Compartilhar via

Investigar incidentes com o Microsoft Sentinel (herdado)

  • Aplica-se a: Microsoft Sentinel in the Azure portal

Este artigo ajuda você a usar a experiência de investigação de incidentes herdada do Microsoft Sentinel. Se você estiver usando a versão mais recente da interface, use o conjunto mais recente de instruções para corresponder. Para obter mais informações, consulte Navegar e investigar incidentes no Microsoft Sentinel.

Depois de conectar suas fontes de dados ao Microsoft Sentinel, você deseja ser notificado quando algo suspeito acontecer. Para permitir que você faça isso, o Microsoft Sentinel permite que você crie regras de análise avançada que geram incidentes que você pode atribuir e investigar.

Um incidente pode incluir vários alertas. É uma agregação de todas as evidências relevantes para uma investigação específica. Um incidente é criado com base nas regras de análise que você criou na página Análise . As propriedades relacionadas aos alertas, como severidade e status, são definidas no nível do incidente. Depois de informar ao Microsoft Sentinel quais tipos de ameaças você está procurando e como encontrá-las, você pode monitorar as ameaças detectadas investigando incidentes.

Importante

Os recursos observados estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

  • Você só poderá investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar sua regra de análise. O grafo de investigação exige que o incidente original inclua as entidades.

  • Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Usuários regulares (não convidados) têm essa função atribuída por padrão.

Como investigar incidentes

  1. Selecione Incidentes. A página Incidentes permite que você saiba quantos incidentes você tem e se eles são novos, ativos ou fechados. Para cada incidente, você pode ver a hora em que ocorreu e o status do incidente. Observe a gravidade para decidir quais incidentes lidar primeiro.

    Captura de tela da visualização da gravidade do incidente.

  2. Você pode filtrar os incidentes conforme necessário, por exemplo, por status ou gravidade. Para obter mais informações, consulte Pesquisar incidentes.

  3. Para iniciar uma investigação, selecione um incidente específico. À direita, você pode ver informações detalhadas sobre o incidente, incluindo sua gravidade, resumo do número de entidades envolvidas, os eventos brutos que desencadearam esse incidente, a ID exclusiva do incidente e quaisquer táticas ou técnicas do MITRE ATT&CK mapeadas.

  4. Para exibir mais detalhes sobre os alertas e entidades no incidente, selecione Exibir detalhes completos na página do incidente e examine as guias relevantes que resumem as informações do incidente.

    Captura de tela da exibição dos detalhes do alerta.

    • Se você estiver usando a nova experiência no momento, desative-a no canto superior direito da página de detalhes do incidente para usar a experiência herdada.

    • Na guia Linha do tempo , examine a linha do tempo de alertas e indicadores no incidente, o que pode ajudá-lo a reconstruir a linha do tempo da atividade do invasor.

    • Na guia Incidentes semelhantes (versão prévia), você verá uma coleção de até 20 outros incidentes que mais se assemelham ao incidente atual. Isso permite que você exiba o incidente em um contexto maior e ajuda a direcionar sua investigação. Saiba mais sobre incidentes semelhantes abaixo.

    • Na guia Alertas , revise os alertas incluídos neste incidente. Você vê todas as informações relevantes sobre os alertas – as regras de análise que os produziram, o número de resultados retornados por alerta e a capacidade de executar guias estratégicos nos alertas. Para detalhar ainda mais o incidente, selecione o número de Eventos. Isso abre a consulta que gerou os resultados e os eventos que dispararam o alerta no Log Analytics.

    • Na guia Indicadores , você verá todos os indicadores que você ou outros investigadores vincularam a este incidente. Saiba mais sobre favoritos.

    • Na guia Entidades , você pode ver todas as entidadesmapeadas como parte da definição da regra de alerta. Esses são os objetos que executam uma função no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou qualquer outro tipo.

    • Por fim, na guia Comentários , você pode adicionar seus comentários sobre a investigação e exibir quaisquer comentários feitos por outros analistas e investigadores. Saiba mais sobre comentários.

  5. Se você estiver investigando ativamente um incidente, é uma boa ideia definir o status do incidente como Ativo até fechá-lo.

  6. Os incidentes podem ser atribuídos a um usuário específico ou a um grupo. Para cada incidente, você pode atribuir um proprietário, definindo o campo Proprietário . Todos os incidentes começam como não atribuídos. Você também pode adicionar comentários para que outros analistas possam entender o que você investigou e quais são suas preocupações em torno do incidente.

    Captura de tela da atribuição de incidente ao usuário.

    Usuários e grupos selecionados recentemente aparecem na parte superior da lista suspensa exibida.

  7. Selecione Investigar para exibir o mapa de investigação.

Use o gráfico de investigação para aprofundar

O gráfico de investigação permite que os analistas façam as perguntas certas para cada investigação. O gráfico de investigação ajuda você a entender o escopo e identificar a causa raiz de uma possível ameaça à segurança, correlacionando dados relevantes com qualquer entidade envolvida. Você pode se aprofundar e investigar qualquer entidade apresentada no gráfico selecionando-a e escolhendo entre diferentes opções de expansão.

O gráfico de investigação fornece:

  • Contexto visual de dados brutos: o gráfico visual dinâmico exibe relacionamentos de entidade extraídos automaticamente dos dados brutos. Isso permite que você veja facilmente as conexões entre diferentes fontes de dados.

  • Descoberta completa do escopo da investigação: expanda seu escopo de investigação usando consultas de exploração internas para revelar o escopo completo de uma violação.

  • Etapas de investigação integradas: use opções de exploração predefinidas para garantir que você esteja fazendo as perguntas certas diante de uma ameaça.

Para usar o gráfico de investigação:

  1. Selecione um incidente e, em seguida, selecione Investigar. Isso levará você ao gráfico de investigação. O gráfico fornece um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.

    Exibir mapa.

    Importante

    • Você só poderá investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar sua regra de análise. O grafo de investigação exige que o incidente original inclua as entidades.

    • Atualmente, o Microsoft Sentinel dá suporte à investigação de incidentes de até 30 dias.

  2. Selecione uma entidade para abrir o painel Entidades para que você possa examinar as informações sobre essa entidade.

    Exibir entidades no mapa

  3. Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas que foi elaborada por nossos especialistas e analistas de segurança por tipo de entidade para aprofundar sua investigação. Chamamos essas opções de consultas de exploração.

    Explorar mais detalhes

    Por exemplo, você pode solicitar alertas relacionados. Se você selecionar uma consulta de exploração, as entidades resultantes serão adicionadas de volta ao gráfico. Neste exemplo, a seleção de Alertas relacionados retornou os seguintes alertas para o gráfico:

    Captura de tela: exibir alertas relacionados

    Veja se os alertas relacionados aparecem conectados à entidade por linhas pontilhadas.

  4. Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados do evento bruto e a consulta usada no Log Analytics, selecionando Eventos> .

  5. Para entender o incidente, o gráfico fornece uma linha do tempo paralela.

    Captura de tela: visualize a linha do tempo no mapa.

  6. Passe o mouse sobre a linha do tempo para ver quais eventos no gráfico ocorreram em que ponto no tempo.

    Captura de tela: use a linha do tempo no mapa para investigar alertas.'

Concentre sua investigação

Saiba como você pode ampliar ou restringir o escopo de sua investigação adicionando alertas aos seus incidentes ou removendo alertas de incidentes.

Incidentes semelhantes (versão prévia)

Como analista de operações de segurança, ao investigar um incidente, você deseja prestar atenção ao seu contexto maior. Por exemplo, você vai querer ver se outros incidentes como esse aconteceram antes ou estão acontecendo agora.

  • Talvez você queira identificar incidentes simultâneos que possam fazer parte da mesma estratégia de ataque maior.

  • Talvez você queira identificar incidentes semelhantes no passado para usá-los como pontos de referência para sua investigação atual.

  • Talvez você queira identificar os proprietários de incidentes semelhantes passados, para encontrar as pessoas em seu SOC que podem fornecer mais contexto ou para quem você pode escalonar a investigação.

A guia incidentes semelhantes na página de detalhes do incidente, agora em versão prévia, apresenta até 20 outros incidentes que são os mais semelhantes ao atual. A similaridade é calculada por algoritmos internos do Microsoft Sentinel e os incidentes são classificados e exibidos em ordem decrescente de similaridade.

Captura de tela da exibição de incidentes semelhantes.

Cálculo de similaridade

Existem três critérios pelos quais a semelhança é determinada:

  • Entidades semelhantes: Um incidente é considerado semelhante a outro incidente se ambos incluírem as mesmas entidades. Quanto mais entidades dois incidentes tiverem em comum, mais semelhantes serão considerados.

  • Regra semelhante: Um incidente é considerado semelhante a outro incidente se ambos tiverem sido criados pela mesma regra de análise.

  • Detalhes de alerta semelhantes: Um incidente é considerado semelhante a outro incidente se eles compartilharem o mesmo título, nome do produto e/ou detalhes personalizados.

Os motivos pelos quais um incidente aparece na lista de incidentes semelhantes são exibidos na coluna Motivo da similaridade. Passe o mouse sobre o ícone de informações para mostrar os itens comuns (entidades, nome da regra ou detalhes).

Captura de tela da exibição pop-up de detalhes de incidentes semelhantes.

Período de tempo de similaridade

A similaridade do incidente é calculada com base nos dados dos 14 dias anteriores à última atividade no incidente, que é a hora final do alerta mais recente no incidente.

A similaridade do incidente é recalculada sempre que você entra na página de detalhes do incidente, portanto, os resultados podem variar entre as sessões se novos incidentes forem criados ou atualizados.

Comentar incidentes

Como analista de operações de segurança, ao investigar um incidente, você deve documentar minuciosamente as etapas tomadas, tanto para garantir relatórios precisos para a gerência quanto para permitir a cooperação e a colaboração perfeitas entre colegas de trabalho. O Microsoft Sentinel oferece um ambiente de comentários avançado para ajudá-lo a fazer isso.

Outra coisa importante que você pode fazer com os comentários é enriquecer seus incidentes automaticamente. Quando você executa um manual sobre um incidente que busca informações relevantes de fontes externas (digamos, verificando se há malware em um arquivo no VirusTotal), você pode fazer com que o manual coloque a resposta da fonte externa - juntamente com qualquer outra informação que você definir - nos comentários do incidente.

Os comentários são simples de usar. Você os acessa por meio da guia Comentários na página de detalhes do incidente.

Captura de tela de visualização e inserção de comentários.

Perguntas frequentes sobre comentários de incidentes

Há várias considerações a serem levadas em consideração ao usar comentários de incidentes. A lista de perguntas a seguir aponta para essas considerações.

Que tipos de entrada são suportados?

  • Texto: Os comentários no Microsoft Sentinel dão suporte a entradas de texto em texto sem formatação, HTML básico e Markdown. Você também pode colar texto copiado, HTML e Markdown na janela de comentários.

  • Imagens: Você pode inserir links para imagens em comentários e as imagens são exibidas embutidas, mas as imagens já devem estar hospedadas em um local acessível ao público, como Dropbox, OneDrive, Google Drive e similares. As imagens não podem ser carregadas diretamente nos comentários.

Existe um limite de tamanho para comentários?

  • Por comentário: cada comentário pode conter até 30.000 caracteres.

  • Por incidente: cada incidente pode conter até 100 comentários.

    Observação

    O limite de tamanho de um registro de incidente na tabela SecurityIncident no Log Analytics é de 64 KB. Se esse limite for excedido, os comentários (começando com o mais antigo) serão truncados, o que pode afetar os comentários que aparecerão nos resultados da pesquisa avançada .

    Os registros de incidentes reais no banco de dados de incidentes não serão afetados.

Quem pode editar ou excluir comentários?

  • Edição: somente o autor de um comentário tem permissão para editá-lo.

  • Exclusão: somente usuários com a função de Colaborador do Microsoft Sentinel têm permissão para excluir comentários. Até mesmo o autor do comentário precisa ter essa função para excluí-lo.

Fechar um incidente

Depois de resolver um incidente específico (por exemplo, quando sua investigação chegar à conclusão), você deve definir o status do incidente como Fechado. Ao fazer isso, você será solicitado a classificar o incidente especificando o motivo pelo qual está fechando-o. Essa etapa é obrigatória. Clique em Selecionar classificação e escolha uma das opções a seguir na lista suspensa:

  • Verdadeiro positivo - atividade suspeita
  • Benigno Positivo - suspeito, mas esperado
  • Falso positivo - lógica de alerta incorreta
  • Falso Positivo - dados incorretos
  • Indeterminado

Captura de tela que destaca as classificações disponíveis na lista Selecionar classificações.

Para obter mais informações sobre falsos positivos e positivos benignos, consulte Manipular falsos positivos no Microsoft Sentinel.

Depois de escolher a classificação apropriada, adicione um texto descritivo no campo Comentário . Isso é útil no caso de você precise voltar a esse incidente. Selecione Aplicar quando terminar e o incidente for fechado.

Captura de tela do fechamento de um incidente.

Procurar incidentes

Para encontrar um incidente específico rapidamente, insira uma cadeia de caracteres de pesquisa na caixa de pesquisa acima da grade de incidentes e pressione Enter para modificar a lista de incidentes mostrados adequadamente. Se o incidente não estiver incluído nos resultados, talvez você queira restringir sua pesquisa usando opções avançadas de pesquisa .

Para modificar os parâmetros de pesquisa, selecione o botão Pesquisar e selecione os parâmetros nos quais você deseja executar a pesquisa.

Por exemplo:

Captura de tela da caixa de pesquisa de incidentes e do botão para selecionar opções básicas e/ou avançadas de pesquisa.

Por padrão, as pesquisas de incidentes são executadas somente nos valores de ID de Incidente, Título, Marcas, Proprietário e Nome do Produto . No painel de pesquisa, role para baixo na lista para selecionar um ou mais outros parâmetros a serem pesquisados e selecione Aplicar para atualizar os parâmetros de pesquisa. Selecione Definir como padrão redefinir os parâmetros selecionados para a opção padrão.

Observação

As pesquisas no campo Proprietário dão suporte a nomes e endereços de email.

O uso de opções de pesquisa avançada altera o comportamento da pesquisa desta forma:

Comportamento de pesquisa Descrição
Cor do botão Pesquisar A cor do botão de pesquisa é alterada dependendo dos tipos de parâmetros usados na pesquisa no momento.
  • Se apenas os parâmetros padrão são selecionados, o botão fica cinza.
  • Assim que parâmetros diferentes são selecionados, como parâmetros de pesquisa avançada, o botão fica azul.
Atualização automática O uso de parâmetros de pesquisa avançada impede que você selecione a atualização automática dos resultados.
Parâmetros de entidade Há suporte para todos os parâmetros de entidade nas pesquisas avançadas. Quando a pesquisa é feita em um dos parâmetros de entidade, ela abrange todos os parâmetros de entidade.
Cadeias de caracteres de pesquisa A pesquisa de uma cadeia de caracteres de palavras inclui todas as palavras na consulta de pesquisa. As cadeias de caracteres de pesquisa diferenciam maiúsculas de minúsculas.
Suporte entre workspaces Não há suporte para pesquisas avançadas em exibições entre workspaces.
Número de resultados da pesquisa exibidos Quando você está usando parâmetros de pesquisa avançada, apenas 50 resultados são mostrados por vez.

Dica

Se você não conseguir encontrar o incidente que está procurando, remova os parâmetros de pesquisa para expandir a pesquisa. Se a pesquisa resultar em muitos itens, adicione mais filtros para restringir os resultados.

Conteúdo relacionado

Neste artigo, você aprendeu como começar a investigar incidentes usando o Microsoft Sentinel. Para obter mais informações, consulte:

  • Last updated on