Esercitazione: Esaminare i case con Sentinel anteprima di AzureTutorial: Investigate cases with Azure Sentinel Preview

Importante

Azure Sentinel è attualmente in anteprima pubblica.Azure Sentinel is currently in public preview. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features might not be supported or might have constrained capabilities. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Questa esercitazione consente di rilevare le minacce con Sentinel di Azure.This tutorial helps you detect threats with Azure Sentinel.

Dopo aver le origini dati connesse Sentinel di Azure, si desidera ricevere una notifica quando succede qualcosa di sospetto.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Per consentire a tale scopo, Azure Sentinel consente di che creare avanzato e le regole di avviso, che generano i casi in cui è possibile assegnare per analizzare completamente le anomalie e le minacce nell'ambiente in uso.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate cases that you can assign and use to deeply investigate anomalies and threats in your environment.

  • Creare i caseCreate cases
  • Analizzare i casiInvestigate cases
  • Rispondere alle minacceRespond to threats

Analizzare i casiInvestigate cases

Un caso può includere più avvisi.A case can include multiple alerts. È un'aggregazione di tutti gli elementi di prova per un'analisi specifiche.It's an aggregation of all the relevant evidence for a specific investigation. Un caso viene creato in avvisi definiti in base il Analitica pagina.A case is created based on alerts you defined in the Analytics page. Vengono impostate le proprietà correlate agli avvisi, ad esempio stato e la gravità al livello del case.The properties related to the alerts, such as severity and status are set at the case level. Dopo che si lascia che Azure Sentinel sapere quali tipi di minacce che si sta cercando e metodi per individuarli, è possibile monitorare le minacce rilevate con l'analisi dei casi.After you let Azure Sentinel know what kinds of threats you're looking for and how to find them, you can monitor threats that are detected by investigating cases.

  1. Selezionare casi.Select Cases. Il casi pagina consente di sapere quanti case si dispone, quanti sono aprire, quanti è stata impostata su In corso, e quanti sono chiusi.The Cases page lets you know how many cases you have, how many are open, how many you've set to In progress, and how many are closed. Per ogni caso, è possibile visualizzare l'ora in cui che si è verificato e lo stato del case.For each case, you can see the time it occurred, and the status of the case. Esaminare il livello di gravità a decidere come gestire prima.Look at the severity to decide what to handle first. Nel casi pagina, fare clic sui avvisi scheda per visualizzare tutti gli avvisi correlati a un case.In the Cases page, click the Alerts tab to see all the alerts that are related to a case. Le entità che è stata mappata in precedenza come parte del case può essere visualizzati nei entità scheda. È possibile filtrare i case in base alle esigenze, ad esempio per lo stato o gravità.Entities that you mapped earlier as part of the case can be viewed in the Entities tab. You can filter the cases as needed, for example by status or severity. Quando si esamina il casi scheda, si noterà open case che contengono gli avvisi attivati per le regole di rilevamento nella Analitica.When you look at the Cases tab, you'll see open cases that contain alerts triggered by your detection rules defined in Analytics. Nella parte superiore si noterà i casi attivi, i nuovi casi e, in casi lo stato di avanzamento.Across the top you'll see your active cases, new cases and in progress cases. È anche possibile visualizzare una panoramica di tutti i case in base alla gravità.You can also see an overview of all your cases by severity.

    Dashboard degli avvisi

  2. Per avviare un'indagine, fare clic su un caso specifico.To begin an investigation, click on a specific case. A destra, è possibile visualizzare informazioni dettagliate per il case, inclusi la gravità, riepilogo del numero di entità coinvolte (basata su un mapping).On the right, you can see detailed information for the case including its severity, summary of the number of entities involved (based on your mapping). Ogni case ha un ID univoco.Each case has a unique ID. La gravità del case è determinata in base all'avviso più grave incluso nel caso.The severity of the case is determined according to the most severe alert included in the case.

  3. Per visualizzare altri dettagli sulle entità e gli avvisi nel caso, fare clic su visualizzare i dettagli completi nel caso di pagina e analizzare le schede rilevanti che riepilogano le informazioni del caso.To view more details about the alerts and entities in the case, click on View full details in the case page and review the relevant tabs that summarize the case information. Vista completa case consolida tutte le prove nell'avviso, agli avvisi associati e le entità.Full case view consolidates all evidence in the alert, the associated alerts, and entities.

  4. Nel avvisi scheda, esaminare l'avviso, quando è stata attivata e da quanto ha superato le soglie impostate.In the Alerts tab, review the alert itself - when it was triggered and by how much it exceeded the thresholds you set. È possibile visualizzare tutte le informazioni pertinenti relative all'avviso: la query che ha attivato l'avviso, il numero di risultati restituiti per ogni query e la possibilità di eseguire Playbook per gli avvisi.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts. Eseguire il drill-verso il basso, ulteriormente nel case, fare clic sul numero di riscontri.To drill down even further into the case, click on the number of hits. Verrà visualizzata la query che ha generato i risultati e i risultati che ha attivato l'avviso in Log Analitica.This opens the query that generated the results and the results that triggered the alert in Log Analytics.

  5. Nel entità scheda, è possibile visualizzare tutte le entità che è stata mappata come parte della definizione della regola di avviso.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

  6. Se si sta attivamente esaminando un case, è consigliabile impostare lo stato del caso In corso fino a quando non si chiude.If you're actively investigating a case, it's a good idea to set the case status to In progress until you close it. È anche possibile chiudere il caso in cui chiuso risolto è lo stato per i casi che indicano che un evento imprevisto è stato gestito, mentre chiuso dismissed è lo stato per i casi che non richiedono una gestione.You can also close the case, where closed resolved is the status for cases that indicate that an incident was handled, while closed dismissed is the status for cases that don't require handling. Le spiegazioni sono necessari che spiega i motivi per un caso di chiusura.Explanations are required explaining your reasoning for closing a case.

  7. Casi possono essere assegnati a un utente specifico.Cases can be assigned to a specific user. Per ogni caso è possibile assegnare un proprietario, impostando il case proprietario campo.For each case you can assign an owner, by setting the case owner field. Iniziano tutti casi come non assegnati.All cases start as unassigned. È possibile analizzare i casi e filtrare per il nome per visualizzare tutti i case che si è proprietari.You can go into the cases and filter by your name to see all the cases that you own.

  8. Fare clic su ricerca causa per visualizzare la mappa dell'indagine e l'ambito della violazione con i passaggi correttivi.Click Investigate to view the investigation map and scope of the breach with remediation steps.

Rispondere alle minacceRespond to threats

Sentinel Azure offre due opzioni principali per rispondere alle minacce tramite Playbook.Azure Sentinel gives you two primary options for responding to threats using playbooks. È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso oppure è possibile eseguire manualmente un playbook in risposta a un avviso.You can set a playbook to run automatically when an alert is triggered, or you can manually run a playbook in response to an alert.

  • È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso quando si configura il playbook.You can set a playbook to run automatically when an alert is triggered when you configure the playbook.

  • È possibile eseguire manualmente un playbook all'interno dell'avviso, facendo clic Visualizza i Playbook e quindi selezionando un playbook per l'esecuzione.You can manually run a playbook from inside the alert, by clicking View playbooks and then selecting a playbook to run.

Passaggi successiviNext steps

In questa esercitazione è stato descritto come iniziare a usare analisi di casi usando Azure Sentinel.In this tutorial, you learned how to get started investigating cases using Azure Sentinel. Continuare con l'esercitazione come rispondere alle minacce tramite Playbook automatizzati.Continue to the tutorial for how to respond to threats using automated playbooks.

Rispondere alle minacce per automatizzare le risposte alle minacce.Respond to threats to automate your responses to threats.