使用 Microsoft Sentinel 調查事件

  • 發行項

重要

已注意到的功能目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

本文可協助您使用 Microsoft Sentinel 調查事件。 將數據源連線到 Microsoft Sentinel 之後,您想要在發生可疑事件時收到通知。 為了讓您這樣做,Microsoft Sentinel 可讓您建立進階分析規則,以產生您可以指派和調查的事件。

此文章涵蓋:

  • 調查事件
  • 使用調查圖表
  • 回應威脅

事件可以包含多個警示。 這是特定調查所有相關證據的匯總。 系統會根據您在 [分析] 頁面中建立的分析規則來建立事件。 與警示相關的屬性,例如嚴重性和狀態,是在事件層級設定。 讓 Microsoft Sentinel 知悉您要尋找的威脅類型以及尋找方式後,您可以調查事件來監視偵測到的威脅。

必要條件

  • 設定分析規則時,只有在您使用實體對應欄位時,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。

  • 如果您有需要指派事件的來賓使用者,則必須在 Microsoft Entra 租使用者中指派 目錄讀取者 角色。 一般(非來賓)用戶預設會指派此角色。

如何調查事件

  1. 選取 [ 事件]。 [ 事件] 頁面可讓您知道您有多少事件,以及事件是新的、 作用中或已關閉的。 針對每個事件,您可以看到事件發生的時間和事件的狀態。 查看嚴重性,以決定要先處理哪些事件。

    Screenshot of view of incident severity.

  2. 您可以視需要篩選事件,例如依狀態或嚴重性。 如需詳細資訊,請參閱 搜尋事件

  3. 若要開始調查,請選取特定事件。 在右側,您可以看到事件的詳細資訊,包括其嚴重性、涉及實體數目的摘要、觸發此事件的原始事件、事件的唯一標識符,以及任何對應的 MITRE ATT&CK 策略或技術。

  4. 若要檢視事件中警示和實體的詳細數據,請選取 [檢視事件] 頁面中的完整詳細 數據,並檢視摘要事件資訊的相關索引卷標。

    Screenshot of view of alert details.

    • 在 [ 時程表] 索引標籤中,檢閱事件中的警示和書籤時程表,以協助您重建攻擊者活動的時程表。

    • 在 [ 類似事件 (預覽] 索引標籤中 ,您會看到最多 20 個最類似目前事件的其他事件集合。 這可讓您在較大的內容中檢視事件,並協助引導您的調查。 深入瞭解下面的類似事件。

    • 在 [警示] 索引標籤中,檢閱此事件中包含的警示。 您會看到警示的所有相關信息 – 產生的分析規則、每個警示傳回的結果數目,以及執行警示劇本的能力。 若要進一步向下切入事件,請選取 [事件] 數目。 這會開啟產生結果的查詢,以及在Log Analytics中觸發警示的事件。

    • 在 [ 書籤] 索引 標籤中,您會看到您或其他調查人員已連結至此事件的任何書籤。 深入瞭解書籤

    • 在 [實體] 索引標籤中,您可以看到您在警示規則定義中對應的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型

    • 最後,在 [ 批註] 索引標籤中,您可以新增調查的批註,並檢視其他分析師和調查人員所做的任何批註。 深入瞭解批注

  5. 如果您主動調查事件,最好將事件的狀態設定為 [作用 中],直到您關閉事件為止。

  6. 事件可以指派給特定使用者或群組。 針對每個事件,您可以藉由設定 [擁有者] 字段來指派擁有者 。 所有事件一開始都是未經指派的。 您也可以新增批注,讓其他分析師能夠瞭解您所調查的內容,以及您對於事件的擔憂。

    Screenshot of assigning incident to user.

    最近選取的使用者和群組會出現在圖片下拉式清單頂端。

  7. 選取 [ 調查] 以檢視調查對應。

使用調查圖表深入探討

調查圖表可讓分析師針對每個調查詢問正確的問題。 調查圖表會相互關聯相關資料與涉入的實體,以協助您了解潛在安全性威脅的範圍,以及確認其根本原因。 若要深入探索及調查圖表中呈現的任何實體,您可以加以選取,然後選擇不同的展開選項。

調查圖表向您提供以下資訊:

  • 原始資料的視覺化內容:即時視覺化圖表會顯示從原始資料自動擷取的實體關聯性。 這可讓您輕鬆地查看不同數據源之間的連線。

  • 完整調查範圍探索:使用內建探索查詢展開調查範圍,以呈現缺口的完整範圍。

  • 內建調查步驟:使用預先定義的探索選項,確保您在遇到威脅時詢問正確的問題。

如要使用調查圖表:

  1. 選取事件,然後選取 [調查]。 這會將您引導至調查圖表。 此圖表提供直接連線至警示的實體,以及每個進一步連線資源的說明對應。

    View map.

    重要

    • 設定分析規則時,只有在您使用實體對應欄位時,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。

    • Microsoft Sentinel 目前支持調查 長達 30 天的事件

  2. 選取實體以開啟 [ 實體 ] 窗格,以便檢閱該實體的相關信息。

    View entities in map

  3. 將滑鼠暫留在每個實體上,以顯示每個實體類型的安全性專家和分析師所設計的問題清單,以加深調查。 我們會呼叫這些選項 探索查詢

    Explore more details

    例如,您可以要求相關的警示。 如果您選取探索查詢,產生的授權會新增回圖形。 在此範例中,選取 [相關警示 ] 會將下列警示傳回圖表:

    Screenshot: view related alerts

    查看相關警示會依虛線顯示到實體。

  4. 針對每個探索查詢,您可以選取選項來開啟原始事件結果,以及Log Analytics中使用的查詢,方法是選取 [事件>]。

  5. 為了瞭解事件,圖表會提供平行時間軸。

    Screenshot: view timeline in map.

  6. 將滑鼠停留在時間軸上,以查看圖形上發生的時間點。

    Screenshot: use timeline in map to investigate alerts.'

專注您的調查

瞭解如何將 警示新增至事件或從事件中移除警示,以擴大或縮小調查範圍。

類似的事件 (預覽)

身為安全性作業分析師,在調查事件時,您會想要注意其較大的內容。 例如,您會想要查看這類其他事件是否在之前或正在發生。

  • 您可能會想要識別可能屬於相同較大攻擊策略的並行事件。

  • 您可能想要識別過去類似的事件,以將它們作為您目前調查的參考點。

  • 您可能想要識別過去類似事件的擁有者、尋找SOC中可以提供更多內容的人員,或向誰呈報調查。

[ 事件詳細數據] 頁面中的 [類似事件] 索引 標籤現在處於預覽狀態,最多會顯示 20 個與目前事件最相似的其他事件。 相似度是由內部 Microsoft Sentinel 演算法所計算,事件會以相似度遞減順序排序和顯示。

Screenshot of the similar incidents display.

相似度計算

有三個準則可決定相似性:

  • 類似的實體: 如果事件包含相同的 實體,就會被視為類似另一個事件。 兩個事件的共同實體越多,它們就越類似。

  • 類似的規則: 如果事件都是由相同的 分析規則所建立,就會被視為類似另一個事件。

  • 類似的警示詳細數據: 如果事件共用相同的標題、產品名稱和/或 自定義詳細數據,就會被視為類似另一個事件。

事件出現在類似事件清單中的原因會顯示在 [相似度原因 ] 資料行中。 將滑鼠停留在資訊圖示上以顯示一般專案(實體、規則名稱或詳細數據)。

Screenshot of pop-up display of similar incident details.

相似度時間範圍

事件相似性是根據事件中最後一個活動前 14 天的數據計算,這是事件中最近警示的結束時間。

每次您輸入事件詳細數據頁面時,都會重新計算事件相似性,因此如果已建立或更新新事件,則會話間的結果可能會有所不同。

事件評論

身為安全性作業分析師,在調查事件時,您會想要徹底記錄您採取的步驟,既要確保對管理進行準確的報告,又能夠讓同事之間順暢的合作和共同作業。 Microsoft Sentinel 提供豐富的批注環境,以協助您完成這項作業。

您可以使用批注執行的另一件重要事項是自動擴充您的事件。 當您在從外部來源擷取相關信息的事件上執行劇本時(例如,在 VirusTotal 檢查惡意代碼的檔案),您可以在事件的批注中放置外部來源的回應,以及您定義的任何其他資訊。

批註很容易使用。 您可以透過事件詳細數據頁面上的 [ 批註] 索引標籤來存取它們。

Screenshot of viewing and entering comments.

常見問題集

使用事件批注時,需要考慮幾個考慮。 下列問題清單指向這些考慮。

支援哪些類型的輸入?

  • 文字: Microsoft Sentinel 中的批注支援純文本、基本 HTML 和 Markdown 中的文字輸入。 您也可以複製的文字、HTML 和 Markdown 貼到批注視窗中。

  • 影像: 您可以在批注中插入影像的連結,且影像會內嵌顯示,但影像必須已裝載在可公開存取的位置,例如Dropbox、OneDrive、Google Drive等。 影像無法直接上傳至批注。

批注有大小限制嗎?

  • 每個批注: 單一批注最多可以包含 30,000 個字元

  • 每個事件: 單一事件最多可以包含 100個批注

    注意

    Log Analytics 中 SecurityIncident 資料表中單一事件記錄的大小限制為 64 KB。 如果超過此限制,將會截斷批注(從最早開始),這可能會影響進階搜尋結果中顯示的批注。

    事件資料庫中的實際事件記錄不會受到影響。

神秘 可以編輯或刪除批注嗎?

  • 編輯: 只有批注的作者才有權編輯它。

  • 刪除: 只有具有 Microsoft Sentinel 參與者 角色的使用者才有權刪除批注。 即使是批註的作者也必須有此角色才能刪除它。

關閉事件

解決特定事件之後(例如,當您的調查得出結論時),您應該將事件的狀態設定為 [已關閉]。 當您這樣做時,系統會要求您指定關閉事件的原因來分類事件。 此步驟為必要步驟。 按兩下 [ 選取分類 ],然後從下拉式清單中選擇下列其中一項:

  • 確判為真 - 可疑的活動
  • 確判為良性 - 可疑但已知
  • 誤判為真 - 不正確的警示邏輯
  • 誤判為真 - 不正確的資料
  • 未決定

Screenshot that highlights the classifications available in the Select classification list.

如需誤判和良性正面的詳細資訊,請參閱 在 Microsoft Sentinel 中處理誤判。

選擇適當的分類之後,請在 [ 批注 ] 字段中新增一些描述性文字。 這在您需要參考此事件的事件中很有用。 完成時按兩下 [套用 ],事件將會關閉。

{alt-text}

搜尋事件

若要快速尋找特定事件,請在事件方格上方的搜尋方塊中輸入搜尋字串,然後按 Enter 以修改據此顯示的事件清單。 如果您的事件未包含在結果中,您可能想要使用 進階搜尋選項縮小搜尋 範圍。

若要修改搜尋參數,請選取 [ 搜尋 ] 按鈕,然後選取您要在其中執行搜尋的參數。

例如:

Screenshot of the incident search box and button to select basic and/or advanced search options.

根據預設,事件搜尋只會在事件標識碼、標題、標籤、擁有者和產品名稱值之間執行。 在搜尋窗格中,向下捲動清單以選取一或多個要搜尋的其他參數,然後選取 [ 套用 ] 以更新搜尋參數。 選取 [設定為預設 ] 會將選取的參數重設為預設選項。

注意

[擁有者] 欄位中的搜尋同時支援名稱和電子郵件位址。

使用進階搜尋選項會變更搜尋行為,如下所示:

搜尋行為 描述
搜尋按鈕色彩 搜尋按鈕的色彩會根據目前在搜尋中使用的參數類型而變更。
  • 只要只選取預設參數,按鈕就會呈現灰色。
  • 只要選取不同的參數,例如進階搜尋參數,按鈕就會變成藍色。
自動重新整理 使用進階搜尋參數可防止您選取以自動重新整理結果。
實體參數 進階搜尋支援所有實體參數。 在任何實體參數中搜尋時,搜尋會在所有實體參數中執行。
搜尋字串 搜尋單字字串包含搜尋查詢中的所有單字。 搜尋字串會區分大小寫。
跨工作區支援 跨工作區的檢視不支援進階搜尋。
顯示的搜尋結果數目 當您使用進階搜尋參數時,一次只會顯示 50 個結果。

提示

如果您找不到您要尋找的事件,請移除搜尋參數以展開您的搜尋。 如果您的搜尋結果太多,請新增更多篩選以縮小結果範圍。

下一步

在本文中,您已瞭解如何開始使用 Microsoft Sentinel 調查事件。 如需詳細資訊,請參閱