Compreender os recursos de investigação de incidentes e gerenciamento de casos do Microsoft Sentinel
O Microsoft Sentinel oferece uma plataforma completa e completa de gerenciamento de casos para investigar e gerenciar incidentes de segurança. Incidentes são o nome do Microsoft Sentinel para arquivos de caso que contêm uma cronologia completa e constantemente atualizada de uma ameaça à segurança, sejam peças individuais de evidência (alertas), suspeitos e partes de interesse (entidades), insights coletados e curados por especialistas em segurança e modelos de IA/aprendizado de máquina, ou comentários e logs de todas as ações tomadas no decorrer da investigação.
A experiência de investigação de incidentes no Microsoft Sentinel começa com a página Incidentes, uma nova experiência projetada para oferecer tudo o que você precisa para sua investigação em um só lugar. O principal objetivo desta nova experiência é aumentar a eficiência e eficácia do seu SOC, reduzindo o seu tempo médio de resolução (MTTR).
Este artigo leva você pelas fases de uma investigação de incidente típica, apresentando todos os monitores e ferramentas disponíveis para ajudá-lo.
Aumente a maturidade do seu SOC
O Microsoft Sentinel dá-lhe as ferramentas para ajudar as suas Operações de Segurança (SecOps) a subir de nível.
Padronizar processos
As tarefas de incidentes são listas de tarefas de fluxo de trabalho que os analistas devem seguir para garantir um padrão uniforme de cuidados e evitar que etapas cruciais sejam perdidas. Os gerentes e engenheiros de SOC podem desenvolver essas listas de tarefas e aplicá-las automaticamente a diferentes grupos de incidentes, conforme apropriado, ou em todos os setores. Os analistas SOC podem então acessar as tarefas atribuídas dentro de cada incidente, marcando-as à medida que são concluídas. Os analistas também podem adicionar manualmente tarefas aos seus incidentes abertos, como lembretes automáticos ou para o benefício de outros analistas que possam colaborar no incidente (por exemplo, devido a uma mudança de turno ou escalonamento).
Saiba mais sobre tarefas incidentes.
Gestão de incidentes de auditoria
O registro de atividades de incidentes rastreia as ações tomadas em um incidente, seja iniciado por humanos ou processos automatizados, e as exibe junto com todos os comentários sobre o incidente. Você pode adicionar seus próprios comentários aqui também. Dá-lhe um registo completo de tudo o que aconteceu, garantindo rigor e responsabilização.
Investigue de forma eficaz e eficiente
Ver cronologia
Primeiras coisas primeiro: Como analista, a pergunta mais básica que você quer responder é: por que esse incidente está sendo trazido à minha atenção? Inserir a página de detalhes de um incidente responderá a essa pergunta: bem no centro da tela, você verá o widget Linha do tempo do incidente. A linha do tempo é o diário de todos os alertas que representam todos os eventos registrados que são relevantes para a investigação, na ordem em que aconteceram. A linha do tempo também mostra marcadores, instantâneos de evidências coletadas durante a caça e adicionadas ao incidente. Veja todos os detalhes de qualquer item desta lista selecionando-o. Muitos desses detalhes, como o alerta original, a regra de análise que o criou e quaisquer favoritos, aparecem como links que você pode selecionar para se aprofundar ainda mais e saber mais.
Saiba mais sobre o que você pode fazer na linha do tempo do incidente.
Aprenda com incidentes semelhantes
Se algo que você viu até agora em seu incidente parece familiar, pode haver uma boa razão. O Microsoft Sentinel fica um passo à sua frente, mostrando-lhe os incidentes mais semelhantes ao aberto. O widget Incidentes semelhantes mostra as informações mais relevantes sobre incidentes considerados semelhantes, incluindo a data e hora da última atualização, o último proprietário, o último status (incluindo, se estiverem fechados, o motivo pelo qual foram fechados) e o motivo da semelhança.
Isso pode beneficiar sua investigação de várias maneiras:
- Identifique incidentes simultâneos que possam fazer parte de uma estratégia de ataque maior.
- Use incidentes semelhantes como pontos de referência para sua investigação atual — veja como eles foram tratados.
- Identificar proprietários de incidentes semelhantes passados para se beneficiar de seus conhecimentos.
O widget mostra os 20 incidentes mais semelhantes. O Microsoft Sentinel decide quais incidentes são semelhantes com base em elementos comuns, incluindo entidades, a regra de análise de origem e detalhes de alerta. A partir deste widget, você pode saltar diretamente para qualquer uma das páginas de detalhes completos desses incidentes, mantendo intacta a conexão com o incidente atual.
Saiba mais sobre o que pode fazer com incidentes semelhantes.
Examine os principais insights
Em seguida, tendo as linhas gerais do que aconteceu (ou ainda está acontecendo), e tendo uma melhor compreensão do contexto, você ficará curioso sobre quais informações interessantes o Microsoft Sentinel já descobriu para você. Ele faz automaticamente as grandes perguntas sobre as entidades em seu incidente e mostra as principais respostas no widget Principais insights , visível no lado direito da página de detalhes do incidente. Este widget mostra uma coleção de insights com base na análise de aprendizado de máquina e na curadoria das principais equipes de especialistas em segurança.
Estes são um subconjunto especialmente selecionado dos insights que aparecem nas páginas da entidade, mas, neste contexto, os insights para todas as entidades no incidente são apresentados juntos, dando-lhe uma imagem mais completa do que está acontecendo. O conjunto completo de informações aparece na guia Entidades, para cada entidade separadamente — veja abaixo.
O widget Top insights responde a perguntas sobre a entidade relacionadas ao seu comportamento em comparação com seus pares e seu próprio histórico, sua presença em listas de observação ou em inteligência de ameaças, ou qualquer outro tipo de ocorrência incomum relacionada a ela.
A maioria desses insights contém links para mais informações. Esses links abrem o painel Logs no contexto, onde você verá a consulta de origem para essa perceção junto com seus resultados.
Ver entidades
Agora que você tem algum contexto e algumas perguntas básicas respondidas, você vai querer obter um pouco mais de profundidade sobre os principais jogadores estão nesta história. Nomes de usuário, nomes de host, endereços IP, nomes de arquivos e outros tipos de entidades podem ser "pessoas de interesse" em sua investigação. O Microsoft Sentinel encontra todos eles para você e os exibe na frente e no centro no widget Entidades , ao lado da linha do tempo. Selecionar uma entidade neste widget irá direcioná-lo para a listagem dessa entidade na guia Entidades na mesma página de incidente.
A guia Entidades contém uma lista de todas as entidades no incidente. Quando uma entidade na lista é selecionada, um painel lateral é aberto contendo uma exibição baseada na página da entidade. O painel lateral contém três cartões:
- Info contém informações básicas sobre a entidade. Para uma entidade de conta de usuário, isso pode ser coisas como nome de usuário, nome de domínio, identificador de segurança (SID), informações organizacionais, informações de segurança e muito mais.
- A Linha do tempo contém uma lista dos alertas que apresentam essa entidade e as atividades que a entidade realizou, conforme coletados dos logs nos quais a entidade aparece.
- Insights contém respostas a perguntas sobre a entidade relacionadas ao seu comportamento em comparação com seus pares e seu próprio histórico, sua presença em listas de observação ou em inteligência de ameaças, ou qualquer outro tipo de ocorrência incomum relacionada a ela. Essas respostas são os resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades, com base em dados de uma coleção de fontes.
Dependendo do tipo de entidade, você pode executar várias outras ações a partir deste painel lateral:
- Pivote para a página completa da entidade para obter ainda mais detalhes durante um período de tempo mais longo ou inicie a ferramenta de investigação gráfica centrada nessa entidade.
- Execute um manual para tomar ações específicas de resposta ou correção na entidade (em Visualização).
- Classifique a entidade como um indicador de comprometimento (IOC) e adicione-a à sua lista de informações sobre ameaças.
Cada uma destas ações é atualmente suportada para determinados tipos de entidades e não para outras. A tabela a seguir mostra quais ações são suportadas para quais tipos de entidade:
Ações ▶ disponíveis Tipos de entidades ▼ |
Veja os detalhes completos (na página da entidade) |
Adicionar à TI * | Executar playbook * (Pré-visualização) |
---|---|---|---|
Conta de utilizador | ✔ | ✔ | |
Anfitrião | ✔ | ✔ | |
Endereço IP | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
Nome de domínio | ✔ | ✔ | |
Arquivo (hash) | ✔ | ✔ | |
Recurso do Azure | ✔ | ||
Dispositivo IoT | ✔ |
* Para entidades para as quais as ações Adicionar à TI ou Executar playbook estão disponíveis, você pode executar essas ações diretamente do widget Entidades na guia Visão geral, nunca saindo da página do incidente.
Explorar registos
Agora você vai querer entrar em detalhes para saber o que exatamente aconteceu? A partir de praticamente qualquer um dos locais mencionados acima, você pode detalhar os alertas individuais, entidades, insights e outros itens contidos no incidente, visualizando a consulta original e seus resultados. Esses resultados são exibidos na tela Logs (análise de log) que aparece aqui como uma extensão de painel da página de detalhes do incidente, para que você não saia do contexto da investigação.
Mantenha os seus registos em ordem
Finalmente, no interesse da transparência, prestação de contas e continuidade, você vai querer um registro de todas as ações que foram tomadas sobre o incidente – seja por processos automatizados ou por pessoas. O registro de atividades de incidentes mostra todas essas atividades. Também pode ver quaisquer comentários que tenham sido feitos e adicionar os seus. O registro de atividades é constantemente atualizado automaticamente, mesmo quando aberto, para que você possa ver as alterações nele em tempo real.
Próximos passos
Neste documento, você aprendeu como a experiência de investigação de incidentes no Microsoft Sentinel o ajuda a realizar uma investigação em um único contexto. Para obter mais informações sobre como gerenciar e investigar incidentes, consulte os seguintes artigos:
- Usar tarefas para gerenciar incidentes no Microsoft Sentinel
- Investigue entidades com páginas de entidades no Microsoft Sentinel.
- Automatize o tratamento de incidentes no Microsoft Sentinel com regras de automação.
- Identifique ameaças avançadas com a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel
- Procure ameaças à segurança.