Tutorial: Investigue incidentes com o Azure SentinelTutorial: Investigate incidents with Azure Sentinel

Importante

O grafo de investigação está atualmente em visualização pública.The investigation graph is currently in public preview. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.This feature is provided without a service level agreement, and it's not recommended for production workloads. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Este tutorial ajuda você a investigar incidentes com o Azure Sentinel.This tutorial helps you investigate incidents with Azure Sentinel. Depois de conectar suas fontes de dados ao Azure Sentinel, você deseja ser notificado quando algo suspeito acontecer.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Para permitir que você faça isso, o Azure Sentinel permite que você crie regras de alerta avançadas, que geram incidentes que você pode atribuir e investigar.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate incidents that you can assign and investigate.

Este artigo aborda:This article covers:

  • Investigar incidentesInvestigate incidents
  • Usar o grafo de investigaçãoUse the investigation graph
  • Responda às ameaçasRespond to threats

Um incidente pode incluir vários alertas.An incident can include multiple alerts. É uma agregação de todas as evidências relevantes para uma investigação específica.It's an aggregation of all the relevant evidence for a specific investigation. Um incidente é criado com base em regras analíticas que você criou na página análise .An incident is created based on analytic rules that you created in the Analytics page. As propriedades relacionadas aos alertas, como severidade e status, são definidas no nível do incidente.The properties related to the alerts, such as severity, and status, are set at the incident level. Depois de permitir que o Azure Sentinel saiba quais tipos de ameaças você está procurando e como encontrá-las, você pode monitorar ameaças detectadas investigando incidentes.After you let Azure Sentinel know what kinds of threats you're looking for and how to find them, you can monitor detected threats by investigating incidents.

Pré-requisitosPrerequisites

Você só poderá investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar sua regra analítica.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytic rule. O grafo de investigação requer que seu incidente original inclua entidades.The investigation graph requires that your original incident includes entities.

Como investigar incidentesHow to investigate incidents

  1. Selecione incidentes.Select Incidents. A página incidentes permite que você saiba quantos incidentes você tem, quantas estão abertas, quantos você definiu em andamentoe quantas estão fechadas.The Incidents page lets you know how many incidents you have, how many are open, how many you've set to In progress, and how many are closed. Para cada incidente, você pode ver a hora em que ocorreu e o status do incidente.For each incident, you can see the time it occurred, and the status of the incident. Examine a severidade para decidir quais incidentes tratar primeiro.Look at the severity to decide which incidents to handle first.

    Exibir severidade do incidente

  2. Você pode filtrar os incidentes conforme necessário, por exemplo, por status ou severidade.You can filter the incidents as needed, for example by status or severity.

  3. Para iniciar uma investigação, selecione um incidente específico.To begin an investigation, select a specific incident. À direita, você pode ver informações detalhadas para o incidente, incluindo sua gravidade, o resumo do número de entidades envolvidas, os eventos brutos que dispararam esse incidente e a ID exclusiva do incidente.On the right, you can see detailed information for the incident including its severity, summary of the number of entities involved, the raw events that triggered this incident, and the incident’s unique ID.

  4. Para exibir mais detalhes sobre os alertas e entidades no incidente, selecione Exibir detalhes completos na página incidente e examine as guias relevantes que resumem as informações do incidente.To view more details about the alerts and entities in the incident, select View full details in the incident page and review the relevant tabs that summarize the incident information. Na guia alertas , examine o próprio alerta.In the Alerts tab, review the alert itself. Você pode ver todas as informações relevantes sobre o alerta – a consulta que disparou o alerta, o número de resultados retornados por consulta e a capacidade de executar guias estratégicos nos alertas.You can see all relevant information about the alert – the query that triggered the alert, the number of results returned per query, and the ability to run playbooks on the alerts. Para detalhar ainda mais o incidente, selecione o número de eventos.To drill down even further into the incident, select the number of Events. Isso abre a consulta que gerou os resultados e os eventos que dispararam o alerta no Log Analytics.This opens the query that generated the results and the events that triggered the alert in Log Analytics. Na guia entidades , você pode ver todas as entidades que você mapeou como parte da definição da regra de alerta.In the Entities tab, you can see all the entities that you mapped as part of the alert rule definition.

    Exibir detalhes do alerta

  5. Se você estiver investigando um incidente ativamente, é uma boa ideia definir o status do incidente como em andamento até fechá-lo.If you're actively investigating an incident, it's a good idea to set the incident's status to In progress until you close it.

  6. Os incidentes podem ser atribuídos a um usuário específico.Incidents can be assigned to a specific user. Para cada incidente, você pode atribuir um proprietário, definindo o campo proprietário do incidente .For each incident you can assign an owner, by setting the Incident owner field. Todos os incidentes começam como não atribuídos.All incidents start as unassigned. Você também pode adicionar comentários para que outros analistas possam entender o que você investigou e quais são suas preocupações em relação ao incidente.You can also add comments so that other analysts will be able to understand what you investigated and what your concerns are around the incident.

    Atribuir incidente ao usuário

  7. Selecione investigar para exibir o mapa de investigação.Select Investigate to view the investigation map.

Use o grafo de investigação para aprofundar-seUse the investigation graph to deep dive

O grafo de investigação permite que os analistas façam as perguntas certas para cada investigação.The investigation graph enables analysts to ask the right questions for each investigation. O grafo de investigação ajuda você a entender o escopo e a identificar a causa raiz de uma possível ameaça à segurança correlacionando os dados relevantes com qualquer entidade envolvida.The investigation graph helps you understand the scope, and identify the root cause, of a potential security threat by correlating relevant data with any involved entity. Você pode aprofundar-se e investigar qualquer entidade apresentada no grafo selecionando-a e escolhendo entre diferentes opções de expansão.You can dive deeper and investigate any entity presented in the graph by selecting it and choosing between different expansion options.

O grafo de investigação fornece:The investigation graph provides you with:

  • Contexto visual de dados brutos: A dinâmica, o Visual Graph exibe as relações de entidade extraídas automaticamente dos dados brutos.Visual context from raw data: The live, visual graph displays entity relationships extracted automatically from the raw data. Isso permite que você veja facilmente as conexões entre diferentes fontes de dados.This enables you to easily see connections across different data sources.

  • Descoberta completa do escopo da investigação: Expanda seu escopo de investigação usando consultas de exploração internas para trazer o escopo completo de uma violação.Full investigation scope discovery: Expand your investigation scope using built-in exploration queries to surface the full scope of a breach.

  • Etapas de investigação internas: Use opções de exploração predefinidas para verificar se você está fazendo as perguntas certas diante de uma ameaça.Built-in investigation steps: Use predefined exploration options to make sure you are asking the right questions in the face of a threat.

Para usar o grafo de investigação:To use the investigation graph:

  1. Selecione um incidente e, em seguida, selecione investigar.Select an incident, then select Investigate. Isso levará você ao grafo de investigação.This takes you to the investigation graph. O grafo fornece um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.The graph provides an illustrative map of the entities directly connected to the alert and each resource connected further.

    Importante

    Você só poderá investigar o incidente se tiver usado os campos de mapeamento de entidade ao configurar sua regra analítica.You'll only be able to investigate the incident if you used the entity mapping fields when you set up your analytic rule. O grafo de investigação requer que seu incidente original inclua entidades.The investigation graph requires that your original incident includes entities.

    Exibir mapa

  2. Selecione uma entidade para abrir o painel entidades para que você possa examinar as informações sobre essa entidade.Select an entity to open the Entities pane so you can review information on that entity.

    Exibir entidades no mapa

  3. Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas projetadas por nossos especialistas em segurança e analistas por tipo de entidade para aprofundar sua investigação.Expand your investigation by hovering over each entity to reveal a list of questions that was designed by our security experts and analysts per entity type to deepen your investigation. Chamamos essas consultas de exploraçãode opções.We call these options exploration queries.

    Explorar mais detalhes

    Por exemplo, em um computador, você pode solicitar alertas relacionados.For example, on a computer you can request related alerts. Se você selecionar uma consulta de exploração, os direitos resultantes serão adicionados de volta ao grafo.If you select an exploration query, the resulting entitles are added back to the graph. Neste exemplo, a seleção de alertas relacionados retornou os seguintes alertas para o grafo:In this example, selecting Related alerts returned the following alerts into the graph:

    Exibir alertas relacionados

  4. Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados do evento bruto e a consulta usada em Log Analytics, selecionando eventos @ no__t-1.For each exploration query, you can select the option to open the raw event results and the query used in Log Analytics, by selecting Events>.

  5. Para entender o incidente, o grafo fornece uma linha do tempo paralela.In order to understand the incident, the graph gives you a parallel timeline.

    Exibir linha do tempo no mapa

  6. Passe o mouse sobre a linha do tempo para ver quais coisas no grafo ocorreram em que ponto no tempo.Hover over the timeline to see which things on the graph occurred at what point in time.

    Usar linha do tempo no mapa para investigar alertas

Próximas etapasNext steps

Neste tutorial, você aprendeu como começar a investigar incidentes usando o Azure Sentinel.In this tutorial, you learned how to get started investigating incidents using Azure Sentinel. Continue no tutorial sobre como responder a ameaças usando guias estratégicos automatizados.Continue to the tutorial for how to respond to threats using automated playbooks.

Responda às ameaças para automatizar suas respostas a ameaças.Respond to threats to automate your responses to threats.