Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Sentinel oferece uma completa plataforma de gerenciamento de casos para investigação e gerenciamento incidentes de segurança. Os incidentes são o nome do Microsoft Sentinel para arquivos que contêm uma cronologia completa e constantemente atualizada de uma ameaça à segurança, seja partes individuais de evidências (alertas), suspeitos e partes de interesse (entidades), insights coletados e coletados por especialistas em segurança e modelos de IA/machine learning, ou comentários e logs de todas as ações executadas no decorrer da investigação.
A experiência de investigação de incidentes no Microsoft Sentinel começa com a página Incidentes — uma experiência projetada para fornecer tudo o que você precisa para sua investigação em um só lugar. O principal objetivo dessa experiência é aumentar a eficiência e a eficácia do seu SOC, reduzindo seu tempo médio de resolução (MTTR).
Este artigo descreve os recursos e funcionalidades de investigação de incidentes e gerenciamento de casos do Microsoft Sentinel, conduzindo você pelas fases de uma investigação típica de incidentes enquanto apresenta todas as exibições e ferramentas disponíveis no Portal do Azure para ajudar você.
Pré-requisitos
A atribuição de função do Respondente do Microsoft Sentinel é necessária para investigar incidentes.
Saiba mais sobre as funções no Microsoft Sentinel.
Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Usuários regulares (não convidados) têm essa função atribuída por padrão.
Aumente a maturidade do seu SOC
Os incidentes do Microsoft Sentinel oferecem ferramentas para ajudar o nível de maturidade das Operações de Segurança (SecOps) a padronizar seus processos e auditar o gerenciamento de incidentes.
Padronize seus processos
As tarefas de incidente são listas de fluxo de trabalho de tarefas a serem seguidas pelos analistas para garantir um padrão uniforme de cuidado e evitar que etapas cruciais sejam perdidas:
Os gerentes e engenheiros do SOC podem desenvolver essas listas de tarefas e aplicá-las automaticamente a diferentes grupos de incidentes, conforme apropriado, ou em todo o quadro.
Os analistas do SOC podem acessar as tarefas atribuídas em cada incidente, marcando-as como concluídas.
Os analistas também podem adicionar manualmente tarefas aos seus incidentes abertos, seja como auto-lembretes ou para o benefício de outros analistas que possam colaborar no incidente (por exemplo, devido a uma mudança ou escalonamento de turnos).
Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel no portal do Azure.
Auditar o gerenciamento de incidentes
O log de atividades de incidentes rastreia as ações executadas em um incidente, seja iniciado por humanos ou processos automatizados, e os exibe junto com todos os comentários sobre o incidente.
Você também pode adicionar aqui seus próprios comentários. Para obter mais informações, consulte Investigar incidentes do Microsoft Sentinel detalhadamente no portal do Azure.
Investigue de forma eficaz e eficiente
Em primeiro lugar: como analista, a pergunta mais básica que você quer responder é: por que esse incidente está sendo trazido ao meu conhecimento? Ao acessar a página de detalhes de um incidente, essa pergunta será respondida: bem no centro da tela, você verá o widget Linha do Tempo do Incidente.
Use incidentes do Microsoft Sentinel para investigar incidentes de segurança de forma eficaz e eficiente usando a linha do tempo do incidente, aprendendo com incidentes semelhantes, examinando os principais insights, exibindo entidades e explorando logs.
Linhas do tempo do incidente
A linha do tempo do incidente é o diário de todos os alertas que representam todos os eventos registrados que são relevantes para a investigação, na ordem em que eles aconteceram. A linha do tempo também mostra os indicadores, instantâneos de evidências coletadas durante a busca e adicionadas ao incidente.
Pesquise a lista de alertas e indicadores ou filtrar a lista por severidade, táticas ou tipo de conteúdo (alerta ou indicador), para encontrar o item que deseja buscar. A exibição inicial da linha do tempo informa imediatamente várias coisas importantes sobre cada item nele, seja alerta ou indicador:
- A data e a hora da criação do alerta ou marcação.
- O tipo de item, alerta ou favorito, indicado por um ícone e uma Dica de Ferramenta ao passar o cursor sobre o ícone.
- O nome do alerta ou do marca-páginas, em negrito na primeira linha do item.
- A gravidade do alerta, indicada por uma faixa de cores ao longo da borda esquerda e em formato de palavra no início do "subtítulo" de três partes do alerta.
- O provedor de alertas, na segunda parte do subtítulo. Para indicadores, o criador do indicador.
- As táticas do MITRE ATT&CK associadas ao alerta, indicadas por ícones e Dicas de Ferramenta, na terceira parte do subtítulo.
Para obter mais informações, consulte Reconstruir a linha do tempo da história do ataque.
Listas de incidentes semelhantes
Se alguma coisa que você viu até agora no seu incidente parece familiar, pode haver uma boa razão. O Microsoft Sentinel permanece um passo à sua frente, mostrando os incidentes mais semelhantes aos incidentes abertos.
O widget incidentes semelhantes mostra as informações mais relevantes sobre incidentes considerados semelhantes, incluindo a data e a hora da última atualização, o último proprietário, o último status (incluindo, se eles estiverem fechados, o motivo pelo qual foram fechados) e o motivo da similaridade.
Isso pode beneficiar sua investigação de várias maneiras:
- Identificar incidentes simultâneos que podem ser parte de uma estratégia de ataque maior.
- Use incidentes semelhantes como pontos de referência para sua investigação atual, veja como eles foram tratados.
- Identifique os proprietários de antigos incidentes semelhantes para se beneficiar do conhecimentos deles.
Por exemplo, você quer ver se outros incidentes como esse aconteceram antes ou estão acontecendo agora.
- Talvez você queira identificar incidentes simultâneos que possam fazer parte da mesma estratégia de ataque maior.
- Talvez você queira identificar incidentes semelhantes no passado para usá-los como pontos de referência para sua investigação atual.
- Talvez você queira identificar os proprietários de incidentes semelhantes passados, para encontrar as pessoas em seu SOC que podem fornecer mais contexto ou para quem você pode escalonar a investigação.
O widget mostra os 20 incidentes mais semelhantes. O Microsoft Sentinel decide quais incidentes são semelhantes com base em elementos comuns, incluindo entidades, a regra de análise de origem e os detalhes do alerta. A partir desse widget, você pode ir diretamente para as páginas de detalhes completos de qualquer um desses incidentes, mantendo intacta a conexão com o incidente atual.
De forma similar, é determinada com base nos seguintes critérios:
| Critérios | Descrição |
|---|---|
| Entidades semelhantes | Um incidente será considerado semelhante a outro incidente se ambos incluirem as mesmas entidades. Quanto mais entidades dois incidentes tiverem em comum, mais semelhantes serão considerados. |
| Regra semelhante | Um incidente é considerado semelhante a outro incidente se ambos foram criados pela mesma regra de análise. |
| Detalhes de alerta semelhantes | Um incidente será considerado semelhante a outro incidente se eles compartilharem o mesmo título, nome do produto e/ou detalhes personalizados (surface-custom-details-in-alerts.md). |
A similaridade do incidente é calculada com base nos dados dos 14 dias anteriores à última atividade no incidente, que é a hora final do alerta mais recente no incidente. A similaridade do incidente também é recalculada sempre que você insere a página de detalhes do incidente, portanto, os resultados podem variar entre as sessões se novos incidentes forem criados ou atualizados.
Para obter mais informações, consulte Verificar se há incidentes semelhantes em seu ambiente.
Principais insights do incidente
Em seguida, com os contornos gerais do que aconteceu (ou ainda está acontecendo) e uma melhor compreensão do contexto, você ficará curioso sobre quais informações interessantes o Microsoft Sentinel já descobriu para você.
O Microsoft Sentinel faz automaticamente as grandes perguntas sobre as entidades em seu incidente e mostra as principais respostas no widget top insights , visíveis no lado direito da página de detalhes do incidente. Esse widget mostra uma coleção de insights com base na análise de aprendizado de máquina e na curadoria das principais equipes de especialistas em segurança.
Esses são um subconjunto especialmente selecionado dos insights que aparecem nas páginas da entidade, mas, nesse contexto, os insights de todas as entidades no incidente são apresentados juntos, fornecendo uma visão mais completa do que está acontecendo. O conjunto completo de insights aparece na guia Entidades, para cada entidade separadamente, confira abaixo.
O widget Top Insights responde a perguntas sobre a entidade, relacionadas ao seu comportamento em comparação com seus pares e seu próprio histórico, sua presença em listas de observação ou em inteligência de ameaças, ou qualquer tipo de evento incomum relacionado a ela.
A maioria desses insights contém links para mais informações. Esses links abrem o painel Logs no contexto, onde você verá a consulta de origem desse insight junto com seus resultados.
Lista de entidades relacionadas
Agora que você tem algum contexto e algumas perguntas básicas respondidas, você vai querer se aprofundar mais sobre os principais players desta história.
Nomes de usuário, nomes de host, endereços IP, nomes de arquivos e outros tipos de entidades podem ser “pessoas de interesse” na sua investigação. O Microsoft Sentinel localiza todos eles para você e exibe-os na frente e no centro no widget Entidades , juntamente com a linha do tempo.
Selecione uma entidade deste widget para redirecionar você para a listagem dessa entidade na guia Entidades na mesma página de incidentes, que contém uma lista de todas as entidades no incidente.
Selecione uma entidade na lista para abrir um painel lateral com informações baseadas na página da entidade, incluindo os seguintes detalhes:
As informações contêm informações básicas sobre a entidade. Para uma entidade de conta de usuário, isso pode ser algo como nome de usuário, nome de domínio, identificador de segurança (SID), informações organizacionais, informações de segurança e muito mais.
A linha do tempo contém uma lista dos alertas que envolvem essa entidade e as atividades realizadas pela entidade, conforme coletadas nos logs em que a entidade aparece.
Insights contém respostas para perguntas sobre a entidade relacionada ao seu comportamento em comparação com seus pares e seu próprio histórico, sua presença em listas de observação ou em inteligência de ameaças, ou qualquer outro tipo de ocorrência incomum relacionada.
Essas respostas são os resultados de consultas definidas pelos pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades, com base nos dados de uma coleção de fontes.
Dependendo do tipo de entidade, você pode realizar várias ações adicionais neste painel lateral, incluindo:
Acesse a página completa da entidade para obter ainda mais detalhes em um período de tempo mais longo ou iniciar a ferramenta de investigação gráfica centrada nessa entidade.
Execute um guia estratégico para executar ações específicas de resposta ou correção na entidade (em Visualização).
Classifique a entidade como um indicador de comprometimento (IOC) e adicione-a à sua lista de inteligência contra ameaças.
Cada uma dessas ações é atualmente suportada para determinados tipos de entidade e não para outros. A tabela a seguir mostra quais ações são suportadas para cada tipo de entidade:
| Ações disponíveis ▶ Tipos de entidade ▼ |
Exibir todos os detalhes (na página da entidade) |
Adicionar à TI * | Execute o guia estratégico * (Visualização) |
|---|---|---|---|
| Conta de usuário | ✔ | ✔ | |
| Anfitrião | ✔ | ✔ | |
| Endereço IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nome de domínio | ✔ | ✔ | |
| Arquivo (hash) | ✔ | ✔ | |
| Recurso do Azure | ✔ | ||
| Dispositivo IoT | ✔ |
* Em entidades para as quais as ações Adicionar ao TI ou Executar guia estratégico estão disponíveis, você pode executar essas ações diretamente no widget Entidades na guia Visão geral, sem nunca sair da página do incidente.
Logs de incidente
Explorar os logs de incidentes para obter os detalhes e descobrir exatamente o que aconteceu?
De quase qualquer área no incidente, você pode detalhar os alertas individuais, entidades, insights e outros itens contidos no incidente, visualizando a consulta original e seus resultados.
Esses resultados são exibidos na tela Logs (análise de logs) que aparece aqui como uma extensão do painel da página de detalhes do incidente, para que você não saia do contexto da investigação.
Registros organizados com incidentes
No interesse da transparência, responsabilidade e continuidade, você desejará um registro de todas as ações que foram tomadas em relação ao incidente, seja por processos automatizados ou por pessoas. O log de atividades do incidente mostra todas essas atividades. Você também pode ver todos os comentários que foram feitos e adicionar os seus.
O log de atividades é constantemente atualizado automaticamente, mesmo quando aberto, para que você possa ver as alterações em tempo real.
Conteúdo relacionado
Neste documento, você aprendeu como a experiência de investigação de incidentes do Microsoft Sentinel no portal do Azure ajuda você a realizar uma investigação em um único contexto. Para obter mais informações sobre como gerenciar e investigar incidentes, consulte os artigos a seguir:
- Investigue entidades com páginas de entidades no Microsoft Sentinel.
- Usar tarefas para gerenciar incidentes no Microsoft Sentinel
- Automatize o tratamento de incidentes no Microsoft Sentinel com regras de automação.
- Identificar ameaças avançadas com a UEBA (Análise de Comportamento de Usuário e Entidade) no Microsoft Sentinel
- Buscar por ameaças de segurança.
Próxima etapa
Navegar, fazer triagem e gerenciar incidentes do Microsoft Sentinel no portal do Azure