Compreender as provas e entidades

Concluído

O Microsoft Sentinel utiliza várias origens de informações de segurança para criar incidentes. Como engenheiro de sistemas principal na Contoso, terá de compreender estas origens para utilizar melhor a gestão de incidentes no Microsoft Sentinel.

Provas de incidentes

As provas de incidentes consistem nas informações de eventos de segurança e nos recursos relacionados do Microsoft Sentinel que identificam ameaças no ambiente do Microsoft Sentinel. As provas mostram como uma ameaça foi identificada no Microsoft Sentinel. Liga-o aos recursos específicos que pode utilizar para aumentar a sua consciência dos detalhes do incidente.

Evento

Os eventos ligam-no a um ou mais eventos específicos das áreas de trabalho do Log Analytics associadas ao Microsoft Sentinel. Sozinhas, estas áreas de trabalho contêm normalmente milhares de eventos. Demasiados para analisar manualmente. Se uma consulta anexada a uma regra de análise do Microsoft Sentinel devolver eventos, estes eventos serão anexados ao incidente gerado para uma potencial revisão adicional. Pode utilizar estes eventos para compreender o âmbito e a frequência do incidente antes de investigar mais.

Alertas

A maioria dos incidentes é gerada devido ao alerta de uma regra de análise. Exemplos de alertas incluem:

  • A deteção de ficheiros suspeitos
  • A deteção de atividades de utilizador suspeitas
  • A tentativa de elevação de privilégios

As regras de análise geram alertas, com base em consultas KQL ou ligação direta a soluções de Segurança da Microsoft (como Microsoft Defender para a Cloud ou Microsoft 365 Defender). Se ativar o agrupamento de alertas, o Microsoft Sentinel inclui quaisquer provas de alerta relacionadas para o incidente.

Marcadores

Ao investigar um incidente, poderá identificar eventos que pretende controlar ou marcar para investigar posteriormente. Pode preservar as consultas executadas no Log Analytics ao escolher um ou mais eventos e designá-los como marcadores. Também pode registar notas e etiquetas para informar melhor os processos de deteção de ameaças posteriores. Os marcadores estão disponíveis para si e para os membros da sua equipa.

Entidades de incidentes

Uma entidade refere-se a uma rede ou um recurso de utilizador envolvido num evento. Pode utilizar as entidades como pontos de entrada para explorar todos os alertas e as correlações associadas a essa entidade.

As relações de entidades são úteis quando estiver a investigar incidentes. Em vez de analisar os alertas de identidade, os alertas de rede e os alertas de acesso aos dados individualmente, pode utilizar as entidades para observar quaisquer alertas associados a um determinado utilizador, anfitrião ou endereço no seu ambiente.

Alguns dos tipos de entidade incluem:

  • Conta
  • Anfitrião
  • IP
  • URL
  • Hash de Ficheiro

Por exemplo, as entidades ajudariam a identificar todos os alertas associados a um utilizador específico na Contoso, o computador anfitrião do utilizador e outros anfitriões a que o utilizador esteve ligado. Pode determinar que endereços IP são associados ao utilizador em questão, ao expor que eventos e alertas poderiam fazer parte do mesmo ataque.

Verifique o seu conhecimento

1.

Qual das seguintes afirmações é a prova de um incidente do Microsoft Sentinel?