Undersöka incidenter med Microsoft Sentinel

  • Artikel
  • 6 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Viktigt

Antecknade funktioner finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.

Den här artikeln hjälper dig att undersöka incidenter med Microsoft Sentinel. När du har anslutit dina datakällor till Microsoft Sentinel vill du få ett meddelande när något misstänkt inträffar. För att du ska kunna göra detta kan du med Microsoft Sentinel skapa avancerade aviseringsregler som genererar incidenter som du kan tilldela och undersöka.

I den här artikeln beskrivs:

  • Undersöka incidenter
  • Använda undersökningsdiagrammet
  • Reagera på hot

En incident kan innehålla flera aviseringar. Det är en sammanställning av alla relevanta bevis för en viss undersökning. En incident skapas baserat på analysregler som du skapade på sidan Analys. Egenskaperna som är relaterade till aviseringarna, till exempel allvarlighetsgrad och status, anges på incidentnivå. När du har berätta för Microsoft Sentinel vilka typer av hot du letar efter och hur du hittar dem kan du övervaka identifierade hot genom att undersöka incidenter.

Förutsättningar

  • Du kommer bara att kunna undersöka incidenten om du använde entitetsmappningsfälten när du konfigurerade din analysregel. Undersökningsdiagrammet förutsätter att den ursprungliga incidenten har entiteter.

  • Om du har en gästanvändare som behöver tilldela incidenter måste användaren tilldelas rollen Katalogläsare i din Azure AD-klientorganisation. Vanliga (icke-gäst)-användare har den här rollen tilldelad som standard.

Så här undersöker du incidenter

  1. Välj Incidents (Incidenter).sidan Incidenter kan du se hur många incidenter du har, hur många som är öppna, hur många du har angett som Pågår och hur många som är stängda. För varje incident kan du se när den inträffade och status för incidenten. Titta på allvarlighetsgraden för att bestämma vilka incidenter som ska hanteras först.

    Visa allvarlighetsgrad för incidenter

  2. Du kan filtrera incidenterna efter behov, till exempel efter status eller allvarlighetsgrad. Mer information finns i Sök efter incidenter.

  3. Välj en specifik incident för att påbörja en undersökning. Till höger kan du se detaljerad information om incidenten, inklusive dess allvarlighetsgrad, en sammanfattning av antalet berörda entiteter, råhändelserna som utlöste incidenten och incidentens unika ID.

  4. Om du vill visa mer information om aviseringarna och entiteterna i incidenten väljer du Visa fullständig information på incidentsidan och granskar relevanta flikar som sammanfattar incidentinformationen.

    Visa aviseringsinformation

    Exempel:

    • På fliken Tidslinje granskar du tidslinjen för aviseringar och bokmärken i incidenten, som kan hjälpa dig att rekonstruera tidslinjen för angriparens aktivitet.
    • På fliken Aviseringar granskar du själva aviseringen. Du kan se all relevant information om aviseringen – frågan som utlöste aviseringen, antalet resultat som returneras per fråga och möjligheten att köra spelböcker på aviseringarna. Om du vill öka detaljgranskningen ytterligare i incidenten väljer du antalet händelser. Då öppnas frågan som genererade resultaten och de händelser som utlöste aviseringen i Log Analytics.
    • På fliken Entiteter kan du se alla entiteter som du mappade som en del av definitionen av aviseringsregeln.

  5. Om du aktivt undersöker en incident är det en bra idé att ange incidentens status till Pågår tills du stänger den.

  6. Incidenter kan tilldelas till en specifik användare. För varje incident kan du tilldela en ägare genom att ange fältet Incidentägare. Alla incidenter startar som otilldelade. Du kan också lägga till kommentarer så att andra analytiker kan förstå vad du har undersökt och vilka problem du har kring incidenten.

    Tilldela incident till användare

  7. Välj Undersök för att visa undersökningskartan.

Använd undersökningsdiagrammet för att göra en djupdykning

Undersökningsdiagrammet gör det möjligt för analytiker att ställa rätt frågor för varje undersökning. Undersökningsdiagrammet hjälper dig att förstå omfattningen och identifiera rotorsaken till ett potentiellt säkerhetshot genom att korrelera relevanta data med alla berörda entiteter. Du kan fördjupa dig och undersöka en entitet som visas i diagrammet genom att välja den och välja mellan olika expansionsalternativ.

Undersökningsdiagrammet innehåller:

  • Visuell kontext från rådata: Det levande visuella diagrammet visar entitetsrelationer som extraheras automatiskt från rådata. På så sätt kan du enkelt se anslutningar mellan olika datakällor.

  • Identifiering av fullständigt undersökningsomfång: Utöka ditt undersökningsomfång med hjälp av inbyggda utforskningsfrågor för att visa hela omfattningen av ett intrång.

  • Inbyggda undersökningssteg: Använd fördefinierade utforskningsalternativ för att se till att du ställer rätt frågor inför ett hot.

Så här använder du undersökningsdiagrammet:

  1. Välj en incident och välj sedan Undersök. Detta tar dig till undersökningsdiagrammet. Diagrammet innehåller en illustrerande karta över de entiteter som är direkt anslutna till aviseringen och varje resurs som är ansluten ytterligare.

    Visa karta.

    Viktigt

    • Du kommer bara att kunna undersöka incidenten om du använde entitetsmappningsfälten när du konfigurerade din analysregel. Undersökningsdiagrammet förutsätter att den ursprungliga incidenten har entiteter.

    • Microsoft Sentinel stöder för närvarande undersökning av incidenter som är upp till 30 dagar gamla.

  2. Välj en entitet för att öppna fönstret Entiteter så att du kan granska informationen om entiteten.

    Visa entiteter på karta

  3. Utöka din undersökning genom att hovra över varje entitet för att visa en lista över frågor som har utformats av våra säkerhetsexperter och analytiker per entitetstyp för att fördjupa undersökningen. Vi kallar dessa alternativ för utforskningsfrågor.

    Utforska mer information

    På en dator kan du till exempel begära relaterade aviseringar. Om du väljer en utforskningsfråga läggs de resulterande betitlarna tillbaka till diagrammet. I det här exemplet returnerades följande aviseringar i diagrammet när du valde Relaterade aviseringar:

    Visa relaterade aviseringar

  4. För varje utforskningsfråga kan du välja alternativet för att öppna råhändelseresultat och frågan som används i Log Analytics genom att välja Händelser >.

  5. För att förstå incidenten ger diagrammet dig en parallell tidslinje.

    Visa tidslinje på karta

  6. Hovra över tidslinjen för att se vilka saker i diagrammet som inträffade vid vilken tidpunkt.

    Använda tidslinjen på kartan för att undersöka aviseringar

Stänga en incident

När du har löst en viss incident (till exempel när undersökningen har nått sin slutsats) bör du ange incidentens status till Stängd. När du gör det uppmanas du att klassificera incidenten genom att ange orsaken till att du stänger den. Det här steget är obligatoriskt. Klicka på Välj klassificering och välj något av följande i listrutan:

  • Sann positiv – misstänkt aktivitet
  • Godartad positiv – misstänkt men förväntad
  • Falsk positiv – felaktig aviseringslogik
  • Falsk positiv – felaktiga data
  • Obestämd

Skärmbild som visar de klassificeringar som är tillgängliga i listan Välj klassificering.

Mer information om falska positiva och godartade positiva resultat finns i Hantera falska positiva resultat i Microsoft Sentinel.

När du har valt lämplig klassificering lägger du till beskrivande text i fältet Kommentar. Detta är användbart om du behöver referera tillbaka till den här incidenten. Klicka Tillämpa när du är klar så stängs incidenten.

{alt-text}

Söka efter incidenter

Om du snabbt vill hitta en specifik incident anger du en söksträng i sökrutan ovanför rutnätet incidents och trycker på Retur för att ändra listan över incidenter som visas. Om incidenten inte ingår i resultatet kan du begränsa sökningen med hjälp av avancerade sökalternativ.

Om du vill ändra sökparametrarna väljer du knappen Sök och sedan de parametrar där du vill köra sökningen.

Exempel:

Skärmbild av incidentsökrutan och knappen för att välja grundläggande och/eller avancerade sökalternativ.

Som standard körs incidentsökningar endast över värdena incident-ID, rubrik, taggar, ägare och produktnamn. I sökfönstret rullar du nedåt i listan för att välja en eller flera andra parametrar att söka efter och väljer Tillämpa för att uppdatera sökparametrarna. Välj Ange som standard för att återställa de valda parametrarna till standardalternativet.

Anteckning

Sökningar i fältet Ägare stöder både namn och e-postadresser.

Om du använder avancerade sökalternativ ändras sökbeteendet på följande sätt:

Sökbeteende Beskrivning
Sök knappfärg Sökknappens färg ändras beroende på vilka typer av parametrar som för närvarande används i sökningen.

– Så länge endast standardparametrarna är markerade är knappen grå.
- Så snart olika parametrar har valts, till exempel avancerade sökparametrar, blir knappen blå.
Uppdatera automatiskt Med hjälp av avancerade sökparametrar kan du inte välja att automatiskt uppdatera resultatet.
Entitetsparametrar Alla entitetsparametrar stöds för avancerade sökningar. När du söker i en entitetsparameter körs sökningen i alla entitetsparametrar.
Söka efter strängar När du söker efter en sträng med ord ingår alla ord i sökfrågan. Söksträngar är fallkänsliga.
Stöd för flera arbetsytor Avancerade sökningar stöds inte för vyer för flera arbetsytor.
Antal sökresultat som visas När du använder avancerade sökparametrar visas endast 50 resultat i taget.

Tips

Om du inte kan hitta incidenten du letar efter tar du bort sökparametrarna för att utöka sökningen. Om sökresultaten visar för många objekt kan du lägga till fler filter för att begränsa resultaten.

Nästa steg

I den här artikeln har du lärt dig hur du kommer igång med att undersöka incidenter med hjälp av Microsoft Sentinel. Mer information finns i: