分享方式:

調查使用 Microsoft Sentinel (舊版)的事件

  • 適用於: Microsoft Sentinel in the Azure portal

本文可協助您使用 Microsoft Sentinel 的傳統事件調查體驗。 如果您使用較新版本的介面,請使用較新的指示集來比對。 如需詳細資訊,請參閱 瀏覽和調查 Microsoft Sentinel中的事件

將數據源連線到 Microsoft Sentinel 之後,您想要在發生可疑事件時收到通知。 若要讓您這樣做,Microsoft Sentinel 可讓您建立進階分析規則,以產生您可以指派和調查的事件。

事件可以包含多個警示。 這是特定調查所有相關證據的匯總。 系統會根據您在 [分析 ] 頁面中建立的分析規則來建立事件。 與警示相關的屬性,例如嚴重性和狀態,是在事件層級設定。 當您讓Microsoft Sentinel 知道您要尋找的威脅種類,以及如何尋找它們之後,您可以調查事件來監視偵測到的威脅。

這很重要

已注意到的功能目前處於預覽狀態。 Azure 預覽補充條款包含適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款。

先決條件

  • 如果您在設定分析規則時使用了實體對應欄位,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。

  • 如果您有需要指派事件的來賓使用者,必須將 Microsoft Entra 租戶中的 目錄讀取者 角色指派給該使用者。 一般 (非規範) 用戶預設會指派此角色。

如何調查事件

  1. 選取 [事件]事件頁面可讓您知道您的事件數量,以及事件是新的、進行中還是已關閉。 針對每個事件,您可以看到事件發生的時間和事件的狀態。 查看嚴重性,以決定要先處理哪些事件。

    事件嚴重性視圖的畫面截圖。

  2. 您可以視需要篩選事件,例如依狀態或嚴重性。 如需詳細資訊,請參閱 搜尋事件

  3. 若要開始調查,請選取特定事件。 在右側,您可以看到事件的詳細資訊,包括其嚴重性、涉及實體數目的摘要、觸發此事件的原始事件、事件的唯一標識符,以及任何對應的 MITRE ATT&CK 策略或技術。

  4. 若要檢視事件中警示和實體的更多詳細資訊,請在事件頁面中選取檢視完整詳細資料,並檢視彙總事件資訊的相關索引標籤。

    警示詳細數據檢視的螢幕快照。

    • 如果您目前正在使用新體驗,請在事件詳細頁面右上角將其切換為舊版體驗。

    • 在 [ 時程表] 索引標籤中,檢閱事件中的警示和書籤時程表,以協助您重建攻擊者活動的時程表。

    • 在 [ 類似事件 (預覽] 索引 標籤中,您會看到最多 20 個最類似目前事件的其他事件集合。 這可讓您在較大的內容中檢視事件,並協助引導您的調查。 深入瞭解下面的類似事件

    • 在 [ 警示] 索引標籤中,檢閱此事件中包含的警示。 您會看到警示的所有相關信息 – 產生警示的分析規則、每個警示傳回的結果數目,以及執行警示劇本的能力。 若要進一步向下切入事件,請選取 [事件] 數目。 這會開啟產生結果的查詢,以及在Log Analytics中觸發警示的事件。

    • 書籤 分頁中,您可以看到您或其他調查人員連結至此事件的所有書籤。 深入瞭解書籤

    • 實體 索引標籤中,您可以看到您在警示規則定義中 對應 的所有 實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型

    • 最後,在 [ 批註] 索引標籤中,您可以新增調查的批註,並檢視其他分析師和調查人員所做的任何批註。 深入瞭解批注

  5. 如果您主動調查事件,最好將事件的狀態設定為 [ 作用 中],直到您關閉事件為止。

  6. 事件可以指派給特定使用者或群組。 針對每個事件,您可以藉由設定 [ 擁有者 ] 字段來指派擁有者。 所有事件都會以未指派狀態開始。 您也可以新增批注,讓其他分析師能夠瞭解您調查的內容,以及您對於事件的擔憂。

    將事件指派給使用者的螢幕快照。

    最近選取的使用者和群組會出現在圖片下拉式清單頂端。

  7. 選取 調查 以檢視調查地圖。

使用調查圖表深入探討

調查圖表可讓分析師針對每個調查詢問正確的問題。 調查圖表可藉由將相關數據與任何相關實體相互關聯,協助您了解潛在安全性威脅的範圍,並找出潛在安全性威脅的根本原因。 您可以選取圖形,並在不同的擴充選項之間進行選擇,以深入瞭解並調查圖形中呈現的任何實體。

調查圖表向您提供以下資訊:

  • 原始數據的視覺內容:即時可視化圖表會顯示從原始數據自動擷取的實體關聯性。 這可讓您輕鬆地查看不同數據源之間的連線。

  • 完整調查範圍探索:使用內建探索查詢展開調查範圍,以呈現缺口的完整範圍。

  • 內建調查步驟:使用預先定義的探索選項,以確保您在面對威脅時詢問正確的問題。

若要使用調查圖表:

  1. 選取事件,然後選取 [調查]。 這會將您引導至調查圖表。 此圖表提供直接連線至警示的實體,以及每個進一步連線資源的說明對應。

    檢視。

    這很重要

    • 如果您在設定分析規則時使用了實體對應欄位,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。

    • Microsoft Sentinel 目前支持調查 長達 30 天的事件

  2. 選取實體以開啟 [ 實體 ] 窗格,以便檢閱該實體的相關信息。

    在地圖中檢視中檢視實體

  3. 將滑鼠懸停在每個實體上,即可顯示由我們的安全專家和分析師針對每種實體類型設計的問題清單,以加深您的調查。 我們會呼叫這些選項 探索查詢

    探索更多詳細數據

    例如,您可以要求相關的警示。 如果您選取探索查詢,產生的授權會新增回圖形。 在此範例中,選取 [相關警示 ] 會將下列警示傳回圖表:

    螢幕快照:檢視相關的警示

    查看相關警示會依虛線顯示到實體。

  4. 針對每個探索查詢,您可以選取選項來開啟原始事件結果,以及Log Analytics中使用的查詢,方法是選取 [事件>]。

  5. 為了瞭解事件,圖表會提供平行時間軸。

    螢幕快照:在地圖中檢視中檢視時程表。

  6. 將滑鼠停留在時間軸上,以查看圖形上發生的時間點。

    螢幕快照:使用地圖中的時程表來調查警示。

專注您的調查

瞭解如何將 警示新增至事件或從事件中移除警示,以擴大或縮小調查範圍。

類似的事件 (預覽)

身為安全性作業分析師,在調查事件時,您想要注意其較大的內容。 例如,您會想要查看這類其他事件是否在之前或正在發生。

  • 您可能會想要識別可能屬於相同較大攻擊策略的並行事件。

  • 您可能想要識別過去類似的事件,以將它們作為您目前調查的參考點。

  • 您可能想要識別過去類似事件的擁有者、尋找SOC中可以提供更多內容的人員,或向誰呈報調查。

[事件詳細數據] 頁面中 的 [類似事件] 索引 標籤現在處於預覽狀態,最多會顯示 20 個與目前事件最相似的其他事件。 相似度是由內部Microsoft Sentinel 演算法所計算,事件會以相似度遞減順序排序和顯示。

類似事件的螢幕快照。

相似度計算

有三個準則可決定相似性:

  • 類似的實體: 如果事件包含相同的 實體,就會被視為類似另一個事件。 兩個事件的共同實體越多,它們就越類似。

  • 類似的規則: 如果事件都是由相同的 分析規則所建立,就會被視為類似另一個事件。

  • 類似的警示詳細數據: 如果事件共用相同的標題、產品名稱和/或 自定義詳細數據,就會被視為類似另一個事件。

事件出現在類似事件清單中的原因會顯示在 [相似度原因 ] 資料行中。 將滑鼠停留在資訊圖示上以顯示一般專案(實體、規則名稱或詳細數據)。

顯示類似事件詳細數據的快顯螢幕快照。

相似度時間範圍

事件相似性是根據事件中最後一個活動前 14 天的數據計算,這是事件中最近警示的結束時間。

每次您輸入事件詳細數據頁面時,都會重新計算事件相似性,因此如果已建立或更新新事件,則會話間的結果可能會有所不同。

事件評論

身為安全性作業分析師,在調查事件時,您會想要徹底記錄您採取的步驟,既要確保對管理進行準確報告,又能讓同事之間順暢地合作和共同作業。 Microsoft Sentinel 提供豐富的批注環境,以協助您完成這項作業。

您可以使用評論自動豐富您的事件,這是另一件重要的事情。 當您執行一個流程腳本來從外部來源擷取相關資訊時(例如,在 VirusTotal 檢查檔案是否含有惡意程式碼),您可以將外部來源的回應,以及您所定義的任何其他資訊,放置在事件的評論中。

批註很容易使用。 您可以透過事件詳細數據頁面上的 [ 批註] 索引標籤來存取它們。

檢視和輸入批注的螢幕快照。

關於事件批注的常見問題

使用事件批注時,需要考慮幾個考慮。 下列問題清單指向這些考慮。

支援哪些類型的輸入?

  • 文字:Microsoft Sentinel 的留言支援純文本、基本 HTML 和 Markdown 格式的文字輸入。 您也可以複製的文字、HTML 和 Markdown 貼到批注視窗中。

  • 圖像: 您可以在批注中插入影像的連結,並內嵌顯示影像,但影像必須已裝載在可公開存取的位置,例如Dropbox、OneDrive、Google Drive等。 影像無法直接上傳至批注。

批注有大小限制嗎?

  • 每個批注: 單一批注最多可以包含 30,000 個字元

  • 每個事件: 單一事件最多可以包含 100個批注

    備註

    Log Analytics 中 SecurityIncident 資料表中單一事件記錄的大小限制為 64 KB。 如果超過此限制,將會截斷評論(從最早開始),這可能會影響在進階搜尋結果中顯示的評論。

    事件資料庫中的實際事件記錄不會受到影響。

誰可以編輯或刪除批注?

  • 編輯: 只有批注的作者才有權編輯它。

  • 刪除: 只有具有 Microsoft Sentinel 參與者 角色的用戶有權刪除批注。 即使是批註的作者也必須有此角色才能刪除它。

關閉事件

解決特定事件之後(例如,當您的調查得出結論時),您應該將事件的狀態設定為 [已關閉]。 當您這樣做時,系統會要求您指定關閉事件的原因,並以此來分類事件。 此步驟為必要步驟。 選取 [選取分類 ],然後從下拉式清單中選擇下列其中一項:

  • True Positive - 可疑活動
  • 良性反應 - 可疑但預期
  • 誤判 - 不正確的警示邏輯
  • 偽陽性 - 錯誤的結果
  • 未決定

醒目提示 [選取分類] 列表中可用分類的螢幕快照。

如需有關誤報和良性正面偵測的詳細資訊,請參閱 處理 Microsoft Sentinel 中的誤報

選擇適當的分類之後,請在 [ 批注 ] 字段中新增一些描述性文字。 這在您需要參考此事件的事件中很有用。 當您完成時,請選取 [ 套用 ],並關閉事件。

關閉事件的螢幕快照。

搜尋事件

若要快速尋找特定事件,請在事件方格上方的搜尋方塊中輸入搜尋字串,然後按 Enter 以修改據此顯示的事件清單。 如果您的事件未包含在結果中,您可能想要使用 進階搜尋 選項縮小搜尋範圍。

若要修改搜尋參數,請選取 [ 搜尋 ] 按鈕,然後選取您要在其中執行搜尋的參數。

例如:

事件搜尋方塊和按鈕的螢幕快照,可選取基本和/或進階搜尋選項。

根據預設,事件搜尋只會在事件標識碼標題標籤擁有者和產品名稱值之間執行。 在搜尋窗格中,向下捲動清單以選取一或多個要搜尋的其他參數,然後選取 [ 套用 ] 以更新搜尋參數。 選取 [設定為預設 ] 會將選取的參數重設為預設選項。

備註

擁有者欄位中的搜尋同時支持名稱和電子郵件位址。

使用進階搜尋選項會變更搜尋行為,如下所示:

搜尋行為 說明
搜尋按鈕色彩 搜尋按鈕的色彩會根據目前在搜尋中使用的參數類型而變更。
  • 只要只選取預設參數,按鈕就會呈現灰色。
  • 只要選取不同的參數,例如進階搜尋參數,按鈕就會變成藍色。
自動重新整理 使用進階搜尋參數可防止您選取以自動重新整理結果。
實體參數 進階搜尋支援所有實體參數。 在任何實體參數中搜尋時,搜尋會在所有實體參數中執行。
搜尋字串 搜尋單字字串包含搜尋查詢中的所有單字。 搜尋字串會區分大小寫。
跨工作區支援 跨工作區檢視不支援進階搜尋。
顯示的搜尋結果數目 當您使用進階搜尋參數時,一次只會顯示 50 個結果。

小提示

如果您找不到您要尋找的事件,請移除搜尋參數以展開您的搜尋。 如果您的搜尋結果太多,請新增更多篩選以縮小結果範圍。

相關內容

在本文中,您已瞭解如何開始使用 Microsoft Sentinel 調查事件。 如需詳細資訊,請參閱: