瞭解 Microsoft Sentinel 事件調查和案例管理功能
Microsoft Sentinel 提供完整的功能案例管理平台,以調查和管理安全性事件。 事件是 Microsoft Sentinel 案例檔案的名稱,其中包含安全性威脅的完整且不斷更新的時序表,無論是個別的證據 (警示)、嫌疑人和相關物件 (實體)、安全性專家和 AI/機器學習模型所收集及策劃的見解,或調查過程中採取之所有動作的註解和記錄。
Microsoft Sentinel 中的事件調查體驗從 [事件] 頁面開始,這是一項新體驗,其設計目的是讓您在一個地方完成調查所需的一切。 這項新體驗的主要目標是提高 SOC 的效率與有效性,減少其平均解決時間 (MTTR)。
本文會引導您完成一般事件調查的階段,並呈現可供您使用的所有顯示和工具來協助您。
增加 SOC 的成熟度
Microsoft Sentinel 提供協助安全性作業 (SecOps) 成熟度提升的工具。
標準化流程
事件工作是分析人員要遵循的工作工作流程清單,以確保統一的護理標準,並防止遺漏關鍵步驟。 SOC 經理和工程師可以開發這些工作清單,並讓它們自動套用至不同的事件群組,或全面套用。 SOC 分析師接著可以存取每個事件內指派的工作,並在完成時將其標示為關閉。 分析師也可以手動將工作新增至其開啟的事件,無論是自我提醒,還是其他可能共同作業事件分析師的利益 (例如,因為班次變更或升級)。
深入了解事件工作。
稽核事件管理
事件活動記錄會追蹤由人類或自動化流程起始的事件所採取的動作,並顯示事件的所有註解。 您也可以在這裡新增自己的註解。 它提供您一切發生的完整記錄,確保徹底和問責。
有成效且有效率地調查
參閱時間軸
首先: 作為分析師,您想要回答的最基本問題是,為什麼這一事件引起我的注意? 輸入事件的詳細資料頁面將會回答這個問題: 就在畫面中央,您會看到 [事件時間軸] 小工具。 時間軸是所有警示的日記,這些警示代表與調查相關的所有 記錄事件,其發生順序。 時間軸也會顯示書籤、搜捕時收集的辨識項快照集,並新增至事件。 選取此清單,以查看此清單上任何項目的完整詳細資料。 其中許多詳細資料,例如原始警示、建立它的分析規則,以及任何書籤,都會顯示為您可以選取更詳盡並深入了解的連結。
深入了解您可以從事件時間軸執行哪些動作。
從類似的事件中學習
如果您到目前為止在事件中看到的任何項目看起來都很熟悉,則可能有充分的理由。 Microsoft Sentinel 會顯示與開啟事件最相似的事件,讓您領先一步。 [類似事件] 小工具會顯示被視為類似事件的最相關資訊,包括其上次更新的日期和時間、上次擁有者、上次狀態 (包括關閉時、關閉原因),以及相似性的原因。
這可透過數種方式為您的調查帶來好處:
- 找出可能屬於較大攻擊策略一部分的並行事件。
- 使用類似事件作為您目前調查的參考點,查看其處理方式。
- 識別過去類似事件的擁有者,以受益於其知識。
小工具會顯示 20 個最類似的事件。 Microsoft Sentinel 會根據常見的元素來決定哪些事件類似,包括實體、來源分析規則和警示詳細資料。 從這個小工具,您可以直接跳至這些事件的完整詳細資料頁面,同時保持與目前事件的連線不變。
深入了解您可以使用類似事件執行哪些動作。
檢查頂層深入解析
接下來,有所發生的事情 (或仍在發生) 的廣泛大綱,並更好地了解內容,您會好奇 Microsoft Sentinel 為您找到了哪些有趣的資訊。 它會自動詢問事件中實體的相關重大問題,並在事件詳細資料頁面右側顯示 [頂層深入解析] 小工具中的頂層解答。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。
這些是實體頁面上所顯示之深入解析的特別選取子集,但在此內容中,事件中所有實體的深入解析都會一起呈現,讓您更完整地了解所發生的情況。 每個實體的 [實體] 索引標籤上會顯示一組完整的深入解析,如下所示。
[頂層深入解析] 小工具會回答與其同儕和自己的歷程記錄、在關注清單上或威脅情報中存在,或與它相關的任何其他異常事件相關的實體相關問題。
這些深入解析大多包含詳細資訊的連結。 這些連結會在內容中開啟 [記錄] 面板,您可以在其中看到該深入解析的來源查詢及其結果。
檢視實體
既然您已回答一些內容和一些基本問題,您會想要更深入地了解此故事中的主要玩家。 您的調查中,使用者名稱、主機名稱、IP 位址、檔案名稱和其他類型的實體都可以是「相關的人士」。 Microsoft Sentinel 會為您尋找所有項目,並在 [實體] 小工具的前面和中央沿著時間軸加以顯示。 從這個小工具選取實體會將您樞紐至相同事件頁面上 [實體] 索引標籤中的實體清單。
[實體] 索引標籤包含事件中所有實體的清單。 選取清單中的實體時,側邊面板隨即開啟,其中包含以實體頁面為基礎的顯示。 側邊面板包含三張卡片:
- 資訊包含實體的基本資訊。 對於使用者帳戶實體,這可能是像是使用者名稱、網域名稱、安全性標識碼 (SID)、組織資訊、安全性資訊等等。
- 時間軸包含一份警示清單,其中包含此實體和實體已執行的活動,如從實體出現所在的記錄中收集。
- 深入解析包含與其行為相關之實體與其同儕和其歷史、其存在於關注清單或威脅情報中的存在,或與其相關的任何其他異常事件相關問題的解答。 這些答案是 Microsoft 安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的資料,針對實體提供寶貴的內容安全性資訊。
視實體類型而定,您可以從這個側邊面板採取一些進一步的動作:
- 樞紐至實體的完整實體頁面 ,以取得較長時間範圍的詳細資料,或啟動以該實體為中心的圖形調查工具。
- 執行劇本,在實體上採取特定回應或補救動作 (預覽版)。
- 將實體分類為入侵指標 (IOC),並將其新增至威脅情報清單。
某些實體類型目前支援上述每個動作,而不是針對其他實體類型。 下表顯示哪些實體類型支援哪些動作:
可用動作 ▶ 實體類型 ▼ |
查看完整詳情 (在實體頁面中) |
新增至 TI * | 執行劇本* (預覽) |
---|---|---|---|
使用者帳戶 | ✔ | ✔ | |
主機 | ✔ | ✔ | |
IP 位址 | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
網域名稱 | ✔ | ✔ | |
檔案 (雜湊) | ✔ | ✔ | |
Azure 資源 | ✔ | ||
IoT 裝置 | ✔ |
* 對於可供使用 [新增至 TI] 或 [執行劇本] 動作的實體 ,您可以從 [概觀] 索引標籤的 [實體] 小工具立即採取這些動作,絕不離開事件頁面。
探索記錄
現在,您會想要深入了解詳細資料,以了解究竟發生了什麼事?從上述幾乎任何位置,您可以向下切入事件中包含的個別警示、實體、深入解析和其他項目,檢視原始查詢及其結果。 這些結果會顯示在 [記錄檔] (記錄分析) 畫面中,此畫面會顯示為事件詳細資料頁面的面板延伸模組,因此您不會離開調查的內容。
依序保留您的記錄
最後,基於透明度、責任和持續性,建議您記錄事件上已採取的所有動作,無論是由自動化流程還是人員皆可。 事件活動記錄會顯示所有這些活動。 您也可以看到任何已建立的註解,並新增您自己的註解。 活動記錄會持續自動重新整理,即使開啟,您也可以即時查看其變更。
下一步
在本文件中,您已了解 Microsoft Sentinel 事件調查體驗如何協助您在單一內容中進行調查。 如需管理及調查事件的詳細資訊,請參閱下列文章: