Esercitazione: esaminare gli eventi imprevisti con Sentinel di AzureTutorial: Investigate incidents with Azure Sentinel

Importante

Il grafico di analisi è attualmente disponibile in anteprima pubblica.The investigation graph is currently in public preview. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This feature is provided without a service level agreement, and it's not recommended for production workloads. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Questa esercitazione consente di esaminare gli eventi imprevisti con Sentinel di Azure.This tutorial helps you investigate incidents with Azure Sentinel. Dopo aver connesso le origini dati ad Azure Sentinel, è necessario ricevere una notifica quando si verifica un evento sospetto.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Per consentire l'esecuzione di questa operazione, Azure Sentinel consente di creare regole di avviso avanzate che generano eventi imprevisti che è possibile assegnare ed esaminare.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate incidents that you can assign and investigate.

Questo articolo riguarda:This article covers:

  • Analizzare gli eventi imprevistiInvestigate incidents
  • Usare il grafico di analisiUse the investigation graph
  • Rispondere alle minacceRespond to threats

Un evento imprevisto può includere più avvisi.An incident can include multiple alerts. Si tratta di un'aggregazione di tutte le evidenze rilevanti per un'indagine specifica.It's an aggregation of all the relevant evidence for a specific investigation. Viene creato un evento imprevisto in base alle regole analitiche create nella pagina di analisi .An incident is created based on analytic rules that you created in the Analytics page. Le proprietà correlate agli avvisi, ad esempio la gravità e lo stato, vengono impostate a livello di evento imprevisto.The properties related to the alerts, such as severity, and status, are set at the incident level. Quando si lascia che Azure Sentinel conosca quali tipi di minacce si sta cercando e come trovarli, è possibile monitorare le minacce rilevate esaminando gli eventi imprevisti.After you let Azure Sentinel know what kinds of threats you're looking for and how to find them, you can monitor detected threats by investigating incidents.

PrerequisitiPrerequisites

È possibile esaminare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytic rule. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.The investigation graph requires that your original incident includes entities.

Come analizzare gli eventi imprevistiHow to investigate incidents

  1. Selezionare eventi imprevisti.Select Incidents. Nella pagina eventi imprevisti è possibile verificare il numero di eventi imprevisti, il numero di eventi aperti, il numero di eventi impostati in corsoe il numero di eventi chiusi.The Incidents page lets you know how many incidents you have, how many are open, how many you've set to In progress, and how many are closed. Per ogni evento imprevisto, è possibile visualizzare l'ora in cui si è verificata e lo stato dell'evento imprevisto.For each incident, you can see the time it occurred, and the status of the incident. Esaminare la gravità per decidere quali eventi imprevisti gestire per primi.Look at the severity to decide which incidents to handle first.

    Visualizza gravità evento imprevisto

  2. È possibile filtrare gli eventi imprevisti in base alle esigenze, ad esempio in base allo stato o alla gravità.You can filter the incidents as needed, for example by status or severity.

  3. Per iniziare un'indagine, selezionare un evento imprevisto specifico.To begin an investigation, select a specific incident. A destra è possibile visualizzare informazioni dettagliate per l'evento imprevisto, tra cui la gravità, il riepilogo del numero di entità interessati, gli eventi non elaborati che hanno attivato l'evento imprevisto e l'ID univoco dell'evento imprevisto.On the right, you can see detailed information for the incident including its severity, summary of the number of entities involved, the raw events that triggered this incident, and the incident’s unique ID.

  4. Per visualizzare ulteriori dettagli sugli avvisi e le entità nell'evento imprevisto, selezionare Visualizza dettagli completi nella pagina evento imprevisto ed esaminare le schede pertinenti che riepilogano le informazioni sull'evento imprevisto.To view more details about the alerts and entities in the incident, select View full details in the incident page and review the relevant tabs that summarize the incident information. Nella scheda avvisi esaminare l'avviso stesso.In the Alerts tab, review the alert itself. È possibile visualizzare tutte le informazioni rilevanti relative all'avviso, ovvero la query che ha attivato l'avviso, il numero di risultati restituiti per ogni query e la possibilità di eseguire PlayBook negli avvisi.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts. Per eseguire il drill-down anche ulteriormente nell'evento imprevisto, selezionare il numero di eventi.To drill down even further into the incident, select the number of Events. Verrà visualizzata la query che ha generato i risultati e gli eventi che hanno attivato l'avviso in Log Analytics.This opens the query that generated the results and the events that triggered the alert in Log Analytics. Nella scheda entità è possibile visualizzare tutte le entità di cui è stato eseguito il mapping come parte della definizione della regola di avviso.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

    Visualizzare i dettagli relativi all'avviso

  5. Se si sta esaminando attivamente un evento imprevisto, è consigliabile impostare lo stato dell'evento imprevisto su in corso fino a quando non lo si chiude.If you're actively investigating an incident, it's a good idea to set the incident's status to In progress until you close it.

  6. Gli eventi imprevisti possono essere assegnati a un utente specifico.Incidents can be assigned to a specific user. Per ogni evento imprevisto è possibile assegnare un proprietario impostando il campo proprietario evento imprevisto .For each incident you can assign an owner, by setting the Incident owner field. Tutti gli eventi imprevisti iniziano come non assegnati.All incidents start as unassigned. È anche possibile aggiungere commenti in modo che altri analisti siano in grado di comprendere cosa è stato esaminato e quali sono le preoccupazioni relative all'evento imprevisto.You can also add comments so that other analysts will be able to understand what you investigated and what your concerns are around the incident.

    Assegna evento imprevisto all'utente

  7. Selezionare esamina per visualizzare la mappa di analisi.Select Investigate to view the investigation map.

Usare il grafico di indagine per approfondireUse the investigation graph to deep dive

Il grafico di indagine consente agli analisti di porre le domande corrette per ogni indagine.The investigation graph enables analysts to ask the right questions for each investigation. Il grafico di analisi consente di comprendere l'ambito e identificare la causa principale di una potenziale minaccia per la sicurezza correlando i dati rilevanti con qualsiasi entità interessata.The investigation graph helps you understand the scope, and identify the root cause, of a potential security threat by correlating relevant data with any involved entity. È possibile approfondire e analizzare le entità presentate nel grafico selezionandolo e scegliendo tra diverse opzioni di espansione.You can dive deeper and investigate any entity presented in the graph by selecting it and choosing between different expansion options.

Il grafico di indagine fornisce:The investigation graph provides you with:

  • Contesto visivo da dati non elaborati: il grafico visuale attivo Visualizza le relazioni di entità estratte automaticamente dai dati non elaborati.Visual context from raw data: The live, visual graph displays entity relationships extracted automatically from the raw data. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse.This enables you to easily see connections across different data sources.

  • Individuazione completa dell'ambito di analisi: espandere l'ambito di analisi usando le query di esplorazione predefinite per individuare l'ambito completo di una violazione.Full investigation scope discovery: Expand your investigation scope using built-in exploration queries to surface the full scope of a breach.

  • Procedure di analisi predefinite: usare opzioni di esplorazione predefinite per assicurarsi di porre le domande corrette in caso di minaccia.Built-in investigation steps: Use predefined exploration options to make sure you are asking the right questions in the face of a threat.

Per usare il grafico di analisi:To use the investigation graph:

  1. Selezionare un evento imprevisto, quindi fare clic suCerca.Select an incident, then select Investigate. In questo modo si passa al grafico di analisi.This takes you to the investigation graph. Il grafico fornisce una mappa illustrativa delle entità connesse direttamente all'avviso e ogni risorsa è connessa.The graph provides an illustrative map of the entities directly connected to the alert and each resource connected further.

    Importante

    È possibile esaminare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytic rule. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.The investigation graph requires that your original incident includes entities.

    Visualizzare la mappa

  2. Selezionare un'entità per aprire il riquadro entità in modo da poter esaminare le informazioni relative a tale entità.Select an entity to open the Entities pane so you can review information on that entity.

    Visualizza entità nella mappa

  3. Espandi la tua indagine posizionando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per tipo di entità per approfondire l'analisi.Expand your investigation by hovering over each entity to reveal a list of questions that was designed by our security experts and analysts per entity type to deepen your investigation. Queste query sono denominate opzioni di esplorazione.We call these options exploration queries.

    Esplora altri dettagli

    Ad esempio, in un computer è possibile richiedere avvisi correlati.For example, on a computer you can request related alerts. Se si seleziona una query di esplorazione, i titoli risultanti vengono aggiunti di nuovo al grafico.If you select an exploration query, the resulting entitles are added back to the graph. In questo esempio, se si selezionano gli avvisi correlati , nel grafico vengono restituiti gli avvisi seguenti:In this example, selecting Related alerts returned the following alerts into the graph:

    Visualizza avvisi correlati

  4. Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati degli eventi non elaborati e la query utilizzata in Log Analytics, selezionando **gli eventi > **.For each exploration query, you can select the option to open the raw event results and the query used in Log Analytics, by selecting Events>.

  5. Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.In order to understand the incident, the graph gives you a parallel timeline.

    Visualizza sequenza temporale nella mappa

  6. Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in un determinato momento.Hover over the timeline to see which things on the graph occurred at what point in time.

    Usare la sequenza temporale nella mappa per esaminare gli avvisi

Chiusura di un evento imprevistoClosing an incident

Una volta risolto un evento imprevisto specifico, ad esempio quando l'indagine ha raggiunto la conclusione, è necessario impostare lo stato dell'evento imprevisto su chiuso.Once you have resolved a particular incident (for example, when your investigation has reached its conclusion), you should set the incident’s status to Closed. Quando si esegue questa operazione, verrà richiesto di classificare l'evento imprevisto specificando il motivo della chiusura.When you do so, you will be asked to classify the incident by specifying the reason you are closing it. Questo passaggio è obbligatorio.This step is mandatory. Fare clic su Seleziona classificazione e scegliere una delle seguenti opzioni nell'elenco a discesa:Click Select classification and choose one of the following from the drop-down list:

  • Vero positivo-attività sospettaTrue Positive - suspicious activity
  • Benigno positivo-sospetto ma previstoBenign Positive - suspicious but expected
  • Falso positivo: logica di avviso non correttaFalse Positive - incorrect alert logic
  • Falso positivo: dati non correttiFalse Positive - incorrect data
  • Non determinatoUndetermined

{alt-text}

Dopo aver scelto la classificazione appropriata, aggiungere un testo descrittivo nel campo del Commento .After choosing the appropriate classification, add some descriptive text in the Comment field. Questa operazione sarà utile nel caso in cui sia necessario riferire a questo evento imprevisto.This will be useful in the event you need to refer back to this incident. Al termine, fare clic su applica per chiudere l'evento imprevisto.Click Apply when you’re done, and the incident will be closed.

{alt-text}

Passaggi successiviNext steps

In questa esercitazione si è appreso come iniziare a esaminare gli eventi imprevisti usando Sentinel di Azure.In this tutorial, you learned how to get started investigating incidents using Azure Sentinel. Continuare con l'esercitazione su come rispondere alle minacce usando i PlayBook automatici.Continue to the tutorial for how to respond to threats using automated playbooks.

Rispondere alle minacce per automatizzare le risposte alle minacce.Respond to threats to automate your responses to threats.