Analizzare gli eventi imprevisti con Microsoft Azure Sentinel

Articolo
10/18/2023

Importante

Le funzionalità annotate sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Questo articolo consente di analizzare gli eventi imprevisti con Microsoft Sentinel. Dopo aver connesso le origini dati a Microsoft Sentinel, si vuole ricevere una notifica quando si verifica un evento sospetto. Per eseguire questa operazione, Microsoft Sentinel consente di creare regole di analisi avanzate che generano eventi imprevisti che è possibile assegnare e analizzare.

Questo articolo tratta:

Eseguire indagini sugli eventi imprevisti
Usare il grafico di indagine
Rispondere alle minacce

Un evento imprevisto può includere più avvisi. Si tratta di un'aggregazione di tutte le prove pertinenti per un'indagine specifica. Un evento imprevisto viene creato in base alle regole di analisi create nella pagina Analisi . Le proprietà correlate agli avvisi, ad esempio gravità e stato, vengono impostate a livello di evento imprevisto. Dopo aver comunicato a Microsoft Sentinel quali tipi di minacce si stanno cercando e come trovarle, è possibile monitorare le minacce rilevate analizzando gli eventi imprevisti.

Prerequisiti

Sarà possibile analizzare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.
Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore directory nel tenant di Microsoft Entra. Gli utenti normali (non guest) hanno questo ruolo assegnato per impostazione predefinita.

Come analizzare gli eventi imprevisti

Selezionare Eventi imprevisti. La pagina Eventi imprevisti consente di conoscere il numero di eventi imprevisti presenti e se sono nuovi, attivi o chiusi. Per ogni evento imprevisto, è possibile visualizzare l'ora in cui si è verificato e lo stato dell'evento imprevisto. Esaminare la gravità per decidere quali eventi imprevisti gestire per primo.
È possibile filtrare gli eventi imprevisti in base alle esigenze, ad esempio in base allo stato o alla gravità. Per altre informazioni, vedere Cercare eventi imprevisti.
Per avviare un'indagine, selezionare un evento imprevisto specifico. A destra, è possibile visualizzare informazioni dettagliate sull'evento imprevisto, tra cui la relativa gravità, il riepilogo del numero di entità coinvolte, gli eventi non elaborati che hanno attivato questo evento imprevisto, l'ID univoco dell'evento imprevisto e qualsiasi tattica o tecniche MITRE ATT&CK mappate.
Per visualizzare altri dettagli sugli avvisi e sulle entità nell'evento imprevisto, selezionare Visualizza dettagli completi nella pagina degli eventi imprevisti ed esaminare le schede pertinenti che riepilogano le informazioni sull'evento imprevisto.
- Nella scheda Sequenza temporale esaminare la sequenza temporale degli avvisi e dei segnalibri nell'evento imprevisto, che consente di ricostruire la sequenza temporale dell'attività dell'utente malintenzionato.
- Nella scheda Eventi imprevisti simili (anteprima) verrà visualizzata una raccolta di fino a 20 altri eventi imprevisti più simili all'evento imprevisto corrente. Ciò consente di visualizzare l'evento imprevisto in un contesto più ampio e di indirizzare l'indagine. Altre informazioni su eventi imprevisti simili sono disponibili di seguito.
- Nella scheda Avvisi esaminare gli avvisi inclusi in questo evento imprevisto. Verranno visualizzate tutte le informazioni pertinenti sugli avvisi, ovvero le regole di analisi che le hanno generate, il numero di risultati restituiti per ogni avviso e la possibilità di eseguire playbook sugli avvisi. Per eseguire il drill-down ulteriormente nell'evento imprevisto, selezionare il numero di eventi. Verrà aperta la query che ha generato i risultati e gli eventi che hanno attivato l'avviso in Log Analytics.
- Nella scheda Segnalibri verranno visualizzati eventuali segnalibri collegati a questo evento imprevisto. Altre informazioni sui segnalibri.
- Nella scheda Entità è possibile visualizzare tutte le entità mappate come parte della definizione della regola di avviso. Si tratta degli oggetti che hanno svolto un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o altri tipi.
- Infine, nella scheda Commenti è possibile aggiungere i commenti sull'indagine e visualizzare eventuali commenti fatti da altri analisti e investigatori. Altre informazioni sui commenti.
Se si sta esaminando attivamente un evento imprevisto, è consigliabile impostare lo stato dell'evento imprevisto su Attivo fino a quando non viene chiuso.
Gli eventi imprevisti possono essere assegnati a un utente specifico o a un gruppo. Per ogni evento imprevisto è possibile assegnare un proprietario impostando il campo Proprietario . Tutti gli eventi imprevisti iniziano come non assegnati. È anche possibile aggiungere commenti in modo che altri analisti siano in grado di comprendere cosa è stato esaminato e quali sono le preoccupazioni relative all'evento imprevisto.

Gli utenti e i gruppi selezionati di recente verranno visualizzati nella parte superiore dell'elenco a discesa con immagine.
Selezionare Ricerca per visualizzare la mappa di indagine.

Utilizzare il grafico di indagine per un approfondimento

Il grafico di indagine consente agli analisti di porre le domande giuste per ogni indagine. Usando il grafico di indagine si possono ottenere informazioni sull'ambito e identificare la causa radice di una minaccia potenziale alla sicurezza mediante la correlazione di dati rilevanti con eventuali entità interessate. È possibile approfondire e analizzare eventuali entità presentate nel grafico selezionandolo e scegliendo tra diverse opzioni di espansione.

Il grafico di indagine offre:

Contesto visivo basato sui dati non elaborati: il grafico visivo live consente di visualizzare le relazioni di entità estratte automaticamente dai dati non elaborati. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse.
Individuazione completa dell'ambito di indagine: è possibile espandere l'ambito dell'indagine usando query di esplorazione predefinite per esporre l'ambito completo della violazione.
Passaggi di indagine predefiniti: si possono usare le opzioni di esplorazione predefinite per assicurarsi di porre le domande corrette in caso di minaccia.

Per usare il grafico di indagine:

Selezionare un evento imprevisto, quindi Ricerca causa. In questo modo si passa al grafico di indagine. Il grafico fornisce una mappa illustrativa delle entità direttamente collegate all'avviso e a ogni ulteriore risorsa collegata.
Importante
- Sarà possibile analizzare l'evento imprevisto solo se sono stati usati i campi di mapping delle entità quando si configura la regola di analisi. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.
- Microsoft Sentinel supporta attualmente l'analisi degli eventi imprevisti fino a 30 giorni prima.
Selezionare un'entità per aprire il riquadro Entità in modo da poter esaminare le informazioni su tale entità.
Espandere l'indagine passando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per ogni tipo di entità per approfondire l'indagine. Queste opzioni vengono chiamate query di esplorazione.

Ad esempio, è possibile richiedere avvisi correlati. Se si seleziona una query di esplorazione, le autorizzazioni risultanti vengono aggiunte di nuovo al grafico. In questo esempio, selezionando Avvisi correlati, sono stati restituiti gli avvisi seguenti nel grafico:

Verificare che gli avvisi correlati vengano visualizzati connessi all'entità da linee tratteggiate.
Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati dell'evento non elaborato e la query usata in Log Analytics selezionando Eventi>.
Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.
Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in quale momento.

Concentrarsi sull'indagine

Informazioni su come ampliare o restringere l'ambito dell'indagine aggiungendo avvisi agli eventi imprevisti o rimuovendo avvisi dagli eventi imprevisti.

Eventi imprevisti simili (anteprima)

In qualità di analista delle operazioni di sicurezza, quando si esamina un evento imprevisto, è consigliabile prestare attenzione al contesto più ampio. Ad esempio, è consigliabile verificare se altri eventi imprevisti come questo si sono verificati prima o stanno accadendo ora.

È possibile identificare eventi imprevisti simultanei che possono far parte della stessa strategia di attacco più grande.
Potrebbe essere necessario identificare eventi imprevisti simili in passato, per usarli come punti di riferimento per l'indagine corrente.
È possibile identificare i proprietari di eventi imprevisti simili precedenti, per trovare le persone nel SOC che possono fornire più contesto o a cui è possibile inoltrare l'indagine.

La scheda eventi imprevisti simili nella pagina dei dettagli dell'evento imprevisto, ora in anteprima, presenta fino a 20 altri eventi imprevisti più simili a quello corrente. La somiglianza viene calcolata dagli algoritmi interni di Microsoft Sentinel e gli eventi imprevisti vengono ordinati e visualizzati in ordine decrescente di somiglianza.

Calcolo della somiglianza

Esistono tre criteri in base ai quali viene determinata la somiglianza:

Entità simili: un evento imprevisto viene considerato simile a un altro evento imprevisto se includono entrambe le stesse entità. Più le entità due eventi imprevisti hanno in comune, più simili sono considerate.
Regola simile: un evento imprevisto viene considerato simile a un altro evento imprevisto se entrambi sono stati creati dalla stessa regola di analisi.
Dettagli di avviso simili: un evento imprevisto viene considerato simile a un altro evento imprevisto se condividono lo stesso titolo, nome del prodotto e/o dettagli personalizzati.

I motivi per cui un evento imprevisto viene visualizzato nell'elenco eventi imprevisti simili viene visualizzato nella colonna Motivo somiglianza. Passare il puntatore del mouse sull'icona delle informazioni per visualizzare gli elementi comuni (entità, nome regola o dettagli).

Screenshot of pop-up display of similar incident details.

Intervallo di tempo di somiglianza

La somiglianza degli eventi imprevisti viene calcolata in base ai dati dei 14 giorni precedenti all'ultima attività dell'evento imprevisto, ovvero l'ora di fine dell'avviso più recente nell'evento imprevisto.

La somiglianza degli eventi imprevisti viene ricalcolata ogni volta che si immette la pagina dei dettagli dell'evento imprevisto, pertanto i risultati possono variare tra le sessioni se sono stati creati o aggiornati nuovi eventi imprevisti.

Commentare gli eventi imprevisti

In qualità di analista delle operazioni di sicurezza, durante l'analisi di un evento imprevisto è necessario documentare accuratamente i passaggi da eseguire, sia per garantire report accurati alla gestione che per consentire una perfetta collaborazione e collaborazione tra i colleghi. Microsoft Sentinel offre un ambiente di commento avanzato che consente di ottenere questo risultato.

Un'altra cosa importante che è possibile eseguire con i commenti è arricchire automaticamente gli eventi imprevisti. Quando si esegue un playbook su un evento imprevisto che recupera informazioni rilevanti da origini esterne (ad esempio, controllando un file di malware in VirusTotal), è possibile posizionare il playbook sulla risposta dell'origine esterna, insieme alle altre informazioni definite, nei commenti dell'evento imprevisto.

I commenti sono semplici da usare. È possibile accedervi tramite la scheda Commenti nella pagina dei dettagli dell'evento imprevisto.

Screenshot of viewing and entering comments.

Domande frequenti

Quando si usano i commenti sugli eventi imprevisti, è necessario tenere conto di diverse considerazioni. L'elenco seguente di domande fa riferimento a queste considerazioni.

Quali tipi di input sono supportati?

Testo: i commenti in Microsoft Sentinel supportano input di testo in testo normale, HTML di base e Markdown. È anche possibile incollare testo copiato, HTML e Markdown nella finestra dei commenti.
Immagini: è possibile inserire collegamenti alle immagini nei commenti e le immagini verranno visualizzate inline, ma le immagini devono essere già ospitate in una posizione accessibile pubblicamente, ad esempio Dropbox, OneDrive, Google Drive e simili. Le immagini non possono essere caricate direttamente nei commenti.

Esiste un limite di dimensioni per i commenti?

Per commento: un singolo commento può contenere fino a 30.000 caratteri.
Per evento imprevisto: un singolo evento imprevisto può contenere fino a 100 commenti.

Nota

Il limite di dimensioni di un singolo record di eventi imprevisti nella tabella SecurityIncident in Log Analytics è di 64 KB. Se questo limite viene superato, i commenti (a partire dal meno recente) verranno troncati, che potrebbero influire sui commenti che verranno visualizzati nei risultati avanzati della ricerca .

I record effettivi degli eventi imprevisti nel database degli eventi imprevisti non saranno interessati.

Chi può modificare o eliminare commenti?

Modifica: solo l'autore di un commento ha l'autorizzazione per modificarla.
Eliminazione: solo gli utenti con il ruolo Collaboratore microsoft Sentinel hanno l'autorizzazione per eliminare i commenti. Anche l'autore del commento deve avere questo ruolo per eliminarlo.

Chiusura di un evento imprevisto

Dopo aver risolto un evento imprevisto specifico(ad esempio, quando l'indagine ha raggiunto la sua conclusione), è necessario impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, verrà chiesto di classificare l'evento imprevisto specificando il motivo per cui si sta chiudendo. Questo passaggio è obbligatorio. Fare clic su Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:

Vero positivo - attività sospetta
Positivo non dannoso - sospetto ma previsto
Falso positivo - logica di avviso non corretta
Falso positivo - dati non corretti
Indeterminato

Screenshot that highlights the classifications available in the Select classification list.

Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.

Dopo aver scelto la classificazione appropriata, aggiungere un testo descrittivo nel campo Commento . Ciò sarà utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, fare clic su Applica e l'evento imprevisto verrà chiuso.

{alt-text}

Cercare eventi imprevisti

Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzati di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate.

Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.

Ad esempio:

Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori Id evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.

Nota

Le ricerche nel campo Proprietario supportano sia nomi che indirizzi di posta elettronica.

L'uso di opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:

Comportamento di ricerca	Descrizione
Colore del pulsante di ricerca	Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca. Se vengono selezionati solo i parametri predefiniti, il pulsante è grigio. Non appena vengono selezionati parametri diversi, ad esempio i parametri di ricerca avanzati, il pulsante diventa blu.
Aggiornamento automatico	L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati.
Parametri di entità	Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità.
Stringhe di ricerca	La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole.
Supporto tra aree di lavoro	Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro.
Numero di risultati della ricerca visualizzati	Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta.

Suggerimento

Se non si riesce a trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per restringere i risultati.

Passaggi successivi

In questo articolo si è appreso come iniziare a analizzare gli eventi imprevisti usando Microsoft Sentinel. Per altre informazioni, vedi: