Udostępnij przez

Badanie zdarzeń za pomocą usługi Microsoft Sentinel (starsza wersja)

  • Dotyczy: Microsoft Sentinel in the Azure portal

Ten artykuł pomaga korzystać z dziedzictwa doświadczeń dochodzenia incydentów usługi Microsoft Sentinel. Jeśli używasz nowszej wersji interfejsu, użyj nowszego zestawu instrukcji do dopasowania. Aby uzyskać więcej informacji, zobacz Nawigacja i badanie zdarzeń w usłudze Microsoft Sentinel.

Po połączeniu źródeł danych z usługą Microsoft Sentinel chcesz otrzymywać powiadomienia, gdy wystąpi coś podejrzanego. Aby to zrobić, usługa Microsoft Sentinel umożliwia tworzenie zaawansowanych reguł analizy, które generują zdarzenia, które można przypisywać i badać.

Zdarzenie może zawierać wiele alertów. Jest to agregacja wszystkich istotnych dowodów na konkretne dochodzenie. Zdarzenie jest tworzone na podstawie reguł analizy utworzonych na stronie Analiza . Właściwości związane z alertami, takimi jak ważność i stan, są ustawiane na poziomie zdarzenia. Po powiadomieniu usługi Microsoft Sentinel, jakiego rodzaju zagrożenia szukasz i jak je znaleźć, możesz monitorować wykryte zagrożenia, badając zdarzenia.

Ważne

Zanotowane funkcje są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

  • Będzie można zbadać zdarzenie tylko wtedy, gdy podczas konfigurowania reguły analizy użyto pól mapowania jednostek. Aby można było stworzyć wykres badania, twój oryginalny incydent musi zawierać jednostki.

  • Jeśli masz użytkownika-gościa, który musi przypisać incydenty, użytkownikowi musi zostać przypisana rola Czytelnik katalogu w dzierżawie Microsoft Entra. Domyślnie do tej roli przypisano zwykłą (niezgodę) użytkowników.

Jak badać zdarzenia

  1. Wybierz pozycję Zdarzenia. Strona Incydenty informuje o liczbie posiadanych zdarzeń oraz o tym, czy są nowe, aktywne, czy zamknięte. Dla każdego zdarzenia można zobaczyć czas jego wystąpienia i stan zdarzenia. Przyjrzyj się stopniowi powagi, aby zdecydować, które zdarzenia należy obsłużyć jako pierwsze.

    Zrzut ekranu przedstawiający widok ważności zdarzenia.

  2. Zdarzenia można filtrować zgodnie z potrzebami, na przykład według stanu lub ważności. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zdarzeń.

  3. Aby rozpocząć badanie, wybierz określone zdarzenie. Po prawej stronie można wyświetlić szczegółowe informacje o zdarzeniu, w tym jego ważność, podsumowanie liczby zaangażowanych jednostek, nieprzetworzone zdarzenia, które wywołały ten incydent, unikatowy identyfikator zdarzenia i wszelkie mapowane taktyki lub techniki MITRE ATT&CK.

  4. Aby wyświetlić więcej szczegółów na temat alertów i jednostek w zdarzeniu, wybierz pozycję Wyświetl pełne szczegóły na stronie zdarzenia i przejrzyj odpowiednie karty podsumowujące informacje o zdarzeniu.

    Zrzut ekranu przedstawiający widok szczegółów alertu.

    • Jeśli obecnie używasz nowego środowiska, przełącz go w prawym górnym rogu strony szczegółów zdarzenia, aby zamiast tego użyć starszego środowiska.

    • Na karcie Oś czasu przejrzyj oś czasu alertów i zakładek w zdarzeniu, co może ułatwić odtworzenie osi czasu działania osoby atakującej.

    • Na karcie Podobne incydenty (wersja zapoznawcza) zostanie wyświetlona kolekcja maksymalnie 20 innych zdarzeń, które najbardziej przypominają bieżące zdarzenie. Dzięki temu można zobaczyć zdarzenie w szerszym kontekście i ułatwić kierowanie śledztwem. Dowiedz się więcej o podobnych zdarzeniach poniżej.

    • Na karcie Alerty przejrzyj alerty uwzględnione w tym zdarzeniu. Zobaczysz wszystkie istotne informacje o alertach — reguły analizy, które je wygenerowały, liczbę zwróconych wyników na alert oraz możliwość uruchamiania podręczników w alertach. Aby przejść do szczegółów zdarzenia, wybierz liczbę zdarzeń. Spowoduje to otwarcie zapytania, które wygenerowało wyniki i zdarzenia, które wyzwoliły alert w usłudze Log Analytics.

    • Na karcie Zakładki zobaczysz wszystkie zakładki powiązane z tym zdarzeniem przez Ciebie lub innych badaczy. Dowiedz się więcej o zakładkach.

    • Na karcie Encje można zobaczyć wszystkie encje, które zmapowano jako część definicji reguły alertu. Są to obiekty, które odegrały rolę w zdarzeniu, niezależnie od tego, czy są użytkownikami, urządzeniami, adresami, plikami, czy innymi typami.

    • Na koniec na karcie Komentarze możesz dodać swoje komentarze do badania i wyświetlić wszelkie komentarze dokonane przez innych analityków i badaczy. Dowiedz się więcej o komentarzach.

  5. Jeśli aktywnie badasz zdarzenie, dobrym pomysłem jest ustawienie stanu zdarzenia na Aktywne , dopóki go nie zamkniesz.

  6. Zdarzenia można przypisać do określonego użytkownika lub do grupy. Dla każdego zdarzenia można przypisać właściciela, ustawiając pole Właściciel . Wszystkie zdarzenia zaczynają się jako nieprzypisane. Możesz również dodać komentarze, aby inni analitycy mogli zrozumieć, co zbadano i jakie są twoje obawy związane ze zdarzeniem.

    Zrzut ekranu przedstawiający przypisywanie zdarzenia do użytkownika.

    Ostatnio wybrani użytkownicy i grupy są wyświetlane w górnej części wyświetlonej listy rozwijanej.

  7. Wybierz pozycję Zbadaj , aby wyświetlić mapę badania.

Szczegółowe omówienie za pomocą grafu badania

Wykres badania umożliwia analitykom zadawanie odpowiednich pytań dotyczących każdego badania. Wykres badania pomaga zrozumieć zakres i zidentyfikować główną przyczynę potencjalnego zagrożenia bezpieczeństwa, korelując odpowiednie dane z dowolną zaangażowaną jednostką. Możesz dokładniej zbadać dowolną jednostkę przedstawioną na wykresie, wybierając ją i wybierając między różnymi opcjami rozszerzenia.

Wykres badania zapewnia następujące elementy:

  • Kontekst wizualny z nieprzetworzonych danych: dynamiczny wykres wizualny wyświetla relacje jednostek wyodrębnione automatycznie z danych pierwotnych. Dzięki temu można łatwo wyświetlać połączenia między różnymi źródłami danych.

  • Odnajdywanie zakresu pełnego badania: rozwiń zakres badania przy użyciu wbudowanych zapytań eksploracyjnych, aby wyświetlić pełny zakres naruszenia.

  • Wbudowane kroki badania: użyj wstępnie zdefiniowanych opcji eksploracji, aby upewnić się, że zadajesz odpowiednie pytania w obliczu zagrożenia.

Aby użyć wykresu badania:

  1. Wybierz zdarzenie, a następnie wybierz pozycję Zbadaj. Przeniesie cię do grafu śledztwa. Wykres przedstawia wizualizację jednostek połączonych bezpośrednio z alertem oraz każdego zasobu połączonego w dalszej kolejności.

    Wyświetl mapę.

    Ważne

    • Będzie można zbadać zdarzenie tylko wtedy, gdy podczas konfigurowania reguły analizy użyto pól mapowania jednostek. Aby można było stworzyć wykres badania, twój oryginalny incydent musi zawierać jednostki.

    • Usługa Microsoft Sentinel obecnie obsługuje badanie zdarzeń do 30 dni.

  2. Wybierz jednostkę, aby otworzyć okienko Jednostki , aby przejrzeć informacje dotyczące tej jednostki.

    Wyświetlanie jednostek na mapie

  3. Rozwiń badanie, umieszczając wskaźnik myszy na każdej jednostce, aby wyświetlić listę pytań zaprojektowanych przez naszych ekspertów ds. zabezpieczeń i analityków na typ jednostki w celu pogłębienia badania. Nazywamy te opcje zapytań eksploracyjnych.

    Dowiedz się więcej szczegółów

    Możesz na przykład zażądać powiązanych alertów. Jeśli wybierzesz zapytanie eksploracji, wynikowe uprawnienia zostaną dodane z powrotem do grafu. W tym przykładzie wybranie pozycji Powiązane alerty zwróciły następujące alerty do grafu:

    Zrzut ekranu: wyświetlanie powiązanych alertów

    Sprawdź, czy powiązane alerty są wyświetlane połączone z jednostką według wierszy kropkowanych.

  4. Dla każdego zapytania eksploracji można wybrać opcję otwierania nieprzetworzonych wyników zdarzeń i zapytania używanego w usłudze Log Analytics, wybierając pozycję Zdarzenia>.

  5. Aby zrozumieć zdarzenie, wykres przedstawia równoległą oś czasu.

    Zrzut ekranu: wyświetlanie osi czasu na mapie.

  6. Zatrzymaj wskaźnik myszy na osi czasu, aby zobaczyć, które elementy na grafie wystąpiły w jakim momencie w czasie.

    Zrzut ekranu: użyj osi czasu na mapie, aby zbadać alerty.

Skoncentruj swoje badanie

Dowiedz się, jak rozszerzyć lub zawęzić zakres badania, dodając alerty do zdarzeń lub usuwając alerty ze zdarzeń.

Podobne zdarzenia (wersja zapoznawcza)

Jako analityk operacji zabezpieczeń podczas badania incydentu chcesz zwrócić uwagę na jego większy kontekst. Na przykład, warto sprawdzić, czy podobne incydenty miały miejsce wcześniej lub dzieją się obecnie.

  • Możesz zidentyfikować współbieżne zdarzenia, które mogą być częścią tej samej większej strategii ataku.

  • Możesz zidentyfikować podobne incydenty w przeszłości, aby użyć ich jako punktów odniesienia dla bieżącego badania.

  • Możesz chcieć zidentyfikować właścicieli poprzednich podobnych zdarzeń, aby znaleźć osoby w SOC, które mogą dostarczyć więcej kontekstu lub do kogo można eskalować dochodzenie.

Podobna karta zdarzeń na stronie szczegółów zdarzenia, teraz w wersji zapoznawczej, zawiera maksymalnie 20 innych zdarzeń, które są najbardziej podobne do bieżącego. Podobieństwo jest obliczane przez wewnętrzne algorytmy usługi Microsoft Sentinel, a zdarzenia są sortowane i wyświetlane w kolejności malejącej podobieństwa.

Zrzut ekranu przedstawiający podobne zdarzenia.

Obliczanie podobieństwa

Istnieją trzy kryteria określające podobieństwo:

  • Podobne jednostki: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli oba te zdarzenia obejmują te same jednostki. Im więcej jednostek dwa incydenty mają wspólne, tym bardziej podobne są one uważane za.

  • Podobna reguła: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli zostały utworzone przez tę samą regułę analizy.

  • Podobne szczegóły alertu: Zdarzenie jest uznawane za podobne do innego zdarzenia, jeśli mają ten sam tytuł, nazwę produktu i/lub szczegóły niestandardowe.

Przyczyny wystąpienia zdarzenia na podobnej liście zdarzeń są wyświetlane w kolumnie Przyczyna podobieństwa . Umieść kursor na ikonie informacji, aby wyświetlić typowe elementy (jednostki, nazwę reguły lub szczegóły).

Zrzut ekranu przedstawiający wyskakujące okienko z podobnymi szczegółami zdarzenia.

Ramy czasowe podobieństwa

Podobieństwo zdarzenia jest obliczane na podstawie danych z 14 dni przed ostatnim działaniem w zdarzeniu, które jest czasem zakończenia ostatniego alertu w zdarzeniu.

Podobieństwo zdarzenia jest obliczane ponownie za każdym razem, gdy wprowadzasz stronę szczegółów zdarzenia, więc wyniki mogą się różnić między sesjami, jeśli nowe zdarzenia zostały utworzone lub zaktualizowane.

Komentowanie zdarzeń

Jako analityk operacji zabezpieczeń podczas badania incydentu należy dokładnie udokumentować wykonywane czynności, zarówno w celu zapewnienia dokładnego raportowania zarządzania, jak i umożliwienia bezproblemowej współpracy i współpracy między współpracownikami. Usługa Microsoft Sentinel udostępnia rozbudowane środowisko komentowania, które pomoże Ci to osiągnąć.

Kolejną ważną czynnością, którą można zrobić z komentarzami, jest automatyczne wzbogacanie incydentów. Po uruchomieniu podręcznika na incydencie, który pobiera odpowiednie informacje ze źródeł zewnętrznych (np. sprawdzanie pliku pod kątem złośliwego oprogramowania w virusTotal), podręcznik może umieścić odpowiedź zewnętrznego źródła — wraz z innymi informacjami zdefiniowanymi przez Ciebie — w komentarzach zdarzenia.

Komentarze są proste w użyciu. Dostęp do nich można uzyskać za pośrednictwem karty Komentarze na stronie szczegółów zdarzenia.

Zrzut ekranu przedstawiający wyświetlanie i wprowadzanie komentarzy.

Często zadawane pytania dotyczące komentarzy dotyczących zdarzeń

Podczas korzystania z komentarzy dotyczących zdarzeń należy wziąć pod uwagę kilka zagadnień. Poniższa lista pytań wskazuje na te zagadnienia.

Jakie rodzaje danych wejściowych są obsługiwane?

  • Tekst: Komentarze w usłudze Microsoft Sentinel obsługują wprowadzanie tekstu w postaci zwykłego tekstu, podstawowego kodu HTML i języka Markdown. Możesz również wkleić skopiowany tekst, kod HTML i znacznik Markdown w oknie komentarza.

  • Obrazy: Możesz wstawiać linki do obrazów w komentarzach i obrazy są wyświetlane obok tekstu, ale muszą być już hostowane w publicznie dostępnej lokalizacji, takiej jak Dropbox, OneDrive, Google Drive i inne tego typu usługi. Nie można przekazywać obrazów bezpośrednio do komentarzy.

Czy istnieje limit rozmiaru komentarzy?

  • Według komentarza: Pojedynczy komentarz może zawierać maksymalnie 30 000 znaków.

  • Na zdarzenie: Pojedyncze zdarzenie może zawierać maksymalnie 100 komentarzy.

    Uwaga / Notatka

    Limit rozmiaru pojedynczego rekordu incydentu w tabeli SecurityIncident w usłudze Log Analytics wynosi 64 KB. Jeśli ten limit zostanie przekroczony, komentarze (począwszy od najwcześniejszego) zostaną obcięte, co może mieć wpływ na komentarze, które będą wyświetlane w zaawansowanych wynikach wyszukiwania .

    Rzeczywiste rekordy zdarzeń w bazie danych zdarzeń nie będą miały wpływu.

Kto może edytować lub usuwać komentarze?

  • Edycji: Tylko autor komentarza ma uprawnienia do jego edytowania.

  • Usuwanie: Tylko użytkownicy z rolą Współautor usługi Microsoft Sentinel mają uprawnienia do usuwania komentarzy. Nawet autor komentarza musi mieć tę rolę, aby go usunąć.

Zamykanie zdarzenia

Po rozwiązaniu określonego zdarzenia (na przykład po zakończeniu badania należy ustawić stan zdarzenia na Zamknięty. Gdy to zrobisz, zostanie wyświetlony monit o sklasyfikowanie zdarzenia poprzez określenie przyczyny zamknięcia. Ten krok jest obowiązkowy. Wybierz klasyfikację i jedną z następujących opcji z listy rozwijanej:

  • Prawdziwie dodatnie — podejrzane działania
  • Łagodny pozytywny — podejrzany, ale oczekiwany
  • Wynik fałszywie dodatni — nieprawidłowa logika alarmu
  • Wynik fałszywie dodatni — nieprawidłowe dane
  • Nieokreślone

Zrzut ekranu przedstawiający klasyfikacje dostępne na liście Wybierz klasyfikację.

Aby uzyskać więcej informacji na temat wyników fałszywie dodatnich i łagodnych wyników dodatnich, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Po wybraniu odpowiedniej klasyfikacji dodaj tekst opisowy w polu Komentarz . Jest to przydatne w przypadku, gdy musisz odwołać się z powrotem do tego zdarzenia. Po zakończeniu wybierz Zastosuj, a zdarzenie zostanie zamknięte.

Zrzut ekranu przedstawiający zamykanie zdarzenia.

Wyszukiwanie zdarzeń

Aby szybko znaleźć określone zdarzenie, wprowadź ciąg wyszukiwania w polu wyszukiwania powyżej siatki zdarzeń i naciśnij Enter , aby odpowiednio zmodyfikować listę wyświetlanych zdarzeń. Jeśli zdarzenie nie jest uwzględnione w wynikach, możesz zawęzić wyszukiwanie przy użyciu opcji wyszukiwania zaawansowanego .

Aby zmodyfikować parametry wyszukiwania, wybierz przycisk Wyszukaj , a następnie wybierz parametry, w których chcesz uruchomić wyszukiwanie.

Przykład:

Zrzut ekranu przedstawiający pole wyszukiwania incydentów oraz przycisk umożliwiający wybór opcji wyszukiwania podstawowego i/lub zaawansowanego.

Domyślnie wyszukiwania zdarzeń są uruchamiane tylko w wartościach Identyfikator zdarzenia, Tytuł, Tagi, Właściciel i Nazwa produktu . W okienku wyszukiwania przewiń listę w dół, aby wybrać co najmniej jeden inny parametr do wyszukania, a następnie wybierz pozycję Zastosuj , aby zaktualizować parametry wyszukiwania. Wybierz Ustaw jako domyślne, aby zresetować wybrane parametry do ustawień domyślnych.

Uwaga / Notatka

Wyszukiwanie w polu Właściciel obsługuje zarówno nazwy, jak i adresy e-mail.

Użycie opcji wyszukiwania zaawansowanego zmienia zachowanie wyszukiwania w następujący sposób:

Sposób wyszukiwania Opis
Kolor przycisku wyszukiwania Kolor przycisku wyszukiwania zmienia się w zależności od typów parametrów aktualnie używanych w wyszukiwaniu.
  • Jeśli tylko są zaznaczone parametry domyślne, przycisk jest szary.
  • Po wybraniu różnych parametrów, takich jak zaawansowane parametry wyszukiwania, przycisk zmieni kolor na niebieski.
Automatyczne odświeżanie Korzystanie z zaawansowanych parametrów wyszukiwania uniemożliwia wybranie opcji automatycznego odświeżania wyników.
Parametry jednostki Wszystkie parametry jednostki są obsługiwane w przypadku wyszukiwania zaawansowanego. Podczas wyszukiwania w dowolnym parametrze jednostki wyszukiwanie jest uruchamiane we wszystkich parametrach jednostki.
Ciągi wyszukiwania Wyszukiwanie ciągu wyrazów obejmuje wszystkie wyrazy w zapytaniu wyszukiwania. W ciągach wyszukiwania jest rozróżniana wielkość liter.
Obsługa między obszarami roboczymi Wyszukiwanie zaawansowane nie jest obsługiwane w przypadku widoków między obszarami roboczymi.
Liczba wyświetlonych wyników wyszukiwania W przypadku korzystania z zaawansowanych parametrów wyszukiwania wyświetlane są jednocześnie tylko 50 wyników.

Wskazówka

Jeśli nie możesz znaleźć szukanych zdarzeń, usuń parametry wyszukiwania, aby rozwinąć wyszukiwanie. Jeśli wyniki wyszukiwania będą zawierać zbyt wiele elementów, dodaj więcej filtrów, aby zawęzić wyniki.

Treści powiązane

W tym artykule przedstawiono sposób rozpoczynania badania zdarzeń przy użyciu usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz:

  • Last updated on