瞭解 Microsoft Sentinel 的事件調查和案例管理功能
Microsoft Sentinel 提供完整的功能案例管理平臺,以調查和管理安全性事件。 事件是 Microsoft Sentinel 案例檔案的名稱,其中包含安全性威脅的完整且不斷更新的時序表,無論是個別的證據片段(警示)、嫌疑人和相關對象(實體)、安全性專家和 AI/機器學習模型所收集及策劃的見解,或調查過程中所採取之所有動作的批註和記錄。
Microsoft Sentinel 中的事件調查體驗從 [事件 ] 頁面開始,這是一項新體驗,其設計目的是讓您在一個地方完成調查所需的一切。 這項新體驗的主要目標是提高SOC的效率與有效性,減少其平均解決時間(MTTR)。
本文會引導您完成一般事件調查的階段,並呈現可供您使用的所有顯示和工具來協助您。
增加SOC的成熟度
Microsoft Sentinel 提供工具來協助安全性作業 (SecOps) 成熟度提升。
標準化程式
事件工作 是分析人員要遵循的工作工作流程清單,以確保統一的護理標準,並防止遺漏關鍵步驟。 SOC 經理和工程師可以開發這些工作清單,並讓它們自動套用至不同的事件群組,或全面套用。 SOC 分析師接著可以存取每個事件內指派的工作,並在完成時將其標示為關閉。 分析師也可以手動將工作新增至其開啟的事件,無論是自我提醒,還是其他可能共同作業事件分析師的利益(例如,因為班次變更或呈報)。
深入瞭解 事件工作。
稽核事件管理
事件 活動記錄 會追蹤由人類或自動化程式起始的事件所採取的動作,並顯示事件的所有批注。 您也可以在這裡新增自己的批注。 它提供您一切發生的完整記錄,確保徹底和問責。
有效且有效率地調查
請參閱時程表
首先:作為分析師,您想要回答的最基本問題是,為什麼這一事件被引起我的注意? 輸入事件的詳細數據頁面將會回答這個問題:就在畫面中央,您會看到 [事件時間軸 ] 小工具。 時間軸是所有警示的日記,這些警示代表與調查相關的所有記錄事件,其發生順序。 時程表也會顯示 書籤、搜捕時收集的辨識項快照集,並新增至事件。 選取此清單,以查看此清單上任何專案的完整詳細數據。 其中許多詳細數據,例如原始警示、建立它的分析規則,以及任何書籤,都會顯示為您可以選取深入瞭解並深入瞭解的連結。
深入瞭解您可以從事件時間軸執行哪些動作。
從類似的事件中學習
如果您到目前為止在事件中看到的任何項目看起來都很熟悉,則可能有充分的理由。 Microsoft Sentinel 會先顯示與開啟事件最相似的事件,讓您領先一步。 [類似事件] 小工具會顯示被視為類似事件的最相關信息,包括其上次更新的日期和時間、上次擁有者、上次狀態(包括關閉時、關閉原因),以及相似性的原因。
這可透過數種方式為您的調查帶來好處:
- 找出可能屬於較大攻擊策略一部分的並行事件。
- 使用類似事件作為您目前調查的參考點,查看其處理方式。
- 識別過去類似事件的擁有者,以受益於其知識。
小工具會顯示 20 個最類似的事件。 Microsoft Sentinel 會根據常見的元素來決定哪些事件類似,包括實體、來源分析規則和警示詳細數據。 從這個小工具,您可以直接跳至這些事件的完整詳細數據頁面,同時保持與目前事件的連線不變。
深入瞭解您可以使用類似事件執行 哪些動作。
檢查最深入解析
接下來,有所發生的事情(或仍在發生)的廣泛大綱,並更好地了解內容,您將好奇 Microsoft Sentinel 已經為您找到哪些有趣的資訊。 它會自動詢問事件中實體的相關重大問題,並在事件詳細數據頁面右側顯示 Top Insights 小工具中的最上層解答。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。
這些是實體頁面上所顯示之深入解析的特別選取子集,但在此內容中,事件中所有實體的深入解析都會一起呈現,讓您更完整地瞭解所發生的情況。 每個實體的 [實體] 索引卷標上會顯示一組完整的深入解析,如下所示。
Top Insights 小工具會回答與其同儕和自己的歷程記錄、在關注清單上或威脅情報中存在,或與它相關的任何其他異常事件相關的實體相關問題。
這些深入解析大多包含詳細信息的連結。 這些連結會在內容中開啟 [記錄] 面板,您可以在其中看到該深入解析的來源查詢及其結果。
檢視實體
既然您已回答一些內容和一些基本問題,您會想要更深入地瞭解主要玩家在此故事中。 您的調查中,用戶名稱、主機名、IP 位址、檔名和其他類型的實體都可以是「感興趣的人」。 Microsoft Sentinel 會為您尋找所有專案,並在 [實體] 小工具的前面和中央顯示它們,以及時間軸。 從這個小工具選取實體會將您樞紐至相同事件頁面上 [實體] 索引標籤中的實體清單。
[實體] 索引標籤包含事件中所有實體的清單。 選取清單中的實體時,側邊面板隨即開啟,其中包含以實體頁面為基礎的顯示。 側邊面板包含三張卡片:
資訊 包含實體的基本資訊。 對於使用者帳戶實體,這可能是像是用戶名稱、功能變數名稱、安全性標識碼 (SID)、組織資訊、安全性資訊等等。
時間軸 包含一份警示清單,其中包含此實體和實體已執行的活動,如從實體出現所在的記錄中收集。
深入解析 包含與其行為相關之實體與其同儕和其歷史、其存在於關注清單或威脅情報中的存在,或與其相關的任何其他異常事件相關問題的解答。 這些答案是 Microsoft 安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的數據,針對實體提供寶貴的內容安全性資訊。
自 2023 年 11 月起,Insights 面板包含預覽版中提供的下一代深入解析,其形式為擴充小工具,以及現有的深入解析。 若要利用這些新小工具,您必須 啟用小工具體驗。
視實體類型而定,您可以從這個側邊面板採取一些進一步的動作:
- 樞紐至實體的完整 實體頁面 ,以取得較長時間範圍的詳細數據,或啟動以該實體為中心的圖形調查工具。
- 執行劇本,在實體上採取特定回應或補救動作(預覽版)。
- 將實體分類為 入侵指標(IOC), 並將其新增至威脅情報清單。
某些實體類型目前支援上述每個動作,而不是針對其他實體類型。 下表顯示哪些實體類型支援哪些動作:
| 可用的動作 ▶ 實體類型 • |
查看完整詳情 (在實體頁面中) |
新增至 TI * | 執行劇本 * (預覽) |
|---|---|---|---|
| 使用者帳戶 | ✔ | ✔ | |
| 主機 | ✔ | ✔ | |
| IP 位址 | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| 網域名稱 | ✔ | ✔ | |
| 檔案 (哈希) | ✔ | ✔ | |
| Azure 資源 | ✔ | ||
| IoT 裝置 | ✔ |
* 對於可供使用 [新增至 TI] 或 [執行劇本] 動作的實體,您可以從 [概觀] 索引卷標的 [實體] 小工具立即採取這些動作,絕不離開事件頁面。
探索記錄
現在,您會想要深入瞭解詳細數據,以瞭解 究竟發生了什麼事? 從上述幾乎任何位置,您可以向下切入事件中包含的個別警示、實體、深入解析和其他項目,檢視原始查詢及其結果。 這些結果會顯示在 [記錄檔] [記錄分析] 畫面中,此畫面會顯示為事件詳細數據頁面的面板延伸模組,因此您不會離開調查的內容。
依序保留您的記錄
最後,基於透明度、責任和持續性的利益,您會想要記錄事件上已採取的所有動作,無論是由自動化程式還是人員。 事件 活動記錄 會顯示所有這些活動。 您也可以看到任何已建立的批注,並新增您自己的批注。 活動記錄會持續自動重新整理,即使開啟,您也可以即時查看其變更。
下一步
在本檔中,您已瞭解 Microsoft Sentinel 中的事件調查體驗如何協助您 在單一內容中進行調查。 如需管理及調查事件的詳細資訊,請參閱下列文章:
- 使用工作來管理 Microsoft Sentinel 中的事件
- 使用 Microsoft Sentinel 中的實體頁面調查實體。
- 使用自動化規則將 Microsoft Sentinel 中的事件處理自動化。
- 使用 Microsoft Sentinel 中的使用者和實體行為分析 (UEBA) 識別進階威脅
- 搜尋安全性威脅。