Incidensek vizsgálata a Microsoft Sentinellel

  • Cikk
  • 9 perc alatt elolvasható

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és az elkövetkező hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Fontos

A feljegyzett funkciók jelenleg előzetes verzióban érhetők el. Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon általánosan még nem elérhető Azure-funkciókra vonatkoznak.

Ez a cikk segítséget nyújt a Microsoft Sentinel incidenseinek kivizsgálásában. Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, szeretne értesítést kapni, ha valami gyanús történik. Ennek lehetővé tétele érdekében a Microsoft Sentinel lehetővé teszi olyan speciális elemzési szabályok létrehozását, amelyek incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat.

Ez a cikk a következőket ismerteti:

  • Incidensek vizsgálata
  • A vizsgálati gráf használata
  • Reagálás a fenyegetésekre

Az incidensek több riasztást is tartalmazhatnak. Ez egy adott vizsgálathoz szükséges összes bizonyíték összesítése. Az incidens az Elemzés oldalon létrehozott elemzési szabályok alapján jön létre. A riasztásokhoz kapcsolódó tulajdonságok, például a súlyosság és az állapot az incidens szintjén vannak beállítva. Miután tudatta a Microsoft Sentinellel, hogy milyen típusú fenyegetéseket keres, és hogyan találja meg őket, az incidensek vizsgálatával figyelheti az észlelt fenyegetéseket.

Előfeltételek

  • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

  • Ha van egy vendégfelhasználója, akinek incidenseket kell hozzárendelnie, a felhasználóhoz hozzá kell rendelni a címtárolvasó szerepkört a Azure AD bérlőben. A normál (nem vendég) felhasználókhoz alapértelmezés szerint hozzá van rendelve ez a szerepkör.

Incidensek vizsgálata

  1. Válassza az Incidensek lehetőséget. Az Incidensek oldalon megtudhatja , hogy hány incidense van, és hogy újak, aktívak vagy lezártak-e. Az egyes incidensek esetében láthatja az esemény bekövetkezésének időpontját és állapotát. A súlyosság alapján döntse el, hogy mely incidenseket kell először kezelnie.

    Screenshot of view of incident severity.

  2. Szükség szerint szűrheti az incidenseket, például állapot vagy súlyosság szerint. További információ: Incidensek keresése.

  3. A vizsgálat megkezdéséhez válasszon ki egy adott incidenst. A jobb oldalon részletes információkat láthat az incidensről, beleértve annak súlyosságát, az érintett entitások számának összegzését, az incidenst kiváltó nyers eseményeket, az incidens egyedi azonosítóját, valamint a MITRE ATT&CK-taktikákat és technikákat.

  4. Az incidensben szereplő riasztásokkal és entitásokkal kapcsolatos további részletek megtekintéséhez válassza a Teljes részletek megtekintése lehetőséget az incidens oldalán, és tekintse át az incidens adatait összegző megfelelő lapokat.

    Screenshot of view of alert details.

    • Az Idősor lapon tekintse át az incidens riasztásainak és könyvjelzőinek idővonalát, amely segíthet rekonstruálni a támadó tevékenységének idővonalát.

    • A Hasonló incidensek (előzetes verzió) lapon legfeljebb 20 további incidenst láthat, amelyek a leginkább hasonlítanak az aktuális incidensre. Ez lehetővé teszi az incidens nagyobb kontextusban való megtekintését, és segít a vizsgálat irányításában. A hasonló incidensekről az alábbiakban talál további információt.

    • A Riasztások lapon tekintse át az incidensben szereplő riasztásokat. Látni fogja a riasztásokkal kapcsolatos összes releváns információt – az azokat előállító elemzési szabályokat, az egyes riasztásokra visszaadott eredmények számát, valamint a forgatókönyvek futtatásának képességét a riasztásokon. Az incidens további részletezéséhez válassza ki az események számát. Ez megnyitja az eredményeket létrehozó lekérdezést, valamint a riasztást kiváltó eseményeket a Log Analyticsben.

    • A Könyvjelzők lapon láthatja az ön vagy más nyomozók által az incidenshez kapcsolódó könyvjelzőket. További információ a könyvjelzőkről.

    • Az Entitások lapon láthatja a riasztási szabály definíciójának részeként leképezett összes entitást. Ezek azok az objektumok, amelyek szerepet játszottak az incidensben, legyen szó felhasználókról, eszközökről, címekről, fájlokról vagy bármilyen más típusról.

    • Végül a Megjegyzések lapon hozzáadhatja megjegyzéseit a vizsgálathoz, és megtekintheti a többi elemző és nyomozó megjegyzéseit. További információ a megjegyzésekről.

  5. Ha aktívan vizsgálja az incidenst, érdemes az incidens állapotát Aktív értékre állítani, amíg be nem zárja.

  6. Az incidensek hozzárendelhetők egy adott felhasználóhoz vagy csoporthoz. Minden incidenshez tulajdonost rendelhet a Tulajdonos mező beállításával. Minden incidens hozzárendelés nélküliként kezdődik. Megjegyzéseket is hozzáadhat, így más elemzők is megérthetik, hogy mit vizsgált meg, és milyen aggályai vannak az incidenssel kapcsolatban.

    Screenshot of assigning incident to user.

    A legutóbb kijelölt felhasználók és csoportok a képen látható legördülő lista tetején jelennek meg.

  7. Válassza a Vizsgálat lehetőséget a vizsgálati térkép megtekintéséhez.

A vizsgálati gráf használata a részletes elemzéshez

A vizsgálati gráf lehetővé teszi az elemzők számára, hogy minden vizsgálathoz megfelelő kérdéseket tegyenek fel. A vizsgálati gráf segítségével megismerheti a potenciális biztonsági fenyegetések hatókörét és kiváltó okát, és összevetheti a releváns adatokat az érintett entitásokkal. Részletesebben is megvizsgálhatja a gráfban megjelenő entitásokat, ha kiválasztja azt, és kiválasztja a különböző bővítési lehetőségeket.

A vizsgálati gráf a következőket biztosítja:

  • Vizuális környezet nyers adatokból: Az élő, vizualizációs gráf a nyers adatokból automatikusan kinyert entitáskapcsolatokat jeleníti meg. Ez lehetővé teszi a különböző adatforrások közötti kapcsolatok egyszerű megtekintését.

  • Teljes vizsgálati hatókör-felderítés: A vizsgálati hatókör bővítése beépített feltárási lekérdezésekkel a biztonsági incidensek teljes hatókörének feltárásához.

  • Beépített vizsgálati lépések: Előre definiált feltárási lehetőségekkel gondoskodhat arról, hogy a megfelelő kérdéseket tegye fel egy fenyegetéssel szemben.

A vizsgálati gráf használata:

  1. Jelöljön ki egy incidenst, majd válassza a Vizsgálat lehetőséget. Ezzel megnyitja a vizsgálati gráfot. A gráf szemléltető térképet biztosít a riasztáshoz közvetlenül kapcsolódó entitásokról és a további csatlakoztatott erőforrásokról.

    View map.

    Fontos

    • Csak akkor tudja kivizsgálni az incidenst, ha az entitásleképezési mezőket használta az elemzési szabály beállításakor. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.

    • A Microsoft Sentinel jelenleg 30 naposnál régebbi incidensek kivizsgálását támogatja.

  2. Válasszon ki egy entitást az Entitások panel megnyitásához, hogy áttekinthesse az entitásra vonatkozó információkat.

    View entities in map

  3. Bontsa ki a vizsgálatot úgy, hogy az egyes entitások fölé viszi az egérmutatót, hogy megjelenítse a biztonsági szakértők és elemzők által entitástípusonként tervezett kérdések listáját a vizsgálat elmélyítése érdekében. Ezeket a lehetőségeket feltáró lekérdezéseknek nevezzük.

    Explore more details

    Kérhet például kapcsolódó riasztásokat. Ha egy feltárási lekérdezést választ, az eredményként kapott feljogosító adatok visszakerülnek a gráfba. Ebben a példában a Kapcsolódó riasztások kiválasztása a következő riasztásokat eredményezte a grafikonon:

    Screenshot: view related alerts

    Láthatja, hogy a kapcsolódó riasztások pontozott vonalakkal kapcsolódnak az entitáshoz.

  4. Az egyes feltárási lekérdezések esetében az Események> lehetőség kiválasztásával megnyithatja a nyers eseményeredményeket és a Log Analyticsben használt lekérdezést.

  5. Az incidens megértéséhez a gráf párhuzamos ütemtervet biztosít.

    Screenshot: view timeline in map.

  6. Vigye az egérmutatót az ütemterv fölé, és nézze meg, hogy a gráfon mely dolgok történtek az adott időpontban.

    Screenshot: use timeline in map to investigate alerts.'

A vizsgálat fókuszba helyezése

Megtudhatja, hogyan bővítheti vagy szűkítheti a vizsgálat hatókörét úgy, hogy riasztásokat ad hozzá az incidensekhez, vagy eltávolítja a riasztásokat az incidensekből.

Hasonló incidensek (előzetes verzió)

Biztonsági üzemeltetési elemzőként az incidensek kivizsgálásakor érdemes figyelni a nagyobb kontextusra. Például azt szeretné megtudni, hogy történtek-e már ilyen incidensek korábban vagy most.

  • Érdemes lehet azonosítani az egyidejű incidenseket, amelyek ugyanannak a nagyobb támadási stratégiának a részei lehetnek.

  • Előfordulhat, hogy a korábbi hasonló incidenseket szeretné referenciapontként használni a jelenlegi vizsgálathoz.

  • Előfordulhat, hogy azonosítani szeretné a korábbi hasonló incidensek tulajdonosait, hogy megkeresse azokat a személyeket az SOC-ben, akik több kontextust biztosíthatnak, vagy akiknek eszkalálhatja a nyomozást.

A hasonló incidensek lap az incidens részletei oldalon, amely most előzetes verzióban érhető el, akár 20 további incidenst is bemutat, amelyek a leginkább hasonlítanak az aktuálishoz. A hasonlóságot belső Microsoft Sentinel-algoritmusok számítják ki, és az incidensek rendezése és megjelenítése a hasonlóság csökkenő sorrendjében történik.

Screenshot of the similar incidents display.

Hasonlóság kiszámítása

A hasonlóság három feltétel alapján határozható meg:

  • Hasonló entitások: Az incidens hasonlónak minősül egy másik incidenshez, ha mindkettő ugyanazokat az entitásokat tartalmazza. Minél több entitásban fordul elő két incidens, annál inkább tekintik őket hasonlónak.

  • Hasonló szabály: Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha mindkettőt ugyanaz az elemzési szabály hozta létre.

  • Hasonló riasztási adatok: Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha ugyanazzal a címmel, terméknévvel és/vagy egyéni részletekkel rendelkeznek.

Az incidensek hasonló incidensek listájában megjelenő okai a Hasonlóság oka oszlopban jelennek meg. Vigye az egérmutatót az információ ikonra a gyakori elemek (entitások, szabálynév vagy részletek) megjelenítéséhez.

Screenshot of pop-up display of similar incident details.

Hasonlóság időkerete

Az incidensek hasonlóságát az incidens utolsó tevékenységét megelőző 14 nap adatai alapján számítjuk ki, amelyek az incidens legutóbbi riasztásának befejezési időpontjai.

Az incidensek hasonlóságát a rendszer minden alkalommal újraszámítja, amikor belép az incidens részleteit tartalmazó oldalra, így az eredmények munkamenetenként változhatnak, ha új incidenseket hoztak létre vagy frissítettek.

Megjegyzések az incidensekhez

Biztonsági üzemeltetési elemzőként az incidensek kivizsgálásakor alaposan dokumentálni kell az ön által végrehajtott lépéseket, mind a vezetőségnek való pontos jelentéskészítés, mind a munkatársak közötti zökkenőmentes együttműködés és együttműködés biztosítása érdekében. A Microsoft Sentinel gazdag megjegyzési környezetet biztosít, amely segít ennek megvalósításában.

Egy másik fontos dolog, amit megjegyzésekkel tehet, az incidensek automatikus bővítése. Amikor olyan incidens forgatókönyvét futtatja, amely releváns információkat kér le külső forrásokból (például egy víruskeresési fájlt a VirusTotalnál), a forgatókönyvben elhelyezheti a külső forrás válaszát – az Ön által megadott egyéb információkkal együtt – az incidens megjegyzéseiben.

A megjegyzések használata egyszerű. Ezeket az incidens részleteit tartalmazó lap Megjegyzések lapján érheti el.

Screenshot of viewing and entering comments.

Gyakori kérdések

Az incidensekkel kapcsolatos megjegyzések használatakor több szempontot is figyelembe kell venni. Az alábbi kérdéslista ezekre a szempontokra mutat.

Milyen típusú bemenetek támogatottak?

  • Szöveg: A Microsoft Sentinel megjegyzései egyszerű szöveges, egyszerű HTML- és Markdown-szövegbevitelt támogatnak. Másolt szöveget, HTML-t és Markdownt is beilleszthet a megjegyzésablakba.

  • Képek: A megjegyzésekben képekre mutató hivatkozásokat szúrhat be, és a képek beágyazottan jelennek meg, de a képeknek már nyilvánosan elérhető helyen kell lenniük, például Dropbox, OneDrive, Google Drive és hasonlók. A képek nem tölthetők fel közvetlenül megjegyzésekbe.

Van méretkorlát a megjegyzésekre vonatkozóan?

  • Megjegyzésenként: Egy megjegyzés legfeljebb 30 000 karaktert tartalmazhat.

  • Incidensenként: Egyetlen incidens legfeljebb 100 megjegyzést tartalmazhat.

    Megjegyzés

    A Log Analytics SecurityIncident táblájában található egyetlen incidensrekord méretkorlátja 64 KB. Ha túllépi ezt a korlátot, a megjegyzések (a legkorábbitól kezdődően) csonkulnak, ami hatással lehet a speciális keresési eredményekben megjelenő megjegyzésekre.

    Az incidensek adatbázisának tényleges incidensrekordjaira nem lesz hatással.

Who szerkesztheti vagy törölheti a megjegyzéseket?

  • Szerkesztés: Csak a megjegyzés szerzője rendelkezik szerkesztési engedéllyel.

  • Törlés: Csak a Microsoft Sentinel közreműködői szerepkörrel rendelkező felhasználók jogosultak a megjegyzések törlésére. A törléshez még a megjegyzés szerzőjének is rendelkeznie kell ezzel a szerepkörével.

Incidens lezárása

Miután megoldott egy adott incidenst (például amikor a vizsgálat lezárult), az incidens lezárt állapotúra kell állítania. Ha így tesz, a rendszer megkéri, hogy sorolja be az incidenst a lezárás okának megadásával. Ez a lépés kötelező. Kattintson a Besorolás kiválasztása gombra, és válasszon az alábbi lehetőségek közül a legördülő listából:

  • Valós pozitív – gyanús tevékenység
  • Jóindulatú pozitív – gyanús, de nem váratlan
  • Álpozitív – helytelen riasztási logika
  • Álpozitív – helytelen adatok
  • Meghatározatlan

Screenshot that highlights the classifications available in the Select classification list.

A vakriasztásokról és a jóindulatú pozitívokról további információt a Microsoft Sentinel hamis pozitívjainak kezelése című témakörben talál.

A megfelelő besorolás kiválasztása után adjon hozzá egy leíró szöveget a Megjegyzés mezőben. Ez akkor lehet hasznos, ha vissza kell hivatkoznia erre az incidensre. Ha elkészült, kattintson az Alkalmaz gombra, és az incidens lezárul.

{alt-text}

Incidensek keresése

Egy adott incidens gyors megkereséséhez írjon be egy keresési sztringet az incidensek rácsa feletti keresőmezőbe, és nyomja le az Enter billentyűt az incidensek listájának megfelelő módosításához. Ha az incidens nem szerepel a találatok között, érdemes lehet leszűkíteni a keresést a Speciális keresési beállítások használatával.

A keresési paraméterek módosításához kattintson a Keresés gombra, majd válassza ki azokat a paramétereket, ahol futtatni szeretné a keresést.

Például:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Alapértelmezés szerint az incidenskeresések csak az incidensazonosító, a cím, a címkék, a tulajdonos és a terméknév értékein futnak. A keresési panelen görgessen lefelé a listában egy vagy több további keresendő paraméter kiválasztásához, majd válassza az Alkalmaz gombot a keresési paraméterek frissítéséhez. A Beállítás elemet választva állítsa alaphelyzetbe a kijelölt paramétereket az alapértelmezett beállításra.

Megjegyzés

A Tulajdonos mezőben található keresések a neveket és az e-mail-címeket egyaránt támogatják.

A speciális keresési beállítások használata az alábbiak szerint módosítja a keresés működését:

Keresési viselkedés Leírás
Keresés gomb színe A keresési gomb színe a keresésben jelenleg használt paraméterek típusától függően változik.
  • Amíg csak az alapértelmezett paraméterek vannak kiválasztva, a gomb szürke.
  • Amint különböző paramétereket, például speciális keresési paramétereket választ ki, a gomb kék színűre változik.
Automatikus frissítés A speciális keresési paraméterek használatával nem választhatja ki, hogy automatikusan frissítse az eredményeket.
Entitásparaméterek A speciális keresésekhez minden entitásparaméter támogatott. Bármely entitásparaméterben való kereséskor a keresés az összes entitásparaméterben lefut.
Keresés a sztringekben A szósztring keresése magában foglalja a keresési lekérdezésben szereplő összes szót. A keresési sztringek megkülönböztetik a kis- és nagybetűket.
Munkaterületek közötti támogatás A több munkaterületet felölelő nézetek esetén nem támogatott az összetett keresés.
Megjelenített keresési eredmények száma Ha speciális keresési paramétereket használ, egyszerre csak 50 találat jelenik meg.

Tipp

Ha nem találja a keresett incidenst, távolítsa el a keresési paramétereket a keresés kibontásához. Ha a keresés túl sok elemet eredményez, további szűrőkkel szűkítheti a találatokat.

Következő lépések

Ebből a cikkből megtudhatta, hogyan kezdheti meg az incidensek kivizsgálását a Microsoft Sentinel használatával. További információkért lásd: