Vyšetřování incidentů s využitím služby Microsoft Sentinel

  • Článek
  • 6 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Důležité

Notované funkce jsou v současné době ve verzi PREVIEW. Doplňující podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné.

Tento článek vám pomůže prošetřit incidenty pomocí služby Microsoft Sentinel. Po připojení zdrojů dat ke službě Microsoft Sentinel chcete být informováni, když se stane něco podezřelého. Microsoft Sentinel vám to umožní vytvořit rozšířená pravidla upozornění, která generují incidenty, které můžete přiřadit a prošetřit.

Tento článek se věnuje:

  • Šetření incidentů
  • Použití grafu šetření
  • Reakce na hrozby

Incident může zahrnovat více výstrah. Jedná se o agregaci všech relevantních důkazů pro konkrétní šetření. Incident se vytvoří na základě analytických pravidel, která jste vytvořili na stránce Analýza. Vlastnosti související s výstrahami, jako je závažnost a stav, jsou nastaveny na úrovni incidentu. Jakmile Microsoft Sentinelu dáte vědět, jaké druhy hrozeb hledáte a jak je najít, můžete zjištěné hrozby monitorovat prošetřováním incidentů.

Požadavky

  • Incident budete moct prozkoumat pouze v případě, že jste při nastavení analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

  • Pokud máte uživatele guest, který potřebuje přiřadit incidenty, musí mít ve vašem tenantovi Azure AD přiřazenou roli Čtenář adresáře. Pravidelní uživatelé (bez hosta) mají tuto roli ve výchozím nastavení přiřazenou.

Postup při vyšetřování incidentů

  1. Vyberte Incidenty. Na stránce Incidenty můžete vědět, kolik incidentů máte, kolik je otevřených, kolik jste nastavili na Probíhá a kolik je uzavřených. U každého incidentu vidíte čas, kdy k incidentu došlo, a stav incidentu. Podívejte se na závažnost a rozhodněte se, které incidenty se mají řešit jako první.

    Zobrazení závažnosti incidentu

  2. Incidenty můžete filtrovat podle potřeby, například podle stavu nebo závažnosti. Další informace najdete v tématu Vyhledání incidentů.

  3. Pokud chcete zahájit šetření, vyberte konkrétní incident. Napravo vidíte podrobné informace o incidentu, včetně jeho závažnosti, souhrnu počtu zapojených entit, nezpracovaných událostí, které tento incident aktivoval, a jedinečného ID incidentu.

  4. Pokud chcete zobrazit další podrobnosti o výstrahách a entitách incidentu, vyberte Zobrazit úplné podrobnosti na stránce incidentu a zkontrolujte relevantní karty, které shrnují informace o incidentu.

    Zobrazení podrobností upozornění

    Například:

    • Na kartě Časová osa si prohlédněte časovou osu výstrah a záložek incidentu, které vám můžou pomoct s rekonstrukcí časové osy aktivity útočníka.
    • Na kartě Výstrahy zkontrolujte samotnou výstrahu. Zobrazí se všechny důležité informace o upozornění – dotaz, který výstrahu aktivoval, počet vrácených výsledků pro každý dotaz a možnost spouštět playbooky s upozorněními. Pokud chcete k podrobnostem incidentu přejít ještě více, vyberte počet událostí. Otevře se dotaz, který vygeneroval výsledky, a události, které aktivují upozornění v Log Analytics.
    • Na kartě Entity uvidíte všechny entity, které jste namapovali jako součást definice pravidla upozornění.

  5. Pokud incident aktivně prověříte, je vhodné nastavit stav incidentu na Probíhá, dokud ho nezadáte.

  6. Incidenty je možné přiřadit konkrétnímu uživateli. Pro každý incident můžete přiřadit vlastníka nastavením pole Vlastník incidentu. Všechny incidenty začínají jako nepřiřazené. Můžete také přidat komentáře, aby ostatní analytici mohli porozumět tomu, co jste prošetřili a čeho se váš problém týká.

    Přiřazení incidentu uživateli

  7. Výběrem možnosti Prozkoumat zobrazíte mapu vyšetřování.

Použití grafu šetření k hloubkové prošetření

Graf šetření umožňuje analytikům klást správné otázky pro každé šetření. Graf šetření vám pomůže porozumět rozsahu potenciální bezpečnostní hrozby a identifikovat její hlavní příčinu tím, že koreluje relevantní data se související entitou. Můžete se ponořit hlouběji a prozkoumat libovolnou entitu v grafu tak, že ji vyberete a zvolíte mezi různými možnostmi rozšíření.

Graf prošetření poskytuje:

  • Kontext vizuálu z nezpracovaných dat: Živý vizuální graf zobrazuje relace entit extrahované automaticky z nezpracovaných dat. To vám umožní snadno zobrazit připojení napříč různými zdroji dat.

  • Úplné zjišťování rozsahu šetření: Rozšiřte rozsah šetření pomocí integrovaných dotazů pro zkoumání, abyste odhalili úplný rozsah porušení zabezpečení.

  • Předdefinované kroky šetření: Pomocí předdefinovaných možností průzkumu se ujistěte, že před hrozbou pokláníte správné otázky.

Použití grafu šetření:

  1. Vyberte incident a pak vyberte Prozkoumat. Tím se zobrazí graf šetření. Graf poskytuje ilustrativní mapu entit přímo připojených k upozornění a ke každému prostředku, který je dále připojený.

    Zobrazení mapy

    Důležité

    • Incident budete moct prozkoumat pouze v případě, že jste při nastavení analytického pravidla použili pole mapování entit. Graf prověřování vyžaduje, aby původní incident obsahoval entity.

    • Microsoft Sentinel v současné době podporuje vyšetřování incidentů, které jsou starší než 30 dnů.

  2. Výběrem entity otevřete podokno Entity, abyste mohli zkontrolovat informace o této entitě.

    Zobrazení entit v mapě

  3. Rozšiřte své šetření tak, že najedete myší na jednotlivé entity a zobrazíte seznam otázek, které navrhli naši odborníci na zabezpečení a analytici na jednotlivé typy entit, aby se vaše šetření prohloubit. Těmto možnostem říkáme dotazy pro zkoumání.

    Prozkoumání dalších podrobností

    Například na počítači můžete požadovat související výstrahy. Pokud vyberete dotaz pro zkoumání, výsledné nároky se přičtou zpět do grafu. Výběrem možnosti Související výstrahy v tomto příkladu vrátíte do grafu následující upozornění:

    Zobrazení souvisejících výstrah

  4. U každého dotazu pro zkoumání můžete výběrem možnosti Otevřít nezpracované výsledky událostí a dotaz použitý v Log Analytics vybrat Události. >

  5. Abyste incident pochopili, graf vám poskytne paralelní časovou osu.

    Zobrazení časové osy na mapě

  6. Najeďte myší na časovou osu, abyste viděli, k jakým bodům v grafu došlo.

    Použití časové osy v mapě k prošetření upozornění

Uzavření incidentu

Jakmile vyřešíte konkrétní incident (například když vyšetřování dosáhlo svého závěru), měli byste stav incidentu nastavit na Uzavřeno. Až to budete dělat, budete požádáni o klasifikaci incidentu zadáním důvodu, proč ho zavíráte. Tento krok je povinný. Klikněte na Vybrat klasifikaci a v rozevíracím seznamu zvolte jednu z následujících možností:

  • Pravdivě pozitivní – podezřelá aktivita
  • Neškodně pozitivní – podezřelé, ale očekávané
  • Falešně pozitivní – nesprávná logika výstrahy
  • Falešně pozitivní – nesprávná data
  • Neurčeno

Snímek obrazovky se zvýrazněnou klasifikací dostupnou v seznamu Vybrat klasifikaci

Další informace o falešně pozitivních a neškodných pozitivních testech najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.

Po zvolení vhodné klasifikace přidejte do pole Komentář nějaký popisný text. To bude užitečné v případě, že se budete muset k tomuto incidentu vrátit. Až budete hotovi, klikněte na Použít a incident se zavře.

{alt-text}

Hledání incidentů

Pokud chcete rychle najít konkrétní incident, zadejte do vyhledávacího pole nad mřížkou incidentů hledaný řetězec a stisknutím klávesy Enter odpovídajícím způsobem upravte seznam incidentů. Pokud váš incident není součástí výsledků, můžete hledání zúžit pomocí rozšířených možností hledání.

Pokud chcete upravit parametry hledání, vyberte tlačítko Hledat a pak vyberte parametry, ve kterých chcete vyhledávání spustit.

Například:

Snímek obrazovky s vyhledávacím polem incidentu a tlačítkem pro výběr základních nebo rozšířených možností hledání

Ve výchozím nastavení se vyhledávání incidentů spouštěl pouze napříč hodnotami ID incidentu, názvu, značek, vlastníka a názvu produktu. V podokně hledání se posuňte dolů do seznamu, vyberte jeden nebo více dalších parametrů, které chcete vyhledat, a výběrem možnosti Použít aktualizujte parametry hledání. Vyberte Nastavit jako výchozí a resetujte vybrané parametry na výchozí možnost.

Poznámka

Vyhledávání v poli Vlastník podporuje jména i e-mailové adresy.

Použití rozšířených možností vyhledávání změní chování vyhledávání následujícím způsobem:

Chování vyhledávání Description
Barva tlačítka hledání Barva vyhledávacího tlačítka se mění v závislosti na typech parametrů, které se aktuálně používají při hledání.

– Pokud jsou vybrané jenom výchozí parametry, je tlačítko šedé.
– Jakmile vyberete různé parametry, například pokročilé parametry vyhledávání, změní se tlačítko na modrou.
Automatická aktualizace Použití rozšířených parametrů vyhledávání vám zabrání ve výběru a automatické aktualizaci výsledků.
Parametry entity Všechny parametry entity jsou podporovány pro pokročilá hledání. Při vyhledávání v libovolném parametru entity se vyhledávání spouští ve všech parametrech entity.
Hledání řetězců Hledání řetězce slov zahrnuje všechna slova ve vyhledávacím dotazu. U vyhledávacích řetězců se rozlišují malá a velká písmena.
Podpora mezi pracovními prostory Rozšířené vyhledávání se nepodporuje v zobrazeních napříč pracovními prostory.
Počet zobrazených výsledků hledání Při použití rozšířených parametrů hledání se najednou zobrazuje pouze 50 výsledků.

Tip

Pokud nemůžete najít hledaný incident, odeberte parametry hledání a rozbalte hledání. Pokud hledání vede k příliš mnoha položkám, přidejte další filtry, abyste výsledky zúžili.

Další kroky

V tomto článku jste se dozvěděli, jak začít s vyšetřováním incidentů pomocí služby Microsoft Sentinel. Další informace naleznete v tématu: