

Perguntas frequentes

Há várias considerações a levar em conta ao usar comentários de incidente. A lista de perguntas a seguir aponta para essas considerações.

Quais tipos de entrada têm suporte?

  • Texto: os comentários no Microsoft Sentinel dão suporte a entradas de texto em texto sem formatação, HTML básico e Markdown. Você também pode colar texto copiado, HTML e Markdown na janela de comentários.

  • Imagens: você pode inserir links para imagens em comentários e as imagens serão exibidas em linha, mas as imagens já precisam estar hospedadas em um local publicamente acessível, como Dropbox, OneDrive, Google Drive e assim por diante. As imagens não podem ser carregadas diretamente nos comentários.

Há um limite de tamanho para os comentários?

  • Por comentário: cada comentário pode conter até 30.000 caracteres.

  • Por incidente: cada incidente pode conter até 100 comentários.

    Observação

    O limite de tamanho de um registro de incidente na tabela SecurityIncident no Log Analytics é de 64 KB. Se esse limite for excedido, os comentários (começando com o mais antigo) serão truncados, o que pode afetar os comentários que aparecerão nos resultados da pesquisa avançada.

    Os registros de incidentes no banco de dados de incidentes não serão afetados.

Quem pode editar ou excluir comentários?

  • Edição: somente o autor de um comentário tem permissão para editá-lo.

  • Exclusão: somente usuários com a função de Colaborador do Microsoft Sentinel têm permissão para excluir comentários. Até mesmo o autor do comentário precisa ter essa função para excluí-lo.

Fechar um incidente

Depois de resolver um incidente específico (por exemplo, quando sua investigação tiver atingido sua conclusão), defina o status do incidente como Fechado. Ao fazer isso, você será solicitado a classificar o incidente especificando o motivo pelo qual está fechando-o. Essa etapa é obrigatória. Clique em Selecionar classificação e escolha uma das opções a seguir na lista suspensa:

  • Verdadeiro Positivo – atividade suspeita
  • Benigno Positivo – suspeito, mas esperado
  • Falso Positivo – lógica do alerta incorreta
  • Falso Positivo – dados incorretos
  • Indeterminado

Screenshot that highlights the classifications available in the Select classification list.

Para obter mais informações sobre falsos positivos e positivos benignos, consulte Lidar com falsos positivos no Microsoft Sentinel.

Depois de escolher a classificação apropriada, adicione um texto descritivo no campo Comentário. Isso será útil no caso de você precise voltar a esse incidente. Clique em Aplicar quando terminar e o incidente será fechado.

{alt-text}

Procurar incidentes

Para encontrar um incidente específico rapidamente, insira uma cadeia de caracteres de pesquisa na caixa de pesquisa acima da grade de incidentes e pressione Enter para modificar a lista de incidentes mostrada. Se o incidente não estiver incluído nos resultados, restrinja a pesquisa usando as opções de Pesquisa avançada.

Para modificar os parâmetros de pesquisa, selecione o botão Pesquisar e depois selecione os parâmetros em que deseja executar a pesquisa.

Por exemplo:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Por padrão, as pesquisas de incidentes são executadas apenas nos valores de ID do incidente, Título, Marcas, Proprietário e Nome do produto. No painel de pesquisa, role para baixo na lista e selecione um ou mais parâmetros a serem pesquisados e clique em Aplicar para atualizar os parâmetros de pesquisa. Selecione Definir como padrão a fim de redefinir os parâmetros selecionados para a opção padrão.

Observação

Há suporte para nomes e endereços de email nas pesquisas no campo Proprietário.

O uso de opções de pesquisa avançada altera o comportamento da pesquisa desta forma:

Comportamento de pesquisa Descrição
Cor do botão de pesquisa A cor do botão de pesquisa é alterada dependendo dos tipos de parâmetros usados na pesquisa no momento.
  • Se apenas os parâmetros padrão são selecionados, o botão fica cinza.
  • Assim que parâmetros diferentes são selecionados, como parâmetros de pesquisa avançada, o botão fica azul.
Atualização automática O uso de parâmetros de pesquisa avançada impede que você selecione a atualização automática dos resultados.
Parâmetros de entidade Há suporte para todos os parâmetros de entidade nas pesquisas avançadas. Quando a pesquisa é feita em um dos parâmetros de entidade, ela abrange todos os parâmetros de entidade.
Pesquisar cadeias de caracteres A pesquisa de uma cadeia de caracteres de palavras inclui todas as palavras na consulta de pesquisa. As cadeias de caracteres de pesquisa diferenciam maiúsculas de minúsculas.
Suporte entre workspaces Não há suporte para pesquisas avançadas em exibições entre workspaces.
Número de resultados da pesquisa exibidos Quando você está usando parâmetros de pesquisa avançada, apenas 50 resultados são mostrados por vez.

Dica

Se você não conseguir encontrar o incidente que está procurando, remova os parâmetros de pesquisa para expandir a pesquisa. Se a pesquisa resultar em muitos itens, adicione mais filtros para restringir os resultados.

Próximas etapas

Neste artigo, você aprendeu como começar a investigar incidentes usando o Microsoft Sentinel. Para obter mais informações, consulte: