Samouczek: badanie zdarzeń za pomocą platformy Azure — wskaźnikTutorial: Investigate incidents with Azure Sentinel

Ważne

Graf badania jest teraz ogólnie dostępny.The investigation graph is now in General Availability.

Ten samouczek ułatwia badanie zdarzeń za pomocą platformy Azure.This tutorial helps you investigate incidents with Azure Sentinel. Po nawiązaniu połączenia ze źródłami danych z platformą Azure — użytkownik chce otrzymywać powiadomienia o wystąpieniu podejrzanych sytuacji.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Aby można było to zrobić, badanie wskaźnikowe platformy Azure umożliwia tworzenie zaawansowanych reguł alertów, które generują zdarzenia, które można przypisać i zbadać.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate incidents that you can assign and investigate.

W tym artykule omówiono następujące zagadnienia:This article covers:

  • Badanie zdarzeńInvestigate incidents
  • Korzystanie z grafu badaniaUse the investigation graph
  • Reagowanie na zagrożeniaRespond to threats

Zdarzenie może zawierać wiele alertów.An incident can include multiple alerts. Jest to agregacja wszystkich istotnych dowodów dla konkretnego badania.It's an aggregation of all the relevant evidence for a specific investigation. Zdarzenie jest tworzone na podstawie reguł analizy utworzonych na stronie analizy .An incident is created based on analytics rules that you created in the Analytics page. Właściwości związane z alertami, takie jak ważność i stan, są ustawiane na poziomie incydentu.The properties related to the alerts, such as severity and status, are set at the incident level. Gdy zezwolisz na platformę Azure, wiadomo, jakiego rodzaju zagrożeń szukasz, i jak je znaleźć, możesz monitorować wykryte zagrożenia, badając zdarzenia.After you let Azure Sentinel know what kinds of threats you're looking for and how to find them, you can monitor detected threats by investigating incidents.

Wymagania wstępnePrerequisites

  • W przypadku korzystania z pól mapowania jednostek można zbadać zdarzenia tylko podczas konfigurowania reguły analizy.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytics rule. Wykres badania wymaga, aby oryginalne zdarzenie obejmowało jednostki.The investigation graph requires that your original incident includes entities.

  • Jeśli masz użytkownika-gościa, który musi przypisać incydenty, użytkownik musi mieć przypisaną rolę czytnika katalogów w dzierżawie usługi Azure AD.If you have a guest user that needs to assign incidents, the user must be assigned the Directory Reader role in your Azure AD tenant. Użytkownicy standardowi (nie będący gościem) domyślnie przypisani do tej roli.Regular (non-guest) users have this role assigned by default.

Jak badać zdarzeniaHow to investigate incidents

  1. Wybierz zdarzenia.Select Incidents. Na stronie incydenty są dostępne informacje o liczbie zdarzeń, liczbie otwartych, liczbie ustawionych w toku i liczbie zamkniętych.The Incidents page lets you know how many incidents you have, how many are open, how many you've set to In progress, and how many are closed. Dla każdego zdarzenia można zobaczyć czas jego wystąpienia i stan zdarzenia.For each incident, you can see the time it occurred, and the status of the incident. Przyjrzyj się ważności, aby określić, które zdarzenia należy obsłużyć jako pierwsze.Look at the severity to decide which incidents to handle first.

    Wyświetl ważność zdarzenia

  2. Zdarzenia można filtrować zgodnie z wymaganiami, na przykład według stanu lub ważności.You can filter the incidents as needed, for example by status or severity.

  3. Aby rozpocząć badanie, wybierz konkretne zdarzenie.To begin an investigation, select a specific incident. Po prawej stronie można wyświetlić szczegółowe informacje o zdarzeniu, w tym jego ważność, podsumowanie liczby jednostek, zdarzenia pierwotne, które wyzwoliły to zdarzenie, oraz unikatowy identyfikator zdarzenia.On the right, you can see detailed information for the incident including its severity, summary of the number of entities involved, the raw events that triggered this incident, and the incident’s unique ID.

  4. Aby wyświetlić więcej szczegółów na temat alertów i jednostek w zdarzeniu, wybierz pozycję Wyświetl pełne szczegóły na stronie incydentu i przejrzyj odpowiednie karty, które podsumowują informacje o zdarzeniu.To view more details about the alerts and entities in the incident, select View full details in the incident page and review the relevant tabs that summarize the incident information. Na karcie alerty Przejrzyj alert.In the Alerts tab, review the alert itself. Można wyświetlić wszystkie istotne informacje dotyczące alertu — zapytanie, które wyzwoliło alert, liczbę wyników zwróconych na zapytanie oraz możliwość uruchamiania elementy PlayBook na alertach.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts. Aby przeanalizować jeszcze bardziej szczegółowe informacje o zdarzeniu, wybierz liczbę zdarzeń.To drill down even further into the incident, select the number of Events. Spowoduje to otwarcie kwerendy, która wygenerowała wyniki i zdarzenia, które wyzwoliły alert w Log Analytics.This opens the query that generated the results and the events that triggered the alert in Log Analytics. Na karcie jednostki można zobaczyć wszystkie jednostki, które zostały zmapowane w ramach definicji reguły alertu.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

    Wyświetl szczegóły alertu

  5. Jeśli aktywnie badasz zdarzenie, dobrym pomysłem jest ustawienie stanu zdarzenia na w toku do momentu jego zamknięcia.If you're actively investigating an incident, it's a good idea to set the incident's status to In progress until you close it.

  6. Zdarzenia mogą być przypisane do określonego użytkownika.Incidents can be assigned to a specific user. Dla każdego zdarzenia można przypisać właściciela, ustawiając pole właściciel zdarzenia .For each incident you can assign an owner, by setting the Incident owner field. Wszystkie incydenty są uruchamiane jako nieprzypisane.All incidents start as unassigned. Możesz również dodawać komentarze, aby inni analitykowie mogli zrozumieć, co zostało zbadane i czego dotyczą zdarzenia.You can also add comments so that other analysts will be able to understand what you investigated and what your concerns are around the incident.

    Przypisywanie zdarzenia do użytkownika

  7. Wybierz pozycję Zbadaj , aby wyświetlić mapę badania.Select Investigate to view the investigation map.

Użyj grafu badania do głębokiej szczegółoweUse the investigation graph to deep dive

Wykres badania umożliwia analitykom zaproszenie odpowiednich pytań dotyczących każdego badania.The investigation graph enables analysts to ask the right questions for each investigation. Wykres badania ułatwia zrozumienie zakresu i zidentyfikowanie głównej przyczyny potencjalnego zagrożenia bezpieczeństwa przez skorelowanie odpowiednich danych z każdą jednostką.The investigation graph helps you understand the scope, and identify the root cause, of a potential security threat by correlating relevant data with any involved entity. Możesz szczegółowe głębie i badać każdą jednostkę prezentowaną na grafie, wybierając ją i wybierając różne opcje ekspansji.You can dive deeper and investigate any entity presented in the graph by selecting it and choosing between different expansion options.

Wykres badania zawiera:The investigation graph provides you with:

  • Kontekst wizualny z danych pierwotnych: na żywo, Visual Graph wyświetla relacje jednostek wyodrębnione automatycznie z danych pierwotnych.Visual context from raw data: The live, visual graph displays entity relationships extracted automatically from the raw data. Dzięki temu można łatwo wyświetlać połączenia między różnymi źródłami danych.This enables you to easily see connections across different data sources.

  • Odnajdywanie zakresu pełnego badania: Rozszerz zakres badania przy użyciu wbudowanych zapytań eksploracji, aby przedstawić pełen zakres naruszenia.Full investigation scope discovery: Expand your investigation scope using built-in exploration queries to surface the full scope of a breach.

  • Wbudowane kroki badania: Użyj wstępnie zdefiniowanych opcji eksploracji, aby upewnić się, że zażądasz odpowiednich pytań na potrzeby zagrożenia.Built-in investigation steps: Use predefined exploration options to make sure you are asking the right questions in the face of a threat.

Aby użyć grafu badania:To use the investigation graph:

  1. Wybierz zdarzenie, a następnie wybierz pozycję Zbadaj.Select an incident, then select Investigate. Spowoduje to przejście do grafu badania.This takes you to the investigation graph. Wykres przedstawia mapę ilustracyjnyą jednostek, które są bezpośrednio połączone z alertem, a każdy zasób jest podłączany w dalszej części.The graph provides an illustrative map of the entities directly connected to the alert and each resource connected further.

    Ważne

    • W przypadku korzystania z pól mapowania jednostek można zbadać zdarzenia tylko podczas konfigurowania reguły analizy.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytics rule. Wykres badania wymaga, aby oryginalne zdarzenie obejmowało jednostki.The investigation graph requires that your original incident includes entities.

    • Wskaźnik na platformie Azure obecnie obsługuje badanie zdarzeń do 30 dni.Azure Sentinel currently supports investigation of incidents up to 30 days old.

    Wyświetlanie mapy

  2. Wybierz jednostkę, aby otworzyć okienko jednostki , aby można było przejrzeć informacje o tej jednostce.Select an entity to open the Entities pane so you can review information on that entity.

    Wyświetl jednostki na mapie

  3. Rozszerz swoje badanie, umieszczając kursor nad każdą jednostką, aby odsłonić listę pytań, które zostały zaprojektowane przez ekspertów ds. zabezpieczeń i analityków na jednostkę typu w celu pogłębienia badania.Expand your investigation by hovering over each entity to reveal a list of questions that was designed by our security experts and analysts per entity type to deepen your investigation. Te opcje są wywoływane w przypadku zapytań.We call these options exploration queries.

    Więcej szczegółów

    Na przykład na komputerze można zażądać powiązanych alertów.For example, on a computer you can request related alerts. W przypadku wybrania zapytania eksploracji uzyskane uprawniania są dodawane z powrotem do grafu.If you select an exploration query, the resulting entitles are added back to the graph. W tym przykładzie wybranie powiązanych alertów zwróciło następujące alerty do grafu:In this example, selecting Related alerts returned the following alerts into the graph:

    Wyświetl powiązane alerty

  4. Dla każdej kwerendy eksploracji można wybrać opcję otwarcia nieprzetworzonych wyników zdarzeń i zapytania używanego w Log Analytics, wybierając pozycję zdarzenia >.For each exploration query, you can select the option to open the raw event results and the query used in Log Analytics, by selecting Events>.

  5. Aby zrozumieć zdarzenie, wykres zawiera równoległą oś czasu.In order to understand the incident, the graph gives you a parallel timeline.

    Wyświetlanie osi czasu na mapie

  6. Umieść wskaźnik myszy na osi czasu, aby zobaczyć, które elementy grafu wystąpiły w tym czasie.Hover over the timeline to see which things on the graph occurred at what point in time.

    Użyj osi czasu na mapie, aby zbadać alerty

Zamykanie zdarzeniaClosing an incident

Po rozwiązaniu konkretnego zdarzenia (na przykład po osiągnięciu jego wniosku) należy ustawić stan zdarzenia na zamknięte.Once you have resolved a particular incident (for example, when your investigation has reached its conclusion), you should set the incident’s status to Closed. Gdy to zrobisz, zostanie wyświetlony monit o sklasyfikowanie zdarzenia przez określenie przyczyny zamknięcia.When you do so, you will be asked to classify the incident by specifying the reason you are closing it. Ten krok jest obowiązkowy.This step is mandatory. Kliknij pozycję Wybierz klasyfikację i wybierz z listy rozwijanej jedną z następujących opcji:Click Select classification and choose one of the following from the drop-down list:

  • Wynik prawdziwie dodatni — podejrzana aktywnośćTrue Positive - suspicious activity
  • Wynik nieszkodliwie dodatni — podejrzane, ale oczekiwaneBenign Positive - suspicious but expected
  • Wynik fałszywie dodatni — nieprawidłowa logika alertuFalse Positive - incorrect alert logic
  • Wynik fałszywie dodatni — nieprawidłowe daneFalse Positive - incorrect data
  • NieokreśloneUndetermined

Zrzut ekranu, który wyróżnia klasyfikacje dostępne na liście wybierz klasyfikację.

Po wybraniu odpowiedniej klasyfikacji Dodaj tekst opisowy w polu komentarz .After choosing the appropriate classification, add some descriptive text in the Comment field. Będzie to przydatne w przypadku, gdy należy odwołać się do tego zdarzenia.This will be useful in the event you need to refer back to this incident. Po zakończeniu kliknij pozycję Zastosuj , a zdarzenie zostanie zamknięte.Click Apply when you’re done, and the incident will be closed.

{alt-text}

Następne krokiNext steps

W ramach tego samouczka nauczysz się rozpocząć badanie zdarzeń przy użyciu platformy Azure — wskaźnik.In this tutorial, you learned how to get started investigating incidents using Azure Sentinel. Przejdź do samouczka dotyczącego sposobu reagowania na zagrożenia przy użyciu zautomatyzowanego elementy PlayBook.Continue to the tutorial for how to respond to threats using automated playbooks.

Reagowanie na zagrożenia w celu zautomatyzowania swoich odpowiedzi na zagrożenia.Respond to threats to automate your responses to threats.