Navegar e investigar incidentes no Microsoft Sentinel

O Microsoft Sentinel oferece uma plataforma completa e completa de gerenciamento de casos para investigar incidentes de segurança. A página Detalhes do incidente é o seu local central a partir do qual pode executar a sua investigação, reunindo todas as informações relevantes e todas as ferramentas e tarefas aplicáveis num único ecrã.

Este artigo leva-o através de todos os painéis e opções disponíveis na página de detalhes do incidente, ajudando-o a navegar e investigar os seus incidentes de forma mais rápida, eficaz e eficiente, e reduzindo o seu tempo médio de resolução (MTTR).

Consulte as instruções para a versão anterior da investigação de incidentes.

Os incidentes são os seus processos que contêm uma agregação de todas as provas relevantes para investigações específicas. Cada incidente é criado (ou adicionado) com base em evidências (alertas) que foram geradas por regras de análise ou importadas de produtos de segurança de terceiros que produzem seus próprios alertas. Os incidentes herdam as entidades contidas nos alertas, bem como as propriedades dos alertas, como gravidade, status e táticas e técnicas MITRE ATT&CK.

Pré-requisitos

• A atribuição da função Microsoft Sentinel Responder é necessária para investigar incidentes.

  Saiba mais sobre as funções no Microsoft Sentinel.

• Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Os utilizadores regulares (não convidados) têm esta função atribuída por predefinição.

Navegar e triar incidentes

A página Incidentes

1. No menu de navegação do Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes.

   A página Incidentes fornece informações básicas sobre todos os seus incidentes abertos.

   • Na parte superior da tela, você tem as contagens de incidentes abertos, novos ou ativos, e as contagens de incidentes abertos por gravidade. Você também tem o banner com ações que você pode tomar fora de um incidente específico, seja na grade como um todo ou em vários incidentes selecionados.

   • No painel central, você tem a grade de incidentes, uma lista de incidentes filtrados pelos controles de filtragem na parte superior da lista e uma barra de pesquisa para localizar incidentes específicos.

   • No lado direito, você tem um painel de detalhes que mostra informações importantes sobre o incidente destacado na lista central, juntamente com botões para tomar certas ações específicas em relação a esse incidente.

   

2. Sua equipe de operações de segurança pode ter regras de automação em vigor para realizar a triagem básica de novos incidentes e atribuí-los ao pessoal adequado.

   Nesse caso, filtre a lista de incidentes por Proprietário para limitar a lista aos incidentes atribuídos a você ou à sua equipe. Este conjunto filtrado representa a sua carga de trabalho pessoal.

   Caso contrário, você mesmo pode realizar uma triagem básica. Você pode começar filtrando a lista de incidentes por critérios de filtragem disponíveis, seja status, gravidade ou nome do produto. Para obter mais informações, consulte Pesquisar incidentes.

3. Faça a triagem de um incidente específico e tome algumas medidas imediatamente, diretamente do painel de detalhes na página Incidentes , sem ter que entrar na página de detalhes completos do incidente.

   • Investigar incidentes do Microsoft Defender XDR no Microsoft Defender XDR: Siga o link Investigar no Microsoft Defender XDR para pivotar para o incidente paralelo no portal do Defender. Quaisquer alterações feitas no incidente no Microsoft Defender XDR serão sincronizadas com o mesmo incidente no Microsoft Sentinel.

   • Abra a lista de tarefas atribuídas: os incidentes para os quais quaisquer tarefas foram atribuídas exibirão uma contagem de tarefas concluídas e totais e um link Exibir detalhes completos. Siga o link para abrir o painel Tarefas de incidente para ver a lista de tarefas para este incidente.

   • Atribua a propriedade do incidente a um usuário ou grupo selecionando na lista suspensa Proprietário .

     

     Os usuários e grupos selecionados recentemente aparecerão na parte superior da lista suspensa ilustrada.

   • Atualize o status do incidente (por exemplo, de Novo para Ativo ou Fechado) selecionando na lista suspensa Status. Ao fechar um incidente, será necessário especificar um motivo. Veja abaixo as instruções.

   • Altere a gravidade do incidente selecionando na lista suspensa Gravidade .

   • Adicione tags para categorizar seus incidentes. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar tags.

   • Adicione comentários para registrar suas ações, ideias, perguntas e muito mais. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar comentários.

4. Se as informações no painel de detalhes forem suficientes para solicitar mais ações de correção ou mitigação, selecione o botão Ações na parte inferior do painel de detalhes para seguir um destes procedimentos:

   • Investigar: use a ferramenta de investigação gráfica para descobrir relações entre alertas, entidades e atividades, tanto dentro deste incidente como em outros incidentes.

   • Executar playbook (Preview): execute um manual sobre este incidente para tomar ações específicas de enriquecimento, colaboração ou resposta, como os engenheiros SOC podem ter disponibilizado.

   • Criar regra de automação: crie uma regra de automação que será executada apenas em incidentes como este (gerados pela mesma regra de análise) no futuro, a fim de reduzir sua carga de trabalho futura ou para levar em conta uma alteração temporária nos requisitos (como para um teste de penetração).

   • Criar equipa (Pré-visualização): crie uma equipa no Microsoft Teams para colaborar com outros indivíduos ou equipas entre departamentos no tratamento do incidente.

   

5. Se forem necessárias mais informações sobre o incidente, selecione Ver detalhes completos no painel de detalhes para abrir e ver os detalhes do incidente na íntegra, incluindo os alertas e entidades no incidente, uma lista de incidentes semelhantes e informações principais selecionadas.

Veja as próximas seções deste artigo para seguir um caminho de investigação típico, aprendendo no processo sobre todas as informações que você verá lá e todas as ações que você pode tomar.

Investigue o seu incidente em profundidade

O Microsoft Sentinel oferece uma experiência completa e completa de investigação de incidentes e gerenciamento de casos para que você possa investigar, remediar e resolver incidentes com mais rapidez e eficiência. Aqui está a nova página de detalhes do incidente:

Preparar o terreno corretamente

À medida que você está se preparando para investigar um incidente, monte as coisas necessárias para direcionar seu fluxo de trabalho. Você encontrará as seguintes ferramentas em uma barra de botões na parte superior da página do incidente, logo abaixo do título.

1. Selecione Tarefas para ver as tarefas atribuídas a este incidente ou para adicionar as suas próprias tarefas.

   Saiba mais sobre como usar tarefas de incidentes para melhorar a padronização de processos em seu SOC.

2. Selecione Registro de atividades para ver se alguma ação já foi tomada sobre esse incidente — por regras de automação, por exemplo — e quaisquer comentários que tenham sido feitos. Você pode adicionar seus próprios comentários aqui também. Veja mais sobre o registro de atividades abaixo.

3. Selecione Logs a qualquer momento para abrir uma janela de consulta de análise de log completa e em branco dentro da página do incidente. Componha e execute uma consulta, relacionada ou não, sem deixar o incidente. Por isso, sempre que for surpreendido por uma inspiração repentina para ir atrás de um pensamento, não se preocupe em interromper o seu fluxo. Logs está lá para você.

   Veja mais sobre Logs abaixo.

Você também verá o botão Ações de incidente ao lado das guias Visão geral e Entidades . Aqui você tem disponíveis as mesmas ações descritas acima, conforme disponível no botão Ações no painel de detalhes na página da grade Incidentes. O único que falta é o Investigar, que está disponível no painel de detalhes à esquerda.

Para recapitular as ações disponíveis no botão Ações de incidente:

• Execute um playbook: execute um manual sobre este incidente para tomar ações específicas de enriquecimento, colaboração ou resposta, como seus engenheiros SOC podem ter disponibilizado.

• Criar regra de automação: crie uma regra de automação que será executada apenas em incidentes como este (gerados pela mesma regra de análise) no futuro, a fim de reduzir sua carga de trabalho futura ou para levar em conta uma alteração temporária nos requisitos (como para um teste de penetração).

• Criar equipa (Pré-visualização): crie uma equipa no Microsoft Teams para colaborar com outros indivíduos ou equipas entre departamentos no tratamento do incidente. Se uma equipa já tiver sido criada para este incidente, este item de menu será apresentado como Open Teams.

Obtenha a imagem completa na página de detalhes do incidente

O painel esquerdo da página de detalhes do incidente contém as mesmas informações de detalhes do incidente que você viu na página Incidentes à direita da grade, e está praticamente inalterado em relação à versão anterior. Este painel está sempre em exibição, independentemente do separador que é mostrado no resto da página. A partir daí, você pode ver as informações básicas do incidente e detalhar das seguintes maneiras:

• Selecione Eventos, Alertas ou Favoritos para abrir o painel Logs na página do incidente. O painel Logs será exibido com a consulta de qualquer um dos três que você selecionou, e você pode percorrer os resultados da consulta em profundidade, sem se afastar do incidente. Saiba mais sobre Logs.

• Selecione qualquer uma das entradas em Entidades para exibi-la na guia Entidades. (Apenas as quatro primeiras entidades no incidente são mostradas aqui. Veja o restante selecionando Exibir tudo, ou no widget Entidades na guia Visão geral ou na guia Entidades.) Saiba o que pode fazer no separador Entidades.

  

Você também pode selecionar Investigar para abrir o incidente na ferramenta de investigação gráfica que diagrama as relações entre todos os elementos do incidente.

Este painel também pode ser recolhido na margem esquerda da tela, selecionando a pequena seta dupla apontando para a esquerda ao lado da lista suspensa Proprietário . Mesmo nesse estado minimizado, no entanto, você ainda poderá alterar o proprietário, o status e a gravidade.

O restante da página de detalhes do incidente é dividido em duas guias, Visão geral e Entidades.

A guia Visão geral contém os seguintes widgets, cada um dos quais representa um objetivo essencial da sua investigação.

• O widget Linha do tempo do incidente mostra a linha do tempo de alertas e marcadores no incidente, o que pode ajudá-lo a reconstruir a linha do tempo da atividade do invasor. Selecione um item individual para ver todos os seus detalhes, permitindo que você faça mais detalhamento.

  Saiba mais sobre o widget Linha do tempo do incidente abaixo.

• No widget Incidentes semelhantes, você verá uma coleção de até 20 outros incidentes que mais se assemelham ao incidente atual. Isso permite que você visualize o incidente em um contexto maior e ajuda a direcionar sua investigação.

  Saiba mais sobre o widget Incidentes semelhantes abaixo.

• O widget Entidades mostra todas as entidades que foram identificadas nos alertas. Estes são os objetos que desempenharam um papel no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou quaisquer outros tipos. Selecione uma entidade para ver seus detalhes completos (que serão exibidos na guia Entidades - veja abaixo).

  Saiba mais sobre o widget Entidades abaixo.

• Finalmente, no widget Principais insights, você verá uma coleção de resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre todas as entidades no incidente, com base em dados de uma coleção de fontes.

  Saiba mais sobre o widget Principais insights abaixo.

A guia Entidades mostra a lista completa de entidades no incidente (as mesmas do widget Entidades acima). Quando você seleciona uma entidade no widget, é direcionado aqui para ver o dossiê completo da entidade — suas informações de identificação, uma linha do tempo de sua atividade (dentro e fora do incidente) e o conjunto completo de insights sobre a entidade, assim como você veria em sua página completa da entidade (mas limitado ao período de tempo apropriado para o incidente).

Cronograma de incidentes

O widget Linha do tempo do incidente mostra a linha do tempo de alertas e marcadores no incidente, o que pode ajudá-lo a reconstruir a linha do tempo da atividade do invasor.

Você pode pesquisar a lista de alertas e favoritos, ou filtrar a lista por gravidade, táticas ou tipo de conteúdo (alerta ou marcador), para ajudá-lo a encontrar o item que deseja buscar.

A exibição inicial da linha do tempo informa imediatamente várias coisas importantes sobre cada item nela, seja alerta ou marcador:

• A data e a hora da criação do alerta ou marcador.
• O tipo de item, alerta ou marcador, indicado por um ícone e uma dica de ferramenta ao passar o mouse sobre o ícone.
• O nome do alerta ou do indicador, em negrito, na primeira linha do item.
• A gravidade do alerta, indicada por uma faixa de cores ao longo da borda esquerda, e em forma de palavra no início da "legenda" de três partes do alerta.
• O provedor de alerta, na segunda parte da legenda. Para favoritos, o criador do marcador.
• As táticas MITRE ATT&CK associadas ao alerta, indicadas por ícones e Dicas de Ferramentas, na terceira parte da legenda.

Passe o cursor sobre qualquer ícone ou elemento de texto incompleto para ver uma dica de ferramenta com o texto completo desse ícone ou elemento de texto. Essas dicas de ferramentas são úteis quando o texto exibido é truncado devido à largura limitada do widget. Veja o exemplo nesta captura de tela:

Selecione um alerta ou marcador individual para ver todos os seus detalhes.

• Os detalhes do alerta incluem a gravidade e o status do alerta, as regras de análise que o geraram, o produto que produziu o alerta, as entidades mencionadas no alerta, as táticas e técnicas MITRE ATT&CK associadas e o ID de alerta interno do sistema.

  Selecione o link ID do alerta do sistema para detalhar ainda mais o alerta, abrindo o painel Logs e exibindo a consulta que gerou os resultados e os eventos que dispararam o alerta.

• Os detalhes do marcador não são exatamente o mesmo que os detalhes do alerta, embora também incluam entidades, táticas e técnicas MITRE ATT E CK e o ID do marcador, eles também incluem o resultado bruto e as informações do criador do marcador.

  Selecione o link Exibir logs de favoritos para abrir o painel Logs e exibir a consulta que gerou os resultados que foram salvos como o marcador.

  

No widget de linha do tempo do incidente, você também pode executar as seguintes ações em alertas e favoritos:

• Execute um manual no alerta para tomar medidas imediatas para mitigar uma ameaça. Às vezes, você precisa bloquear ou isolar uma ameaça antes de continuar investigando. Saiba mais sobre como executar playbooks em alertas.

• Remova um alerta de um incidente. Você pode remover alertas que foram adicionados a incidentes após sua criação se julgar que eles não são relevantes. Saiba mais sobre como remover alertas de incidentes.

• Remova um marcador de um incidente ou edite os campos no marcador que podem ser editados (não mostrados).

  

Incidentes semelhantes

Como analista de operações de segurança, ao investigar um incidente, você deve prestar atenção ao seu contexto maior. Por exemplo, você vai querer ver se outros incidentes como esse já aconteceram antes ou estão acontecendo agora.

• Talvez você queira identificar incidentes simultâneos que possam fazer parte da mesma estratégia de ataque maior.

• Você pode querer identificar incidentes semelhantes no passado, para usá-los como pontos de referência para sua investigação atual.

• Você pode querer identificar os proprietários de incidentes semelhantes passados, para encontrar as pessoas em seu SOC que podem fornecer mais contexto, ou para quem você pode escalar a investigação.

O widget de incidentes semelhantes na página de detalhes do incidente apresenta até 20 outros incidentes que são os mais semelhantes ao atual. A semelhança é calculada por algoritmos internos do Microsoft Sentinel e os incidentes são classificados e exibidos em ordem decrescente de semelhança.

Assim como acontece com o widget de linha do tempo do incidente, você pode passar o mouse sobre qualquer texto que seja exibido incompletamente devido à largura da coluna para revelar o texto completo.

Existem três critérios pelos quais a semelhança é determinada:

• Entidades semelhantes: um incidente é considerado semelhante a outro incidente se ambos incluírem as mesmas entidades. Quanto mais entidades dois incidentes têm em comum, mais semelhantes são considerados.

• Regra semelhante: um incidente é considerado semelhante a outro incidente se ambos tiverem sido criados pela mesma regra de análise.

• Detalhes de alerta semelhantes: um incidente é considerado semelhante a outro incidente se eles compartilharem o mesmo título, nome do produto e/ou detalhes personalizados.

Os motivos pelos quais um incidente aparece na lista de incidentes semelhantes são exibidos na coluna Motivo da semelhança. Passe o cursor sobre o ícone de informações para mostrar os itens comuns (entidades, nome da regra ou detalhes).

A semelhança do incidente é calculada com base em dados dos 14 dias anteriores à última atividade no incidente, que é a hora de término do alerta mais recente no incidente.

A semelhança do incidente é recalculada sempre que você entra na página de detalhes do incidente, portanto, os resultados podem variar entre as sessões se novos incidentes forem criados ou atualizados.

Obtenha as principais informações sobre o seu incidente

Os especialistas em segurança do Microsoft Sentinel criaram consultas que fazem automaticamente as grandes perguntas sobre as entidades em seu incidente. Você pode ver as principais respostas no widget Principais informações , visível no lado direito da página de detalhes do incidente. Este widget mostra uma coleção de insights com base na análise de aprendizado de máquina e na curadoria das principais equipes de especialistas em segurança.

Esses são alguns dos mesmos insights que aparecem nas páginas da entidade, especialmente selecionados para ajudá-lo a fazer uma triagem rápida e entender o escopo da ameaça. Pela mesma razão, os insights de todas as entidades no incidente são apresentados juntos para lhe dar uma imagem mais completa do que está acontecendo.

A seguir estão os principais insights atualmente selecionados (a lista está sujeita a alterações):

1. Ações por conta.
2. Ações por conta.
3. Insights da UEBA.
4. Indicadores de ameaça relacionados ao usuário.
5. Informações da lista de observação (Pré-visualização).
6. Número anormalmente elevado de um evento de segurança.
7. Atividade de início de sessão do Windows.
8. Conexões remotas de endereço IP.
9. Conexões remotas de endereço IP com correspondência de TI.

Cada um desses insights (exceto os relacionados às listas de observação, por enquanto) tem um link que você pode selecionar para abrir a consulta subjacente no painel Logs que é aberto na página do incidente. Em seguida, você pode detalhar os resultados da consulta.

O período de tempo para o widget Top insights é de 24 horas antes do primeiro alerta no incidente até o momento do último alerta.

Explore as entidades do incidente

O widget Entidades mostra todas as entidades que foram identificadas nos alertas do incidente. Estes são os objetos que desempenharam um papel no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou quaisquer outros tipos.

Você pode pesquisar a lista de entidades no widget de entidades ou filtrar a lista por tipo de entidade para ajudá-lo a encontrar uma entidade.

Se você já sabe que uma determinada entidade é um indicador conhecido de comprometimento, selecione os três pontos na linha da entidade e escolha Adicionar à TI para adicionar a entidade à sua inteligência de ameaças. (Esta opção está disponível para tipos de entidade suportados.)

Se você quiser acionar uma sequência de resposta automática para uma entidade específica, selecione os três pontos e escolha Executar playbook (Visualização). (Esta opção está disponível para tipos de entidade suportados.)

Selecione uma entidade para ver todos os seus detalhes. Ao selecionar uma entidade, você passará da guia Visão geral para a guia Entidades, outra parte da página de detalhes do incidente.

Guia Entidades

A guia Entidades mostra uma lista de todas as entidades no incidente.

Como o widget de entidades, esta lista também pode ser pesquisada e filtrada por tipo de entidade. As pesquisas e os filtros aplicados numa lista não se aplicam à outra.

Selecione uma linha na lista para que as informações dessa entidade sejam exibidas em um painel lateral à direita.

Se o nome da entidade aparecer como um link, selecionar o nome da entidade redirecionará você para a página completa da entidade, fora da página de investigação de incidentes. Para exibir apenas o painel lateral sem deixar o incidente, selecione a linha na lista onde a entidade aparece, mas não selecione seu nome.

Você pode executar as mesmas ações aqui que você pode tomar a partir do widget na página de visão geral. Selecione os três pontos na linha da entidade para executar um manual ou adicionar a entidade à sua inteligência de ameaças.

Você também pode executar essas ações selecionando o botão ao lado de Exibir detalhes completos na parte inferior do painel lateral. O botão lerá as ações Adicionar ao TI, Executar playbook (Visualização) ou Entidade, caso em que um menu aparecerá com as outras duas opções.

O próprio botão Ver detalhes completos irá redirecioná-lo para a página completa da entidade da entidade.

O painel lateral apresenta três cartões:

• Info contém informações de identificação sobre a entidade. Por exemplo, para uma entidade de conta de usuário, isso pode ser coisas como nome de usuário, nome de domínio, identificador de segurança (SID), informações organizacionais, informações de segurança e muito mais, e para um endereço IP incluiria, por exemplo, geolocalização.

• A Linha do tempo contém uma lista dos alertas, marcadores e anomalias que apresentam essa entidade, e também atividades que a entidade executou, conforme coletadas de logs nos quais a entidade aparece. Todos os alertas com esta entidade estarão nesta lista, quer os alertas pertençam ou não a este incidente.

  Os alertas que não fazem parte do incidente serão exibidos de forma diferente: o ícone do escudo ficará acinzentado, a faixa de cores de gravidade será uma linha pontilhada em vez de uma linha sólida e haverá um botão com um sinal de mais no lado direito da linha do alerta.

  

  Selecione o sinal de adição para adicionar o alerta a este incidente. Quando o alerta é adicionado ao incidente, todas as outras entidades do alerta (que ainda não faziam parte do incidente) também são adicionadas a ele. Agora você pode expandir ainda mais sua investigação observando os cronogramas dessas entidades para alertas relacionados.

  Este cronograma é limitado a alertas e atividades nos sete dias anteriores. Para ir mais atrás, gire para a linha do tempo na página completa da entidade, cujo período de tempo é personalizável.

• O Insights contém resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades, com base em dados de uma coleção de fontes. Esses insights incluem os do widget Top insights e muitos mais, são os mesmos que aparecem na página completa da entidade, mas em um período de tempo limitado: começando 24 horas antes do primeiro alerta no incidente e terminando com o tempo do último alerta.

  A maioria dos insights contém links que, quando selecionados, abrem o painel Logs exibindo a consulta que gerou o insight junto com seus resultados.

Concentre a sua investigação

Saiba como pode alargar ou restringir o âmbito da sua investigação adicionando alertas aos seus incidentes ou removendo alertas de incidentes.

Aprofunde-se nos seus dados em Logs

De praticamente qualquer lugar na experiência de investigação, você poderá selecionar um link que abrirá uma consulta subjacente no painel Logs, no contexto da investigação. Se você chegou ao painel Logs a partir de um desses links, a consulta correspondente aparecerá na janela de consulta e a consulta será executada automaticamente e gerará os resultados apropriados para você explorar.

Você também pode chamar um painel Logs vazio dentro da página de detalhes do incidente a qualquer momento, se pensar em uma consulta que deseja tentar durante a investigação, permanecendo no contexto. Para fazer isso, selecione Logs na parte superior da página.

No entanto, você acaba no painel Logs, se tiver executado uma consulta cujos resultados deseja salvar:

1. Marque a caixa de seleção ao lado da linha que você deseja salvar entre os resultados. Para salvar todos os resultados, marque a caixa de seleção na parte superior da coluna.

2. Salve os resultados marcados como um marcador. Você tem duas opções para fazer isso:

   • Selecione Adicionar marcador ao incidente atual para criar um marcador e adicioná-lo ao incidente aberto. Siga as instruções do marcador para concluir o processo. Uma vez concluído, o marcador aparecerá na linha do tempo do incidente.

   • Selecione Adicionar marcador para criar um marcador sem adicioná-lo a nenhum incidente. Siga as instruções do marcador para concluir o processo. Poderá encontrar este marcador juntamente com quaisquer outros que tenha criado na página Caça, no separador Favoritos . A partir daí, você pode adicioná-lo a este ou a qualquer outro incidente.

3. Depois de criar o marcador (ou se optar por não o fazer), selecione Concluído para fechar o painel Logs .

Auditoria e comentário de incidentes

Ao investigar um incidente, convém documentar minuciosamente as etapas tomadas, tanto para garantir relatórios precisos para a gerência quanto para permitir uma cooperação e colaboração perfeitas entre colegas de trabalho. Você também desejará ver claramente os registros de quaisquer ações tomadas no incidente por outras pessoas, inclusive por processos automatizados. O Microsoft Sentinel oferece o registro de atividades, um ambiente avançado de auditoria e comentários, para ajudá-lo a realizar isso.

Você também pode enriquecer seus incidentes automaticamente com comentários. Por exemplo, quando você executa um playbook sobre um incidente que busca informações relevantes de fontes externas (por exemplo, verificando um arquivo em busca de malware no VirusTotal), você pode fazer com que o playbook coloque a resposta da fonte externa, juntamente com qualquer outra informação que você definir, nos comentários do incidente.

O registro de atividades é atualizado automaticamente, mesmo quando aberto, para que você sempre possa ver as alterações em tempo real. Você também será notificado sobre quaisquer alterações feitas no registro de atividades enquanto estiver aberto.

Para ver o registo de atividades e comentários, ou para adicionar os seus próprios comentários:

1. Selecione Registro de atividades na parte superior da página de detalhes do incidente.
2. Para filtrar o log para mostrar apenas atividades ou apenas comentários, selecione o controle de filtro na parte superior do log.
3. Se quiser adicionar um comentário, insira-o no editor de rich text na parte inferior do painel Registro de atividades de incidentes.
4. Selecione Comentário para enviar o comentário. Agora você verá seu comentário na parte superior do log.

Considerações para comentários

A seguir estão várias considerações a serem levadas em conta ao usar comentários de incidentes.

Entrada suportada:

• Texto: Os comentários no Microsoft Sentinel suportam entradas de texto em texto simples, HTML básico e Markdown. Você também pode colar texto copiado, HTML e Markdown na janela de comentários.

• Links: Os links devem estar na forma de tags âncora HTML, e eles devem ter o parâmetro target="_blank". Exemplo:

  <a href="https://www.url.com" target="_blank">link text</a>
  

  Nota

  Se você tiver playbooks que criam comentários em incidentes, os links nesses comentários agora também devem estar em conformidade com esse modelo, devido a uma mudança no formato dos comentários.

• Imagens: você pode inserir links para imagens nos comentários e as imagens serão exibidas em linha, mas as imagens já devem estar hospedadas em um local acessível publicamente, como Dropbox, OneDrive, Google Drive e similares. As imagens não podem ser carregadas diretamente nos comentários.

Limite de tamanho:

• Por comentário: um único comentário pode conter até 30.000 caracteres.

• Por incidente: um único incidente pode conter até 100 comentários.

  Nota

  O limite de tamanho de um único registro de incidente na tabela SecurityIncident no Log Analytics é de 64 KB. Se esse limite for excedido, os comentários (começando pelo mais antigo) serão truncados, o que pode afetar os comentários que aparecerão nos resultados de pesquisa avançada.

  Os registros reais de incidentes no banco de dados de incidentes não serão afetados.

Quem pode editar ou excluir:

• Edição: Somente o autor de um comentário tem permissão para editá-lo.

• Excluindo: somente os usuários com a função de Colaborador do Microsoft Sentinel têm permissão para excluir comentários. Até mesmo o autor do comentário deve ter esse papel para excluí-lo.

Investigue incidentes visualmente usando o gráfico de investigação

Se você preferir uma representação visual e gráfica de alertas, entidades e as conexões entre eles em sua investigação, você pode realizar muitas das coisas discutidas acima com o gráfico de investigação clássico também. A desvantagem do gráfico é que você acabará tendo que mudar muito mais de contexto.

O gráfico de investigação fornece-lhe:

• Contexto visual a partir de dados brutos: o gráfico visual ao vivo exibe relações de entidade extraídas automaticamente dos dados brutos. Isso permite que você veja facilmente conexões entre diferentes fontes de dados.

• Descoberta de escopo de investigação completa: expanda seu escopo de investigação usando consultas de exploração internas para revelar o escopo completo de uma violação.

• Etapas de investigação integradas: use opções de exploração predefinidas para se certificar de que está fazendo as perguntas certas diante de uma ameaça.

Para usar o gráfico de investigação:

1. Selecione um incidente e, em seguida, selecione Investigar. Isso leva você ao gráfico de investigação. O gráfico fornece um mapa ilustrativo das entidades diretamente ligadas ao alerta e de cada recurso ligado posteriormente.

   

   Importante

   • Você só poderá investigar o incidente se a regra de análise ou o marcador que o gerou contiver mapeamentos de entidade. O gráfico de investigação requer que o incidente original inclua entidades.

   • Atualmente, o gráfico de investigação suporta a investigação de incidentes com até 30 dias de idade.

2. Selecione uma entidade para abrir o painel Entidades para que você possa revisar as informações sobre essa entidade.

   

3. Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas que foi projetada por nossos especialistas em segurança e analistas por tipo de entidade para aprofundar sua investigação. Chamamos essas opções de consultas de exploração.

   

   Por exemplo, você pode solicitar alertas relacionados. Se você selecionar uma consulta de exploração, os direitos resultantes serão adicionados de volta ao gráfico. Neste exemplo, selecionar Alertas relacionados retornou os seguintes alertas no gráfico:

   

   Veja se os alertas relacionados aparecem conectados à entidade por linhas pontilhadas.

4. Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados brutos do evento e a consulta usada no Log Analytics, selecionando Eventos>.

5. Para entender o incidente, o gráfico fornece uma linha do tempo paralela.

   

6. Passe o cursor sobre a linha do tempo para ver quais coisas no gráfico ocorreram em que momento.

   

Encerramento de um incidente

Depois de resolver um incidente específico (por exemplo, quando a investigação tiver chegado à conclusão), você deve definir o status do incidente como Fechado. Quando o fizer, ser-lhe-á pedido que classifique o incidente, especificando o motivo pelo qual o está a fechar. Este passo é obrigatório. Clique em Selecionar classificação e escolha uma das seguintes opções na lista suspensa:

• True Positive – atividade suspeita
• Benigno Positivo – suspeito, mas esperado
• Falso positivo – lógica de alerta incorreta
• Falso positivo – dados incorretos
• Não determinado

Para obter mais informações sobre falsos positivos e positivos benignos, consulte Manipular falsos positivos no Microsoft Sentinel.

Depois de escolher a classificação apropriada, adicione algum texto descritivo no campo Comentário . Isso será útil no caso de você precisar se referir a este incidente. Clique em Aplicar quando terminar e o incidente será fechado.

Pesquisa de incidentes

Para encontrar um incidente específico rapidamente, insira uma cadeia de pesquisa na caixa de pesquisa acima da grade de incidentes e pressione Enter para modificar a lista de incidentes mostrada de acordo. Se o incidente não estiver incluído nos resultados, convém restringir a pesquisa usando as opções de pesquisa avançada.

Para modificar os parâmetros de pesquisa, selecione o botão Pesquisar e, em seguida, selecione os parâmetros onde deseja executar a pesquisa.

Por exemplo:

Por padrão, as pesquisas de incidentes são executadas apenas nos valores ID do incidente, Título, Tags, Proprietário e Nome do produto. No painel de pesquisa, role a lista para baixo para selecionar um ou mais parâmetros para pesquisar e selecione Aplicar para atualizar os parâmetros de pesquisa. Selecione Definir como padrão redefinir os parâmetros selecionados para a opção padrão .

Nota

As pesquisas no campo Proprietário suportam nomes e endereços de e-mail.

O uso de opções de pesquisa avançada altera o comportamento de pesquisa da seguinte maneira:

Comportamento da pesquisa	Description
Cor do botão Pesquisar	A cor do botão de pesquisa muda, dependendo dos tipos de parâmetros atualmente usados na pesquisa. Desde que apenas os parâmetros padrão sejam selecionados, o botão será cinza. Assim que diferentes parâmetros são selecionados, como parâmetros de pesquisa avançada, o botão fica azul.
Atualização automática	O uso de parâmetros de pesquisa avançada impede que você selecione para atualizar automaticamente seus resultados.
Parâmetros da entidade	Todos os parâmetros de entidade são suportados para pesquisas avançadas. Ao pesquisar em qualquer parâmetro de entidade, a pesquisa é executada em todos os parâmetros de entidade.
Cadeias de caracteres de pesquisa	A pesquisa de uma cadeia de palavras inclui todas as palavras na consulta de pesquisa. As cadeias de caracteres de pesquisa diferenciam maiúsculas de minúsculas.
Suporte a espaços de trabalho cruzados	As pesquisas avançadas não são suportadas para vistas em várias áreas de trabalho.
Número de resultados da pesquisa exibidos	Quando você usa parâmetros de pesquisa avançada, apenas 50 resultados são mostrados de cada vez.

Gorjeta

Se não conseguir encontrar o incidente que procura, remova os parâmetros de pesquisa para expandir a sua pesquisa. Se a pesquisa resultar em muitos itens, adicione mais filtros para restringir os resultados.

Próximos passos

Neste artigo, você aprendeu como começar a investigar incidentes usando o Microsoft Sentinel. Para obter mais informações, consulte:

• Investigue incidentes de forma abrangente no Microsoft Sentinel
• Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel
• Investigar incidentes com dados da UEBA