Kurz: zkoumání incidentů pomocí služby Azure SentinelTutorial: Investigate incidents with Azure Sentinel

Důležité

Graf šetření je aktuálně ve verzi Public Preview.The investigation graph is currently in public preview. Tato funkce se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.This feature is provided without a service level agreement, and it's not recommended for production workloads. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Tento kurz vám pomůže prozkoumat incidenty pomocí služby Azure Sentinel.This tutorial helps you investigate incidents with Azure Sentinel. Po připojení zdrojů dat ke službě Azure Sentinel chcete být upozorněni, když dojde k nějaké podezřelé situaci.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Pokud to chcete povolit, Azure Sentinel vám umožní vytvářet Pokročilá pravidla výstrah, která generují incidenty, které můžete přiřadit a prozkoumat.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate incidents that you can assign and investigate.

Tento článek popisuje:This article covers:

  • Šetření incidentůInvestigate incidents
  • Použití grafu šetřeníUse the investigation graph
  • Reakce na hrozbyRespond to threats

Incident může zahrnovat více výstrah.An incident can include multiple alerts. Jedná se o agregaci všech relevantních důkazů pro konkrétní šetření.It's an aggregation of all the relevant evidence for a specific investigation. Incident se vytvoří na základě analytických pravidel, která jste vytvořili na stránce Analytics .An incident is created based on analytics rules that you created in the Analytics page. Vlastnosti související s výstrahami, jako je závažnost a stav, se nastavují na úrovni incidentu.The properties related to the alerts, such as severity and status, are set at the incident level. Až budete chtít, aby služba Azure Sentinel znala, jaké druhy hrozeb hledáte a jak se mají najít, můžete monitorovat zjištěné hrozby zkoumáním incidentů.After you let Azure Sentinel know what kinds of threats you're looking for and how to find them, you can monitor detected threats by investigating incidents.

PředpokladyPrerequisites

  • Incident budete moct prozkoumat jenom v případě, že jste při nastavování pravidla Analytics použili pole mapování entit.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytics rule. Graf šetření vyžaduje, aby původní incident zahrnoval entity.The investigation graph requires that your original incident includes entities.

  • Pokud máte uživatele typu Host, který potřebuje přiřadit incidenty, musí být uživateli přiřazena role čtečky adresáře v TENANTOVI Azure AD.If you have a guest user that needs to assign incidents, the user must be assigned the Directory Reader role in your Azure AD tenant. Ve výchozím nastavení mají tuto roli přiřazený běžný uživatel (bez hosta).Regular (non-guest) users have this role assigned by default.

Postup při vyšetřování incidentůHow to investigate incidents

  1. Vyberte incidenty.Select Incidents. Na stránce incidenty se dozvíte, kolik incidentů máte, kolik jich je otevřených, kolik se vám nastavilo v průběhua kolik se zavřelo.The Incidents page lets you know how many incidents you have, how many are open, how many you've set to In progress, and how many are closed. U každého incidentu můžete vidět čas, ke kterému došlo, a stav incidentu.For each incident, you can see the time it occurred, and the status of the incident. Podívejte se na závažnost, abyste se rozhodli, jaké incidenty se mají zpracovat jako první.Look at the severity to decide which incidents to handle first.

    Zobrazit závažnost incidentu

  2. Incidenty můžete podle potřeby filtrovat, například podle stavu nebo závažnosti.You can filter the incidents as needed, for example by status or severity.

  3. Chcete-li zahájit šetření, vyberte konkrétní incident.To begin an investigation, select a specific incident. Na pravé straně můžete zobrazit podrobné informace o incidentu, včetně jeho závažnosti, souhrnu počtu zúčastněných subjektů, nezpracovaných událostí, které aktivovaly tento incident, a jedinečného ID incidentu.On the right, you can see detailed information for the incident including its severity, summary of the number of entities involved, the raw events that triggered this incident, and the incident’s unique ID.

  4. Chcete-li zobrazit další podrobnosti o výstrahách a entitách v incidentu, vyberte možnost Zobrazit úplné podrobnosti na stránce incident a zkontrolujte příslušné karty, které shrnují informace o incidentu.To view more details about the alerts and entities in the incident, select View full details in the incident page and review the relevant tabs that summarize the incident information. Na kartě výstrahy si prohlédněte samotnou výstrahu.In the Alerts tab, review the alert itself. Zobrazí se všechny relevantní informace o výstraze – dotaz, který aktivoval výstrahu, počet vrácených výsledků na dotaz a možnost spustit playbooky na výstrahách.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts. Chcete-li přejít k podrobnostem i dál k incidentu, vyberte počet událostí.To drill down even further into the incident, select the number of Events. Otevře se dotaz, který vygeneroval výsledky, a události, které vyvolaly výstrahu v Log Analytics.This opens the query that generated the results and the events that triggered the alert in Log Analytics. Na kartě entity můžete zobrazit všechny entity, které jste namapovali jako součást definice pravidla výstrahy.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

    Zobrazit podrobnosti výstrahy

  5. Pokud aktivně zkoumáte incident, je vhodné nastavit stav incidentu na probíhá , dokud ho nezavřete.If you're actively investigating an incident, it's a good idea to set the incident's status to In progress until you close it.

  6. Incidenty je možné přiřadit konkrétnímu uživateli.Incidents can be assigned to a specific user. U každého incidentu můžete vlastníka přiřadit nastavením pole vlastník incidentu .For each incident you can assign an owner, by setting the Incident owner field. Všechny incidenty začínají jako nepřiřazené.All incidents start as unassigned. Můžete také přidat komentáře, aby ostatní analytiké mohli pochopit, co jste prošetřili a co se týkají incidentů.You can also add comments so that other analysts will be able to understand what you investigated and what your concerns are around the incident.

    Přiřadit incident uživateli

  7. Vyberte prozkoumat pro zobrazení mapy šetření.Select Investigate to view the investigation map.

Použití grafu šetření k hlubokým podrobněmUse the investigation graph to deep dive

Graf šetření umožňuje analytikům požádat o správné otázky pro každé šetření.The investigation graph enables analysts to ask the right questions for each investigation. Graf šetření vám pomůže pochopit rozsah a identifikovat hlavní příčinu potenciální bezpečnostní hrozby tím, že koreluje relevantní data se všemi zúčastněnými entitami.The investigation graph helps you understand the scope, and identify the root cause, of a potential security threat by correlating relevant data with any involved entity. Můžete podrobně hlubší a prozkoumat jakoukoli entitu zobrazenou v grafu tak, že ji vyberete a zvolíte mezi různými možnostmi rozšíření.You can dive deeper and investigate any entity presented in the graph by selecting it and choosing between different expansion options.

Graf šetření vám poskytne:The investigation graph provides you with:

  • Vizuální kontext z nezpracovaných dat: Live, Visual Graph zobrazuje vztahy mezi entitami extrahovanými automaticky z nezpracovaných dat.Visual context from raw data: The live, visual graph displays entity relationships extracted automatically from the raw data. Díky tomu můžete snadno zobrazit připojení v různých zdrojích dat.This enables you to easily see connections across different data sources.

  • Zjišťování rozsahu úplného šetření: Rozšiřte svůj rozsah šetření pomocí integrovaných dotazů na průzkum, které doplní celou oblast porušení.Full investigation scope discovery: Expand your investigation scope using built-in exploration queries to surface the full scope of a breach.

  • Integrované kroky pro šetření: pomocí předdefinovaných možností průzkumu se ujistěte, že na začátku hrozby vyžádáte správné otázky.Built-in investigation steps: Use predefined exploration options to make sure you are asking the right questions in the face of a threat.

Použití grafu šetření:To use the investigation graph:

  1. Vyberte incident a pak vyberte prozkoumat.Select an incident, then select Investigate. Tím přejdete do grafu šetření.This takes you to the investigation graph. Graf poskytuje ilustrativní mapu entit přímo připojených k výstraze a dalších prostředků, které jsou propojeny.The graph provides an illustrative map of the entities directly connected to the alert and each resource connected further.

    Důležité

    Incident budete moct prozkoumat jenom v případě, že jste při nastavování pravidla Analytics použili pole mapování entit.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytics rule. Graf šetření vyžaduje, aby původní incident zahrnoval entity.The investigation graph requires that your original incident includes entities.

    Zobrazení mapy

  2. Vyberte entitu a otevřete tak podokno entity , abyste mohli zkontrolovat informace o dané entitě.Select an entity to open the Entities pane so you can review information on that entity.

    Zobrazit entity v mapě

  3. Rozbalíte své šetření tak, že najedete myší na každou entitu a zobrazíte seznam otázek, které byly navrženy našimi odborníky na zabezpečení a analytiky na typ entity, a prohloubit šetření.Expand your investigation by hovering over each entity to reveal a list of questions that was designed by our security experts and analysts per entity type to deepen your investigation. Zavoláme tyto možnosti průzkumu dotazů.We call these options exploration queries.

    Prozkoumat další podrobnosti

    Například na počítači můžete požádat o související výstrahy.For example, on a computer you can request related alerts. Pokud vyberete dotaz průzkumu, výsledné nároky se přidají zpátky do grafu.If you select an exploration query, the resulting entitles are added back to the graph. V tomto příkladu vyberete související výstrahy , které vrátí následující výstrahy do grafu:In this example, selecting Related alerts returned the following alerts into the graph:

    Zobrazit související výstrahy

  4. Pro každý dotaz průzkumu můžete vybrat možnost pro otevření nezpracovaných výsledků události a dotaz použitý v Log Analytics, a to tak, že vyberete > události.For each exploration query, you can select the option to open the raw event results and the query used in Log Analytics, by selecting Events>.

  5. Aby bylo možné porozumět incidentu, graf vám nabídne paralelní časovou osu.In order to understand the incident, the graph gives you a parallel timeline.

    Zobrazit časovou osu v mapě

  6. Najeďte myší na časovou osu, abyste viděli, které věci v grafu nastaly v daném časovém okamžiku.Hover over the timeline to see which things on the graph occurred at what point in time.

    Použití časové osy v mapě k prozkoumání výstrah

Uzavření incidentuClosing an incident

Po vyřešení konkrétního incidentu (například když vaše šetření dosáhlo svého uzavření) byste měli nastavit stav incidentu na Uzavřeno.Once you have resolved a particular incident (for example, when your investigation has reached its conclusion), you should set the incident’s status to Closed. Když to uděláte, budete požádáni o klasifikaci incidentu tím, že zadáte důvod, který ho zavíráte.When you do so, you will be asked to classify the incident by specifying the reason you are closing it. Tento krok je povinný.This step is mandatory. Klikněte na Vybrat klasifikaci a v rozevíracím seznamu vyberte jednu z následujících možností:Click Select classification and choose one of the following from the drop-down list:

  • Pravdivá pozitivní podezřelá aktivitaTrue Positive - suspicious activity
  • Neškodné kladné podezřelé, ale očekávanéBenign Positive - suspicious but expected
  • Falešně pozitivní – nekorektní logika výstrahyFalse Positive - incorrect alert logic
  • Falešně pozitivní – nesprávná dataFalse Positive - incorrect data
  • NeurčenéUndetermined

Snímek obrazovky, který zvýrazní klasifikace dostupné v seznamu vybrat klasifikace.

Po zvolení příslušné klasifikace přidejte do pole Komentář nějaký popisný text.After choosing the appropriate classification, add some descriptive text in the Comment field. To bude užitečné v případě, že se potřebujete vrátit k tomuto incidentu.This will be useful in the event you need to refer back to this incident. Až budete hotovi, klikněte na použít a incident se uzavře.Click Apply when you’re done, and the incident will be closed.

Snímek obrazovky, který zvýrazní klasifikace dostupné v seznamu vybrat klasifikace.

Další krokyNext steps

V tomto kurzu jste zjistili, jak začít s vyšetřováním incidentů pomocí služby Azure Sentinel.In this tutorial, you learned how to get started investigating incidents using Azure Sentinel. Přejděte k kurzu, jak reagovat na hrozby pomocí automatizovaného playbooky.Continue to the tutorial for how to respond to threats using automated playbooks.

Reakce na hrozby pro automatizaci reakcí na hrozby.Respond to threats to automate your responses to threats.