Förstå funktionerna för incidentundersökning och ärendehantering i Microsoft Sentinel
Microsoft Sentinel ger dig en komplett, komplett ärendehanteringsplattform för att undersöka och hantera säkerhetsincidenter. Incidenter är Microsoft Sentinels namn på ärendefiler som innehåller en fullständig och ständigt uppdaterad kronologi för ett säkerhetshot, oavsett om det är enskilda bevis (aviseringar), misstänkta och parter av intresse (entiteter), insikter som samlats in och kurerats av säkerhetsexperter och AI/maskininlärningsmodeller eller kommentarer och loggar för alla åtgärder som vidtagits under undersökningens gång.
Incidentundersökningsupplevelsen i Microsoft Sentinel börjar med sidan Incidenter – en ny upplevelse som är utformad för att ge dig allt du behöver för din undersökning på ett och samma ställe. Det viktigaste målet med den här nya upplevelsen är att öka SOC:s effektivitet och effektivitet, vilket minskar dess medeltid att lösa (MTTR).
Den här artikeln tar dig igenom faserna i en typisk incidentundersökning och presenterar alla skärmar och verktyg som är tillgängliga för dig för att hjälpa dig.
Microsoft Sentinel ger dig verktygen för att hjälpa din SecOps-mognadsnivå (Security Operations).
Incidentuppgifter är arbetsflödeslistor med uppgifter som analytiker kan följa för att säkerställa en enhetlig vårdstandard och för att förhindra att viktiga steg missas. SOC-chefer och tekniker kan utveckla dessa uppgiftslistor och låta dem automatiskt tillämpas på olika grupper av incidenter efter behov, eller över hela linjen. SOC-analytiker kan sedan komma åt de tilldelade uppgifterna inom varje incident och markera dem när de är klara. Analytiker kan också manuellt lägga till uppgifter till sina öppna incidenter, antingen som självpåminnelser eller till förmån för andra analytiker som kan samarbeta om incidenten (till exempel på grund av en ändring eller eskalering).
Läs mer om incidentuppgifter.
Händelseaktivitetsloggen spårar åtgärder som vidtas på en incident, oavsett om de initieras av människor eller automatiserade processer, och visar dem tillsammans med alla kommentarer om incidenten. Du kan också lägga till egna kommentarer här. Det ger dig en fullständig dokumentation om allt som hände, vilket säkerställer noggrannhet och ansvarsskyldighet.
Först och främst: Som analytiker är den mest grundläggande frågan du vill besvara, varför uppmärksammas jag på den här händelsen? När du anger informationssidan för en incident svarar du på den frågan: direkt i mitten av skärmen ser du widgeten Incidenttidslinje . Tidslinjen är dagboken över alla aviseringar som representerar alla loggade händelser som är relevanta för undersökningen, i den ordning de inträffade. Tidslinjen visar också bokmärken, ögonblicksbilder av bevis som samlats in under jakt och läggs till i incidenten. Se fullständig information om alla objekt i den här listan genom att välja det. Många av dessa uppgifter– till exempel den ursprungliga aviseringen, analysregeln som skapade den och eventuella bokmärken – visas som länkar som du kan välja för att gå djupare och lära dig mer.
Läs mer om vad du kan göra från incidenttidslinjen.
Om något du har sett hittills i din incident ser bekant ut kan det finnas goda skäl. Microsoft Sentinel ligger steget före dig genom att visa de incidenter som mest liknar den öppna. Widgeten Liknande incidenter visar den mest relevanta informationen om incidenter som anses vara liknande, inklusive deras senast uppdaterade datum och tid, senaste ägare, senaste status (inklusive, om de är stängda, orsaken till att de stängdes) och orsaken till likheten.
Detta kan vara till nytta för din undersökning på flera sätt:
- Upptäcka samtidiga incidenter som kan ingå i en större attackstrategi.
- Använd liknande incidenter som referenspunkter för din aktuella undersökning – se hur de hanterades.
- Identifiera ägare av tidigare liknande incidenter för att dra nytta av deras kunskap.
Widgeten visar de 20 mest liknande incidenterna. Microsoft Sentinel bestämmer vilka incidenter som är liknande baserat på vanliga element, inklusive entiteter, källanalysregeln och aviseringsinformation. Från den här widgeten kan du gå direkt till någon av dessa incidenters fullständiga informationssidor, samtidigt som anslutningen till den aktuella incidenten hålls intakt.
Läs mer om vad du kan göra med liknande incidenter.
Nu när du har de breda konturerna av vad som hände (eller fortfarande händer) och har en bättre förståelse för kontexten kommer du att vara nyfiken på vilken intressant information Microsoft Sentinel redan har fått reda på för dig. Den ställer automatiskt de stora frågorna om entiteterna i din incident och visar de viktigaste svaren i widgeten Top insights , som visas till höger på sidan med incidentinformation. Den här widgeten visar en samling insikter baserat på både maskininlärningsanalys och kuration av toppteam av säkerhetsexperter.
Dessa är en särskilt vald delmängd av insikterna som visas på entitetssidor, men i det här sammanhanget visas insikter för alla entiteter i incidenten tillsammans, vilket ger dig en mer fullständig bild av vad som händer. Den fullständiga uppsättningen insikter visas på fliken Entiteter för varje entitet separat – se nedan.
Widgeten Top insights svarar på frågor om entiteten som rör dess beteende i jämförelse med dess peer-datorer och dess egen historik, dess närvaro på bevakningslistor eller i hotinformation eller någon annan typ av ovanlig förekomst som är relaterad till den.
De flesta av dessa insikter innehåller länkar till mer information. Dessa länkar öppnar panelen Loggar i kontext, där du ser källfrågan för den insikten tillsammans med dess resultat.
Nu när du har lite sammanhang och några grundläggande frågor besvarade vill du få lite mer djup på de stora aktörerna i den här berättelsen. Användarnamn, värdnamn, IP-adresser, filnamn och andra typer av entiteter kan alla vara "personer av intresse" i din undersökning. Microsoft Sentinel hittar alla åt dig och visar dem i mitten i widgeten Entiteter , tillsammans med tidslinjen. Om du väljer en entitet från den här widgeten kommer du till den entitetens lista på fliken Entiteter på samma incidentsida.
Fliken Entiteter innehåller en lista över alla entiteter i incidenten. När en entitet i listan är markerad öppnas en sidopanel som innehåller en visning baserat på entitetssidan. Sidopanelen innehåller tre kort:
- Information innehåller grundläggande information om entiteten. För en användarkontoentitet kan detta vara saker som användarnamn, domännamn, säkerhetsidentifierare (SID), organisationsinformation, säkerhetsinformation med mera.
- Tidslinjen innehåller en lista över aviseringar som innehåller den här entiteten och aktiviteter som entiteten har gjort, som samlas in från loggar där entiteten visas.
- Insikter innehåller svar på frågor om entiteten som rör dess beteende i jämförelse med dess peer-datorer och dess egen historia, dess närvaro på bevakningslistor eller i hotinformation eller någon annan typ av ovanlig förekomst som är relaterad till den. Dessa svar är resultatet av frågor som definierats av Microsofts säkerhetsforskare som tillhandahåller värdefull och kontextuell säkerhetsinformation om entiteter, baserat på data från en samling källor.
Beroende på entitetstyp kan du vidta ett antal ytterligare åtgärder från den här sidopanelen:
- Pivotera till entitetens fullständiga entitetssida för att få ännu mer information över ett längre tidsintervall eller starta det grafiska undersökningsverktyget centrerat på den entiteten.
- Kör en spelbok för att vidta specifika åtgärder för svar eller reparation på entiteten (i förhandsversion).
- Klassificera entiteten som en indikator på kompromiss (IOK) och lägg till den i listan hotinformation.
Var och en av dessa åtgärder stöds för närvarande för vissa entitetstyper och inte för andra. I följande tabell visas vilka åtgärder som stöds för vilka entitetstyper:
Tillgängliga åtgärder ▶ Entitetstyperna ▼ |
Visa fullständig information (på entitetssidan) |
Lägg till i TI * | Kör spelbok * (Förhandsversion) |
---|---|---|---|
Användarkonto | ✔ | ✔ | |
Värd | ✔ | ✔ | |
IP-adress | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
Domännamn | ✔ | ✔ | |
Fil (hash) | ✔ | ✔ | |
Azure-resurs | ✔ | ||
IoT-enhet | ✔ |
* För entiteter för vilka åtgärderna Lägg till i TI eller Kör spelbok är tillgängliga kan du vidta dessa åtgärder direkt från widgeten Entiteter på fliken Översikt och aldrig lämna incidentsidan.
Nu vill du gå in på detaljerna för att veta exakt vad som hände? Från nästan alla platser som nämns ovan kan du öka detaljnivån i enskilda aviseringar, entiteter, insikter och andra objekt som ingår i incidenten och visa den ursprungliga frågan och dess resultat. Dessa resultat visas på skärmen Loggar (log analytics) som visas här som ett paneltillägg för sidan med incidentinformation, så att du inte lämnar kontexten för undersökningen.
Slutligen vill du, för transparens, ansvarsskyldighet och kontinuitet, registrera alla åtgärder som har vidtagits för incidenten – antingen av automatiserade processer eller av personer. Incidentaktivitetsloggen visar alla dessa aktiviteter. Du kan också se eventuella kommentarer som har gjorts och lägga till egna. Aktivitetsloggen uppdateras ständigt automatiskt, även när den är öppen, så du kan se ändringar i den i realtid.
I det här dokumentet har du lärt dig hur incidentundersökningsupplevelsen i Microsoft Sentinel hjälper dig att utföra en undersökning i en enda kontext. Mer information om hur du hanterar och undersöker incidenter finns i följande artiklar:
- Använda uppgifter för att hantera incidenter i Microsoft Sentinel
- Undersök entiteter med entitetssidor i Microsoft Sentinel.
- Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler.
- Identifiera avancerade hot med UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel
- Jaga efter säkerhetshot.