分享方式:


在 Microsoft Sentinel 中巡覽和調查事件

Microsoft Sentinel 提供完整的功能案例管理平臺,以調查安全性事件。 [ 事件詳細數據 ] 頁面是您執行調查的中央位置,收集所有相關信息,以及一個畫面中所有適用的工具和工作。

本文會引導您完成事件詳細數據頁面上所有可用的面板和選項,協助您更快速、有效地、有效率地瀏覽和調查您的事件,並減少平均解決時間(MTTR)。

請參閱舊版事件調查的指示

事件是您案例檔案,其中包含特定調查所有相關證據的匯總。 每個事件都會根據分析規則所產生的證據(警示)或從產生自己警示的第三方安全性產品匯入而建立(或新增至事件)。 事件會繼承 警示中包含的實體 ,以及警示的屬性,例如嚴重性、狀態和 MITRE ATT&CK 策略和技術。

必要條件

  • 需要 Microsoft Sentinel 回應者 角色指派,才能調查事件。

    深入瞭解 Microsoft Sentinel 中的角色。

  • 如果您有需要指派事件的來賓使用者,則必須在 Microsoft Entra 租使用者中指派 目錄讀取者 角色。 一般(非來賓)用戶預設會指派此角色。

[事件] 頁面

  1. 從 [Microsoft Sentinel] 導覽功能表的 [威脅管理] 底下,選取 [事件]。

    [ 事件] 頁面提供您所有開啟事件的基本資訊。

    • 在畫面頂端,您有開啟事件計數,無論是新事件還是作用中,以及依嚴重性開啟事件計數。 您也會有 橫幅 ,其中包含您可以在特定事件之外採取的動作,無論是整體方格上,還是在多個選取的事件上。

    • 在中央窗格中,您有 事件方格、依清單頂端篩選控件篩選的事件清單,以及搜尋列來尋找特定事件。

    • 在右側,您有一個 詳細數據窗格 ,其中顯示中央清單中醒目提示之事件的重要資訊,以及針對該事件採取特定動作的按鈕。

    Screenshot of view of incident severity.

  2. 您的安全性作業小組可能會有 自動化規則 ,以針對新事件執行基本分級,並將其指派給適當的人員。

    在此情況下,依 擁有者 篩選事件清單,將清單限制為您或小組指派的事件。 此篩選集代表您的個人工作負載。

    否則,您可以自行執行基本分級。 您可以從篩選事件清單開始,方法是依可用的篩選準則、狀態、嚴重性或產品名稱。 如需詳細資訊,請參閱 搜尋事件

  3. 將特定事件分級並立即對其採取一些動作,直接從 [事件] 頁面上的詳細數據窗格,而不必輸入事件的完整詳細數據頁面。

    • 調查 Microsoft Defender 全面偵測回應 中的 Microsoft Defender 全面偵測回應 事件:遵循 [調查 Microsoft Defender 全面偵測回應 連結,在Defender入口網站中樞紐至平行事件。 您在 Microsoft Defender 全面偵測回應 中對事件所做的任何變更都會同步處理至 Microsoft Sentinel 中的相同事件。

    • 開啟指派的任務清單: 已指派任何工作的事件會顯示已完成和總任務計數,以及 [ 檢視完整詳細數據] 連結。 請遵循連結來開啟 [事件工作 ] 面板,以查看此事件的工作清單。

    • [擁有者] 下拉式清單中選取 ,將事件的擁有權指派給使用者或群組。

      Screenshot of assigning incident to user.

      最近選取的使用者和群組會出現在圖片下拉式清單頂端。

    • 從 [狀態] 下拉式清單中選取 ,以更新事件的狀態(例如從 [新增] 更新為 [作用] 或 [已關閉]。 關閉事件時,您必須指定原因。 如需指示,請參閱下文。

    • [嚴重性] 下拉式清單中選取 ,以變更事件的嚴重

    • 新增標籤 以分類您的事件。 您可能需要向下捲動至詳細數據窗格底部,以查看要新增卷標的位置。

    • 新增批註 以記錄您的動作、想法、問題等等。 您可能需要向下捲動至詳細數據窗格底部,以查看新增批注的位置。

  4. 如果詳細資料窗格中的資訊足以提示進一步補救或緩和動作,請選取詳細資料窗格底部的 [動作] 按鈕,以執行下列其中一項動作:

    • 調查: 使用 圖形化調查工具來 探索此事件內警示、實體和活動之間的關聯性,以及跨其他事件。

    • 執行劇本 (預覽): 在此事件上執行 劇本 ,以採取特定的 擴充、共同作業或回應動作 ,例如您的SOC工程師可能已提供。

    • 建立自動化規則: 建立 自動化規則,該規則 只會在類似這一個事件上執行(由同一個分析規則產生),以便減少您未來的工作負載,或考慮需求暫時變更(例如滲透測試)。

    • 建立小組 (預覽): 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。

    Screenshot of menu of actions that can be performed on an incident from the details pane.

  5. 如果需要事件的詳細資訊,請選取 [詳細數據] 窗格中的 [檢視完整詳細數據] 以開啟並查看事件的完整詳細 數據,包括事件中的警示和實體、類似事件的清單,以及選取的最上層深入解析。

請參閱本文的下一節,以遵循一般調查路徑、瞭解您將在那裡看到的所有資訊,以及您可以採取的所有動作。

深入調查您的事件

Microsoft Sentinel 提供完整的功能事件調查和案例管理體驗,讓您可以更快速且有效率地調查、補救和解決事件。 以下是新的事件詳細資料頁面:

Screenshot of incident details page, featuring the overview tab.

正確準備地面

當您設定以調查事件時,請組合您需要引導工作流程的專案。 您會在事件頁面頂端的按鈕列上找到下列工具,位於標題正下方。

Screenshot of the button bar on the incident details page.

  1. 選取 [工作] 以查看為此事件指派的工作,或新增您自己的工作

    深入瞭解 如何使用事件工作 來改善SOC中的程序標準化。

  2. 選取 [活動記錄檔 ],以查看此事件上是否已採取任何動作,例如自動化規則,以及已做出的任何批注。 您也可以在這裡新增自己的批注。 請參閱 下方活動記錄檔的詳細資訊。

  3. 選取 [記錄],隨時開啟事件頁面內的完整空白 Log Analytics 查詢視窗 撰寫並執行查詢,無論是否相關,而不離開事件。 所以,每當你突然被靈感擊中去追逐一個想法,不要擔心中斷你的流動。 記錄可供您使用。

    如需下列記錄的詳細資訊,請參閱以下。

您也會看到 [概觀和實體] 索引標籤對面的 [事件動作] 按鈕。 您可以在這裡使用上述的相同動作,如 [事件] 方格頁面上 [詳細數據] 窗格上的 [動作] 按鈕所提供。 唯一遺漏 的是 [調查],可在左側詳細數據面板上使用。

Screenshot of incident actions button available on incident details page.

若要回顧 [事件動作] 按鈕下的可用動作:

  • 執行劇本: 在此事件上執行 劇本 ,以採取特定的 擴充、共同作業或回應動作 ,例如您的SOC工程師可能已提供。

  • 建立自動化規則: 建立 自動化規則,該規則 只會在類似這一個事件上執行(由同一個分析規則產生),以便減少您未來的工作負載,或考慮需求暫時變更(例如滲透測試)。

  • 建立小組 (預覽): 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。 如果已為此事件建立小組,此功能表項會顯示為 [開啟Teams]。

取得事件詳細數據頁面上的完整圖片

[事件詳細數據] 頁面的左側面板包含您在方格右側 [事件] 頁面上看到的相同事件詳細數據資訊,而且與舊版幾乎完全相同。 無論頁面的其餘部分顯示哪一個索引標籤,此面板一律會顯示在顯示器上。 您可以從該處檢視事件的基本資訊,並透過下列方式向下切入:

  • 選取 [事件]、[警示] 或 [書籤],以在事件頁面中開啟 [記錄] 面板。 [ 記錄 ] 面板會顯示您所選取的三個查詢中的哪一個,而且您可以深入查看查詢結果,而不會偏離事件。 深入了解記錄

  • 選取 [實體] 底下的任何專案,以顯示在 [實體] 索引卷標中。(只顯示事件中的前四個實體在這裡。選取 [概觀] 索引標籤上的 [實體] 小工具或 [實體] 索引標籤,以查看其餘部分。 瞭解您可以在 [實體] 索引標籤中執行的動作。

    Screenshot of details panel in incident details page.

您也可以選取 [調查] 以在圖形化調查工具開啟事件,以圖表顯示事件所有元素之間的關聯性。

此面板也可以藉由選取 [擁有者] 下拉式清單旁邊的小型左指雙箭號,折疊成畫面的左邊界。 不過,即使處於此最小化狀態,您仍然可以變更擁有者、狀態和嚴重性。

Screenshot of collapsed side panel on incident details page.

其餘的事件詳細數據頁面分成兩個索引標籤: 概觀實體

[概觀] 索引標籤包含下列小工具,每個小工具都代表您調查的基本目標。

  • 事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。 選取個別專案以查看其所有詳細數據,讓您進一步向下切入。

    深入瞭解以下的事件時間軸小工具。

  • [類似事件] 小工具中 ,您會看到最多 20 個最類似目前事件的其他事件集合。 這可讓您在較大的內容中檢視事件,並協助引導您的調查。

    深入瞭解下方類似事件小工具。

  • [實體] 小工具會顯示警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型。 選取實體以查看其完整詳細數據(其會顯示在 [實體] 索引標籤,如下所示)。

    深入瞭解下方實體小工具。

  • 最後,在 Top Insights 小工具中,您會看到 Microsoft 安全性研究人員所定義的查詢結果集合,這些查詢會根據來源集合的數據,提供事件中所有實體的寶貴和內容安全性資訊。

    深入瞭解下方Top Insights 小工具。

[實體] 索引標籤會顯示事件中實體的完整清單(與上述的實體小工具相同)。 當您在小工具中選取實體時,您會在這裡看到實體的完整檔案—其識別資訊、其啟用時間軸(事件內外),以及實體的完整深入解析集,就像您在實體的完整實體頁面中所看到的一樣(但僅限於事件適用的時間範圍)。

事件時程表

事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。

您可以搜尋警示和書籤清單,或依嚴重性、策略或內容類型(警示或書籤)篩選清單,以協助您尋找您想要追求的專案。

時間軸的初始顯示會立即告訴您其中每個項目的相關幾個重要事項,無論是警示還是書籤:

  • 建立 警示或書籤的日期和時間
  • 圖示上暫留時,圖示和工具提示所指出的項目類型、警示或書籤。
  • 警示或書籤的名稱,以粗體類型在專案的第一行。
  • 警示的嚴重性,由左邊緣的色帶表示,並以文字形式表示於警示的三部分「副標題」開頭。
  • 警示 提供者,位於子標題的第二個部分。 針對書籤,書籤 的建立者
  • 與警示相關聯的 MITRE ATT&CK 策略,以圖示和工具 提示 表示,在子標題的第三部分中。

將滑鼠停留在任何圖示或不完整的文字元素上,以查看具有該圖示或文字元素全文檢索的工具提示。 這些工具 提示 由於小工具的寬度有限而截斷顯示的文字時,會派上用場。 請參閱此螢幕快照中的範例:

Screenshot of incident timeline display details.

選取個別警示或書籤以查看其完整詳細數據。

  • 警示詳細數據 包括警示的嚴重性和狀態、產生的分析規則、產生警示的產品、警示中提及的實體、相關聯的 MITRE ATT&CK 策略和技術,以及內部 系統警示標識符

    選取 [ 系統警示標識符 ] 鏈接,進一步向下切入警示,開啟 [ 記錄 ] 面板,並顯示產生結果的查詢,以及觸發警示的事件。

  • 書籤詳細數據 與警示詳細數據完全相同;雖然它們也包含實體、MITRE ATT&CK 策略和技術,以及 書籤標識符,但也包含原始結果和書籤建立者資訊。

    選取 [ 檢視書籤記錄 ] 連結以開啟 [ 記錄 ] 面板,並顯示產生儲存為書籤結果的查詢。

    Screenshot of the details of an alert displayed in the incident details page.

從事件時間軸小工具,您也可以對警示和書籤採取下列動作:

  • 在警示上執行劇本,以立即採取行動以減輕威脅。 有時候您需要在繼續調查之前封鎖或隔離威脅。 深入瞭解在警示上執行劇本。

  • 從事件中移除警示。 如果您判斷事件不相關,您可以移除在事件建立之後新增至事件的警示。 深入瞭解如何從事件中移除警示。

  • 從事件中移除書籤,或編輯書籤中可以編輯的欄位(未顯示)。

    Screenshot of removing an alert from an incident.

類似的事件

身為安全性作業分析師,在調查事件時,您會想要注意其較大的內容。 例如,您會想要查看這類其他事件是否在之前或正在發生。

  • 您可能會想要識別可能屬於相同較大攻擊策略的並行事件。

  • 您可能想要識別過去類似的事件,以將它們作為您目前調查的參考點。

  • 您可能想要識別過去類似事件的擁有者、尋找SOC中可以提供更多內容的人員,或向誰呈報調查。

事件 詳細數據 頁面中的類似事件小工具最多會顯示 20 個與目前事件最相似的其他事件。 相似度是由內部 Microsoft Sentinel 演算法所計算,事件會以相似度遞減順序排序和顯示。

Screenshot of the similar incidents display.

如同事件時程表小工具,您可以將滑鼠停留在任何因數據行寬度而未完全顯示的文字上,以顯示全文。

有三個準則可決定相似性:

  • 類似的實體: 如果事件包含相同的 實體,就會被視為類似另一個事件。 兩個事件的共同實體越多,它們就越類似。

  • 類似的規則: 如果事件都是由相同的 分析規則所建立,就會被視為類似另一個事件。

  • 類似的警示詳細數據: 如果事件共用相同的標題、產品名稱和/或 自定義詳細數據,就會被視為類似另一個事件。

事件出現在類似事件清單中的原因會顯示在 [相似度原因 ] 資料行中。 將滑鼠停留在資訊圖示上以顯示一般專案(實體、規則名稱或詳細數據)。

Screenshot of pop-up display of similar incident details.

事件相似性是根據事件中最後一個活動前 14 天的數據計算,這是事件中最近警示的結束時間。

每次您輸入事件詳細數據頁面時,都會重新計算事件相似性,因此如果已建立或更新新事件,則會話間的結果可能會有所不同。

取得事件的最佳見解

Microsoft Sentinel 的安全性專家已建置查詢,可自動詢問事件中實體的相關重大問題。 您可以在 [熱門深入解析] 小工具中看到 最上方的 解答,該小工具會顯示在事件詳細數據頁面右側。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。

這些是實體頁面上出現的一些相同深入解析,特別針對協助您快速分級並了解威脅範圍而特別選取。 基於相同原因,事件中所有實體的深入解析會一起呈現,讓您更完整地瞭解所發生的情況。

以下是目前選取的最上層深入解析(清單可能會變更):

  1. 依帳戶的動作
  2. 帳戶上的動作
  3. UEBA 深入解析
  4. 與使用者相關的威脅指標。
  5. 關注清單深入解析 (預覽)。
  6. 安全性事件的異常高數目。
  7. Windows 登入活動。
  8. IP 位址遠端連線。
  9. 符合 TI 的 IP 位址遠端連線。

每個深入解析(除了與關注清單相關的見解,目前除外)都有連結,您可以選取在事件頁面中開啟的 [記錄] 面板中開啟基礎查詢。 然後,您可以向下切入查詢的結果。

Top Insights 小工具的時間範圍是從事件中最早警示的 24 小時到最新警示的時間。

探索事件的實體

[實體] 小工具會顯示事件警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型

您可以在實體小工具中搜尋實體清單,或依實體類型篩選清單,以協助您尋找實體。

Screenshot of the actions you can take on an entity from the overview tab.

如果您已經知道特定實體是已知的入侵指標,請選取實體數據列上的三個點,然後選擇 [新增至 TI ] 將 實體新增至威脅情報。 (此選項適用於 支援的實體類型。)

如果您想要觸發特定實體的自動響應順序,請選取三個點,然後選擇 [執行劇本](預覽)。 (此選項適用於 支援的實體類型。)

選取實體以查看其完整詳細數據。 當您選取實體時,您會從 [ 概觀] 索引卷標 移至 [實體] 索引卷標,這是事件詳細數據頁面的另一個部分。

[實體] 索引標籤

[實體] 索引標籤會顯示事件中所有實體的清單。

Screenshot of entities tab in incident details page.

如同實體小工具,此清單也可以依實體類型來搜尋和篩選。 在一個清單中套用的搜尋和篩選不會套用至另一個清單。

選取清單中要顯示在右側側邊面板中該實體信息的數據列。

如果實體名稱顯示為連結,選取實體的名稱會將您重新導向至事件調查頁面以外的完整 實體頁面。 若要只顯示側邊面板而不離開事件,請選取實體出現所在清單中的數據列,但不選取其名稱。

您可以在這裏採取與概觀頁面上小工具相同的動作。 選取實體數據列中的三個點,以執行劇本或將實體新增至您的威脅情報。

您也可以選取側邊面板底部 [檢視完整詳細數據] 旁的按鈕,以採取這些動作。 按鈕會讀取 [新增至 TI]、 [執行劇本][實體動作] —在此情況下,功能表會出現另外兩個選項。

[ 檢視完整詳細數據 ] 按鈕本身會將您重新導向至實體的完整實體頁面。

側邊面板有三張卡片:

  • 資訊 包含實體的識別資訊。 例如,對於使用者帳戶實體,這可能是像是用戶名稱、功能變數名稱、安全性標識碼(SID)、組織資訊、安全性資訊等等,以及IP位址,例如地理位置。

  • 時間軸 包含功能此實體的警示、 書籤異常 清單,以及實體已執行的活動,如從實體出現的記錄中收集。 此實體的所有警示都會在此清單中, 不論警示是否 屬於此事件。

    不屬於事件的警示會以不同的方式顯示:盾牌圖示會呈現灰色,嚴重性色彩帶會是虛線而不是實線,而且警示列右側會有加號的按鈕。

    Screenshot of entity timeline in entities tab.

    選取加號,將 警示新增至此事件。 當警示新增至事件時,所有警示的其他實體(尚未屬於事件的一部分)也會新增至該事件。 現在,您可以查看 這些 實體的相關警示時程表,進一步展開調查。

    此時程表僅限於過去七天內的警示和活動。 若要進一步返回,請樞紐至完整實體頁面中的時程表,其時間範圍是可自定義的。

  • 深入解析 包含 Microsoft 安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的數據,提供實體的寶貴內容安全性資訊。 這些深入解析包括 Top Insights 小工具中的深入解析,以及更多深入解析;它們與出現在完整 實體頁面上的相同深入解析,但在有限的時間範圍內:從事件中最早警示前 24 小時開始,並結束於最新警示的時間。

    大部分深入解析都包含連結,當選取時,開啟 [記錄 ] 面板 ,顯示產生深入解析的查詢及其結果。

專注您的調查

瞭解如何將 警示新增至事件或從事件中移除警示,以擴大或縮小調查範圍。

深入了解記錄中的數據

從調查體驗的任何地方,您就能在調查內容中選取一個連結,以在 [記錄 ] 面板中開啟基礎查詢。 如果您從其中一個連結取得 [記錄] 面板,對應的查詢會出現在查詢視窗中,而且查詢會自動執行,併產生適當的結果供您探索。

您也可以隨時在事件詳細數據頁面內呼叫空的 [記錄] 面板,如果您認為您想要在調查時嘗試的查詢,同時留在內容中。 若要這樣做,請選取頁面頂端的 [ 記錄 ]。

不過,如果您已執行想要儲存其結果的查詢,則最後會位於 [記錄] 面板上:

  1. 標記您要從結果中儲存的數據列旁的複選框。 若要儲存所有結果,請標記數據行頂端的複選框。

  2. 將標示的結果儲存為書籤。 您有兩個選項可完成此動作:

    • 選取 [將書籤新增至目前的事件 ] 以建立書籤,並將其新增至開啟的事件。 請遵循書籤指示來完成程式。 完成後,書籤會出現在事件時程表中。

    • 選取 [新增書籤] 以建立書籤 ,而不將其新增至任何事件。 請遵循書籤指示來完成程式。 您可以在 [書籤] 索引卷標底下的 [搜捕] 頁面上找到此書籤,以及您在 [搜捕] 頁面上建立的任何其他書籤您可以從該處將它新增至此或任何其他事件。

  3. 建立書籤之後(或如果您選擇不這麼做),請選取 [完成 ] 以關閉 [ 記錄 ] 面板。

Screenshot of Logs panel open in incident details page.

稽核和批注事件

在調查事件時,您會想要徹底記錄您採取的步驟,既要確保向管理提供準確的報告,又能夠讓同事之間順暢地合作和共同作業。 您也會想要清楚地看到其他人對事件採取之任何動作的記錄,包括自動化程式。 Microsoft Sentinel 提供 您活動記錄、豐富的稽核和批注環境,以協助您完成這項作業。

您也可以使用批注自動擴充事件。 例如,當您在從外部來源擷取相關信息的事件上執行劇本時(例如,在 VirusTotal 檢查惡意代碼的檔案),您可以在事件批注中放置外部來源的回應,以及您定義的任何其他資訊。

活動記錄會自動重新整理,即使開啟,您隨時都能即時看到變更。 當您開啟活動記錄檔時,您也會收到對活動記錄所做的任何變更的通知。

若要檢視活動和批注的記錄,或新增您自己的批注:

  1. 選取 事件詳細數據頁面頂端的活動記錄
  2. 若要篩選記錄檔,只顯示活動或只顯示批注,請選取記錄頂端的篩選控件。
  3. 如果您想要新增批注,請在事件活動記錄面板底部的 RTF 編輯器中輸入批注。
  4. 選取 [ 批注 ] 以提交批注。 您現在會在記錄的頂端看到您的批注。

Screenshot of viewing and entering comments.

批注的考慮

以下是使用事件批注時要考慮的幾個考慮。

支援的輸入:

  • 文字: Microsoft Sentinel 中的批注支援純文本、基本 HTML 和 Markdown 中的文字輸入。 您也可以複製的文字、HTML 和 Markdown 貼到批注視窗中。

  • 連結: 連結的格式必須是 HTML 錨點標籤,而且它們必須具有 參數 target="_blank"。 範例:

    <a href="https://www.url.com" target="_blank">link text</a>
    

    注意

    如果您有在事件中建立批注的劇本,這些批注中的連結現在也必須符合此範本,因為批注格式有所變更。

  • 影像: 您可以在批注中插入影像的連結,且影像會內嵌顯示,但影像必須已裝載在可公開存取的位置,例如Dropbox、OneDrive、Google Drive等。 影像無法直接上傳至批注。

大小限制:

  • 每個批注: 單一批注最多可以包含 30,000 個字元

  • 每個事件: 單一事件最多可以包含 100個批注

    注意

    Log Analytics 中 SecurityIncident 資料表中單一事件記錄的大小限制為 64 KB。 如果超過此限制,將會截斷批注(從最早開始),這可能會影響進階搜尋結果中顯示的批注。

    事件資料庫中的實際事件記錄不會受到影響。

神秘 可以編輯或移除:

  • 編輯: 只有批注的作者才有權編輯它。

  • 刪除: 只有具有 Microsoft Sentinel 參與者 角色的使用者才有權刪除批注。 即使是批註的作者也必須有此角色才能刪除它。

使用調查圖表以可視化方式調查事件

如果您偏好可視化、圖形表示警示、實體,以及調查中警示之間的連線,您也可以完成上述許多與傳統調查圖表討論的內容。 圖表的缺點是,您最終必須更進一步地切換內容。

調查圖表向您提供以下資訊:

  • 原始資料的視覺化內容:即時視覺化圖表會顯示從原始資料自動擷取的實體關聯性。 這可讓您輕鬆地查看不同數據源之間的連線。

  • 完整調查範圍探索:使用內建探索查詢展開調查範圍,以呈現缺口的完整範圍。

  • 內建調查步驟:使用預先定義的探索選項,確保您在遇到威脅時詢問正確的問題。

如要使用調查圖表:

  1. 選取事件,然後選取 [調查]。 這會將您引導至調查圖表。 此圖表提供直接連線至警示的實體,以及每個進一步連線資源的說明對應。

    View map.

    重要

    • 只有在產生的分析規則或書籤包含實體對應時,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。

    • 調查圖表目前支持調查 長達 30 天的事件

  2. 選取實體以開啟 [ 實體 ] 窗格,以便檢閱該實體的相關信息。

    View entities in map

  3. 將滑鼠暫留在每個實體上,以顯示每個實體類型的安全性專家和分析師所設計的問題清單,以加深調查。 我們會呼叫這些選項 探索查詢

    Explore more details

    例如,您可以要求相關的警示。 如果您選取探索查詢,產生的授權會新增回圖形。 在此範例中,選取 [相關警示 ] 會將下列警示傳回圖表:

    Screenshot: view related alerts.

    查看相關警示會依虛線顯示到實體。

  4. 針對每個探索查詢,您可以選取選項來開啟原始事件結果,以及Log Analytics中使用的查詢,方法是選取 [事件>]。

  5. 為了瞭解事件,圖表會提供平行時間軸。

    Screenshot: view timeline in map.

  6. 將滑鼠停留在時間軸上,以查看圖形上發生的時間點。

    Screenshot: use timeline in map to investigate alerts.'

關閉事件

解決特定事件之後(例如,當您的調查得出結論時),您應該將事件的狀態設定為 [已關閉]。 當您這樣做時,系統會要求您指定關閉事件的原因來分類事件。 此步驟為必要步驟。 按兩下 [ 選取分類 ],然後從下拉式清單中選擇下列其中一項:

  • True Positive – 可疑活動
  • 良性正面 – 可疑但預期
  • 誤判 – 不正確的警示邏輯
  • 誤判 – 不正確的數據
  • 未決定

Screenshot that highlights the classifications available in the Select classification list.

如需誤判和良性正面的詳細資訊,請參閱 在 Microsoft Sentinel 中處理誤判。

選擇適當的分類之後,請在 [ 批注 ] 字段中新增一些描述性文字。 這在您需要參考此事件的事件中很有用。 完成時按兩下 [套用 ],事件將會關閉。

{alt-text}

搜尋事件

若要快速尋找特定事件,請在事件方格上方的搜尋方塊中輸入搜尋字串,然後按 Enter 以修改據此顯示的事件清單。 如果您的事件未包含在結果中,您可能想要使用 進階搜尋選項縮小搜尋 範圍。

若要修改搜尋參數,請選取 [ 搜尋 ] 按鈕,然後選取您要在其中執行搜尋的參數。

例如:

Screenshot of the incident search box and button to select basic and/or advanced search options.

根據預設,事件搜尋只會在事件標識碼、標題、標籤、擁有者和產品名稱值之間執行。 在搜尋窗格中,向下捲動清單以選取一或多個要搜尋的其他參數,然後選取 [ 套用 ] 以更新搜尋參數。 選取 [設定為預設 ] 會將選取的參數重設為預設選項。

注意

[擁有者] 欄位中的搜尋同時支援名稱和電子郵件位址。

使用進階搜尋選項會變更搜尋行為,如下所示:

搜尋行為 描述
搜尋按鈕色彩 搜尋按鈕的色彩會根據目前在搜尋中使用的參數類型而變更。
  • 只要只選取預設參數,按鈕就會呈現灰色。
  • 只要選取不同的參數,例如進階搜尋參數,按鈕就會變成藍色。
自動重新整理 使用進階搜尋參數可防止您選取以自動重新整理結果。
實體參數 進階搜尋支援所有實體參數。 在任何實體參數中搜尋時,搜尋會在所有實體參數中執行。
搜尋字串 搜尋單字字串包含搜尋查詢中的所有單字。 搜尋字串會區分大小寫。
跨工作區支援 跨工作區的檢視不支援進階搜尋。
顯示的搜尋結果數目 當您使用進階搜尋參數時,一次只會顯示 50 個結果。

提示

如果您找不到您要尋找的事件,請移除搜尋參數以展開您的搜尋。 如果您的搜尋結果太多,請新增更多篩選以縮小結果範圍。

下一步

在本文中,您已瞭解如何開始使用 Microsoft Sentinel 調查事件。 如需詳細資訊,請參閱