Zarządzanie zdarzeniami

  • 5 min

Po rozpoczęciu korzystania z usługi Microsoft Sentinel do generowania zdarzeń ty i zespół IT firmy Contoso mogą badać zdarzenia. Usługa Microsoft Sentinel udostępnia zaawansowane narzędzia do badania i analizy, których można użyć do zbierania informacji i określania kroków korygowania.

Przeglądanie incydentów

Aby zidentyfikować i rozwiązać problemy z zabezpieczeniami, najpierw zbadaj wszystkie zdarzenia. Strona Przegląd usługi Microsoft Sentinel zawiera listę najnowszych zdarzeń, które można szybko uzyskać. Aby uzyskać więcej informacji i pełny przegląd zdarzeń, użyj strony Incydenty , która wyświetla wszystkie incydenty w bieżącym obszarze roboczym i szczegółowe informacje o tych zdarzeniach.

Strona Incydenty zawiera pełną listę zdarzeń w usłudze Microsoft Sentinel. Strona zawiera również podstawowe informacje o zdarzeniu. Informacje obejmują ważność, identyfikator, tytuł, alerty, nazwy produktów, czas utworzenia, czas ostatniej aktualizacji, właściciel i stan. Można sortować według dowolnej kolumny incydentów i filtrować listę incydentów według nazwy, ważności, stanu, nazwy produktu lub właściciela.

Zrzut ekranu przedstawiający listę zdarzeń w usłudze Microsoft Sentinel.

Z poziomu tej strony możesz wykonać różne kroki, aby zbadać incydenty.

Ważne

Użytkownicy usługi Azure Active Directory (Azure AD), którzy badają incydenty, muszą być członkami roli Czytelnik katalogu.

Sprawdzanie szczegółów incydentu

Wybierz dowolne zdarzenie na stronie Incydenty , aby wyświetlić więcej informacji o zdarzeniu w okienku po prawej stronie. To okienko zawiera opis zdarzenia i listę powiązanych dowodów, jednostek i taktyki. Okienko zawiera również linki do skojarzonych skoroszytów i reguły analizy, która wygenerowała zdarzenie. Te informacje mogą pomóc w wyjaśnieniu charakteru, kontekstu i akcji dla zdarzenia.

Zrzut ekranu przedstawiający okienko szczegółów zdarzenia.

W okienku szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę Incydent i wyświetlić więcej szczegółów dotyczących zdarzenia. Możesz użyć tych szczegółów, aby lepiej zrozumieć kontekst zdarzenia. Na przykład w przypadku ataku siłowego możesz przejść do zapytania usługi Log Analytics dla alertu w celu określenia liczby ataków.

Zarządzanie własnością, stanem i ważnością incydentu

Każde zdarzenie tworzone przez usługę Microsoft Sentinel zawiera dołączone metadane, którymi można wyświetlać i zarządzać. Te informacje umożliwiają:

  • Przypisywanie i śledzenie własności zdarzeń.
  • Ustawianie i śledzenie stanu zdarzenia od utworzenia do rozwiązania.
  • Ustawianie i przeglądanie ważności.

Zrzut ekranu przedstawiający sekcję strony incydentów, gdzie można przypisać własność, stan i ważność.

Własność

W typowym środowisku każdy incydent powinien być przypisany do właściciela od zespołu ds. zabezpieczeń. Właściciel zdarzenia jest odpowiedzialny za ogólne zarządzanie zdarzeniami, w tym aktualizacje stanu i badania. Własność można zmienić w dowolnym momencie, aby przypisać incydent do innego członka zespołu zabezpieczeń w celu dalszej analizy lub eskalacji.

Stan

Każdy nowy incydent utworzony w usłudze Microsoft Sentinel ma przypisany stan Nowy. Podczas przeglądania zdarzeń i reagowania na nie ręcznie zmień stan, aby odzwierciedlić bieżący stan zdarzenia. W przypadku aktualnie badanych zdarzeń należy ustawić stan Aktywne. Gdy zdarzenie zostanie w pełni rozwiązane, należy ustawić stan Zamknięte.

Po ustawieniu stanu na Zamknięty zostanie wyświetlony monit o wybranie jednej z następujących rozwiązań:

  • Wynik prawdziwie dodatni — podejrzane działanie
  • Łagodny pozytywny — podejrzany, ale oczekiwany
  • Wynik fałszywie dodatni — nieprawidłowa logika alertu
  • Wynik fałszywie dodatni — niedokładne dane
  • Nieokreślone

Ważność

Reguła lub źródło zabezpieczeń firmy Microsoft, które wygenerowało zdarzenie, początkowo ustawia ważność. W większości przypadków ważność zdarzenia pozostaje niezmieniona, ale możesz zmienić ważność, jeśli zdecydujesz, że zdarzenie jest mniej lub bardziej poważne niż początkowo sklasyfikowane. Opcje ważności to Informacje, Niski, Średni i Wysoki.

Korzystanie z wykresu badania

Możesz dokładniej zbadać zdarzenie, wybierając pozycję Zbadaj na stronie Incydent . Ta akcja powoduje otworzenie wykresu badania, czyli narzędzia wizualnego, które pomaga identyfikować jednostki związane z atakiem oraz relacje między tymi jednostkami. Jeśli zdarzenie obejmuje wiele alertów w czasie, można także przejrzeć oś czasu alertów i korelacje między alertami.

Zrzut ekranu przedstawiający wykres badania.

Przeglądanie szczegółów jednostki

Możesz wybrać poszczególne jednostki na wykresie, aby wyświetlić więcej informacji o danej jednostce. Te informacje dotyczą relacji z innymi jednostkami, użycia konta i przepływu danych. W przypadku każdego obszaru informacji można przejść do powiązanych zdarzeń w usłudze Log Analytics i dodać powiązane dane alertu do wykresu.

Przeglądanie szczegółów incydentu

Możesz wybrać element zdarzenia na grafie, aby obserwować metadane zdarzenia związane z zabezpieczeniami i kontekstem środowiska zdarzenia.

Sprawdź swoją wiedzę

1.

Jaki parametr zdarzenia należy zmienić w celu eskalacji zdarzenia do zespołu ds. zabezpieczeń następnej warstwy?

2.

Który interfejs usługi Microsoft Sentinel umożliwia wyświetlanie osi czasu i relacji między zasobami zdarzenia?