Поделиться через


Общие сведения о расследовании инцидентов в Microsoft Sentinel и возможностях управления делами

Microsoft Sentinel предоставляет полную, полнофункционированную платформу управления делами для изучения инцидентов безопасности и управления ими. Инциденты — это имя Microsoft Sentinel для файлов дела, содержащих полный и постоянно обновленный хронологию угрозы безопасности, будь то отдельные фрагменты доказательств (оповещений), подозреваемых и сторон, интересующих (сущностей), аналитические сведения, собранные экспертами по безопасности и моделями искусственного интеллекта и машинного обучения, или комментарии и журналы всех действий, принятых в ходе расследования.

Опыт исследования инцидентов в Microsoft Sentinel начинается со страницы "Инциденты " — новый интерфейс, предназначенный для предоставления вам всего необходимого для расследования в одном месте. Ключевой целью этого нового опыта является повышение эффективности и эффективности SOC, сокращение среднего времени для разрешения (MTTR).

В этой статье описаны этапы типичного расследования инцидентов, показыв все отображаемые и средства, доступные для вас, чтобы помочь вам вместе.

Увеличьте зрелость SOC

Microsoft Sentinel предоставляет средства, помогающие повысить уровень зрелости операций безопасности (SecOps).

Стандартизация процессов

Задачи инцидентов — это списки рабочих процессов для аналитиков, чтобы обеспечить единый стандарт ухода и предотвратить пропуск важных шагов. Руководители и инженеры SOC могут разрабатывать эти списки задач и автоматически применять их к разным группам инцидентов в соответствии с соответствующими параметрами или по всей доске. Затем аналитики SOC могут получить доступ к назначенным задачам в каждом инциденте, помечая их по завершении. Аналитики также могут вручную добавлять задачи в открытые инциденты, как самозаверяния или в пользу других аналитиков, которые могут сотрудничать с инцидентом (например, из-за смены или эскалации).

Дополнительные сведения о задачах инцидентов.

Аудит управления инцидентами

Журнал действий инцидентов отслеживает действия, выполняемые на инциденте, независимо от того, инициируются ли люди или автоматизированные процессы, и отображает их вместе со всеми комментариями об инциденте. Вы также можете добавить собственные комментарии здесь. Это дает вам полный отчет обо всем, что произошло, обеспечивая тщательность и подотчетность.

Эффективное и эффективное исследование

Просмотр временной шкалы

Во-первых: Как аналитик, самый простой вопрос, который вы хотите ответить, почему этот инцидент обращается к моему внимания? Страница сведений об инциденте ответит на этот вопрос: прямо в центре экрана вы увидите мини-приложение временной шкалы инцидента. Временная шкала — это дневник всех оповещений , представляющих все зарегистрированные события, относящиеся к расследованию, в том порядке, в котором они произошли. На временной шкале также показаны закладки, моментальные снимки доказательств, собранных во время охоты и добавленные в инцидент. Просмотрите полные сведения о любом элементе в этом списке, выбрав его. Многие из этих сведений ( например, исходное оповещение, правило аналитики, создающее его, и все закладки) отображаются в виде ссылок, которые можно выбрать для более глубокого изучения и получения дополнительных сведений.

Дополнительные сведения о том, что можно сделать на временной шкале инцидентов.

Узнайте об аналогичных инцидентах

Если что-нибудь, что вы видели до сих пор в вашем инциденте выглядит знакомым, может быть веские причины. Microsoft Sentinel остается на шаг впереди вас, показывая вам инциденты, наиболее похожие на открытый. Мини-приложение "Аналогичные инциденты" показывает вам наиболее релевантную информацию об инцидентах , которые считаются похожими, включая их последние обновленные даты и время, последний владелец, последнее состояние (включая, если они закрыты, причина, по которой они были закрыты), и причина сходства.

Это может воспользоваться вашим исследованием несколькими способами:

  • Пятнистые параллельные инциденты, которые могут быть частью более крупной стратегии атаки.
  • Используйте аналогичные инциденты в качестве эталонных точек для текущего расследования, см. сведения о том, как они были рассмотрены.
  • Определите владельцев прошлых аналогичных инцидентов, чтобы воспользоваться своими знаниями.

В мини-приложении показаны 20 наиболее похожих инцидентов. Microsoft Sentinel решает, какие инциденты похожи на общие элементы, включая сущности, правило исходной аналитики и сведения о оповещении. Из этого мини-приложения можно перейти непосредственно на все страницы сведений об этих инцидентах, сохраняя подключение к текущему инциденту нетронутым.

Узнайте больше о том, что можно сделать с аналогичными инцидентами.

Изучение основных аналитических сведений

Далее, имея широкие сведения о том, что произошло (или все еще происходит), и имея лучшее понимание контекста, вы будете любопытно о том, какая интересная информация Microsoft Sentinel уже узнала для вас. Он автоматически задает большие вопросы о сущностях в инциденте и отображает верхние ответы в мини-приложении Top Insights , видимый в правой части страницы сведений об инциденте. В этом мини-приложении показана коллекция аналитических сведений на основе анализа машинного обучения и курирования ведущих групп экспертов по безопасности.

Это специально выбранное подмножество аналитических сведений, которые отображаются на страницах сущностей, но в этом контексте аналитические сведения обо всех сущностях в инциденте представлены вместе, что дает вам более полную картину того, что происходит. Полный набор аналитических сведений отображается на вкладке "Сущности" для каждой сущности отдельно, см. ниже.

Мини-приложение Top Insights отвечает на вопросы о сущности, связанной с его поведением в сравнении со своими одноранговыми узлами и собственной историей, его присутствием в списках наблюдения или в аналитике угроз или любой другой вид необычного вхождения, связанного с ним.

Большая часть этих аналитических сведений содержит ссылки на дополнительные сведения. Эти ссылки открывают панель журналов в контексте, где вы увидите исходный запрос для этого анализа вместе с результатами.

Просмотр сущностей

Теперь, когда у вас есть контекст и некоторые основные вопросы, ответы на которые вы хотите получить больше глубины на основных игроков, находятся в этой истории. Имена пользователей, имена узлов, IP-адреса, имена файлов и другие типы сущностей могут быть "лицами, интересующими вас". Microsoft Sentinel находит их для вас и отображает их передний и центр в мини-приложении Сущностей наряду с временной шкалой. При выборе сущности из этого мини-приложения вы узнаете о списке этой сущности на вкладке "Сущности" на той же странице инцидента.

Вкладка "Сущности" содержит список всех сущностей в инциденте. При выборе сущности в списке откроется боковая панель, содержащая дисплей на основе страницы сущности. Боковая панель содержит три карточки:

  • Сведения содержат основные сведения об сущности. Для сущности учетной записи пользователя это может быть имя пользователя, доменное имя, идентификатор безопасности (SID), сведения о организации, сведения о безопасности и многое другое.
  • Временная шкала содержит список оповещений, которые содержат эту сущность и действия, которые сущность сделала, как было собрано из журналов, в которых отображается сущность.
  • Аналитика содержит ответы на вопросы о сущности, связанной с его поведением в сравнении со своими одноранговыми узлами и собственной историей, его присутствие в списках наблюдения или в аналитике угроз, или любой другой вид необычного вхождения, связанного с ним. Эти ответы — это результаты запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности сущностей на основе данных из коллекции источников.

В зависимости от типа сущности можно выполнить ряд дальнейших действий с этой боковой панели:

  • Сводка на полную страницу сущности сущности, чтобы получить еще больше сведений в течение более длительного интервала времени или запустить графическое средство исследования, в центре этого объекта.
  • Запустите сборник схем, чтобы выполнить определенные действия по реагированию или исправлению сущности (в предварительной версии).
  • Классифицируйте сущность как индикатор компрометации (МОК) и добавьте ее в список аналитики угроз.

Каждое из этих действий в настоящее время поддерживается для определенных типов сущностей, а не для других. В следующей таблице показано, какие действия поддерживаются для типов сущностей:

Доступные действия ▶
Типы сущностей :
Просмотреть все подробные данные
(на странице сущности)
Добавление в TI * Run playbook *
(Предварительная версия)
Учетная запись пользователя
Узел
IP-адрес
URL-адрес
Доменное имя
Файл (хэш)
Ресурс Azure
Устройство Интернета вещей

* Для сущностей, для которых доступны действия "Добавить в ТИ " или "Запустить сборник схем", эти действия можно выполнять прямо на вкладке "Обзор сущностей " на вкладке "Обзор", не покидая страницу инцидента.

Изучение журналов

Теперь вы хотите перейти к деталям, чтобы узнать , что именно произошло? Практически в любом из перечисленных выше мест можно детализирует отдельные оповещения, сущности, аналитические сведения и другие элементы, содержащиеся в инциденте, просматривая исходный запрос и его результаты. Эти результаты отображаются на экране журналов (log analytics), который отображается здесь в виде расширения панели страницы сведений об инциденте, поэтому вы не покидаете контекст исследования.

Сохранение записей в порядке

Наконец, в интересах прозрачности, подотчетности и непрерывности вы захотите учесть все действия, которые были приняты на инцидент , будь то автоматизированные процессы или люди. В журнале действий инцидента отображаются все эти действия. Вы также можете просмотреть любые примечания, которые были сделаны и добавить свои собственные. Журнал действий постоянно обновляется автоматически, даже при открытии, поэтому вы можете видеть изменения в нем в режиме реального времени.

Следующие шаги

В этом документе вы узнали, как опыт исследования инцидентов в Microsoft Sentinel помогает выполнять расследование в одном контексте. Дополнительные сведения об управлении инцидентами и их расследовании см. в следующих статьях: