Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет вам использовать устаревший опыт исследования инцидентов Microsoft Sentinel. Если вы используете более новую версию интерфейса, используйте более новый набор инструкций для сопоставления. Дополнительные сведения см. в статье Навигация и исследование инцидентов в Microsoft Sentinel.
После подключения источников данных к Microsoft Sentinel вы хотите получать уведомления о подозрительных событиях. Чтобы сделать это, Microsoft Sentinel позволяет создавать правила расширенной аналитики, которые создают инциденты, которые можно назначать и исследовать.
Инцидент может включать несколько оповещений. Это агрегирование всех соответствующих доказательств для конкретного расследования. Инцидент создается на основе правил аналитики, созданных на странице Аналитика . Свойства, связанные с оповещениями, такие как серьезность и состояние, задаются на уровне инцидента. После того как вы сообщите Microsoft Sentinel, какие типы угроз вы ищете и как их найти, вы можете отслеживать обнаруженные угрозы, изучая инциденты.
Важно!
В настоящее время отмеченные функции находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
Предварительные условия
Вы сможете исследовать инцидент, только если использовали поля сопоставления сущностей при настройке правила аналитики. Граф исследования требует, чтобы исходный инцидент был включен в сущности.
Если у вас есть гостевой пользователь, которому необходимо назначить инциденты, ему должна быть назначена роль читателя каталога в клиенте Microsoft Entra. Обычные (не являющиеся) пользователи этой роли назначены по умолчанию.
Как расследовать инциденты
Выберите Инциденты. На странице Инциденты вы узнаете, сколько инцидентов у вас есть и является ли они новыми, активными или закрытыми. Для каждого инцидента можно просмотреть время его возникновения и состояние инцидента. Просмотрите степень серьезности, чтобы решить, какие инциденты следует обрабатывать в первую очередь.
Вы можете фильтровать инциденты по мере необходимости, например по состоянию или серьезности. Дополнительные сведения см. в разделе Поиск инцидентов.
Чтобы начать расследование, выберите конкретный инцидент. Справа вы можете просмотреть подробные сведения об инциденте, включая его серьезность, сводку по количеству задействованных сущностей, необработанные события, которые вызвали этот инцидент, уникальный идентификатор инцидента и любые сопоставленные mitre ATT&тактики или методов CK.
Чтобы просмотреть дополнительные сведения об оповещениях и сущностях в инциденте, выберите Просмотреть полные сведения на странице инцидента и просмотрите соответствующие вкладки, на которых обобщается информация об инциденте.
Если вы используете новый интерфейс, отключите его в правом верхнем углу страницы сведений об инциденте, чтобы использовать устаревший интерфейс.
На вкладке Временная шкала просмотрите временная шкала оповещений и закладок в инциденте, которые помогут вам восстановить временная шкала действий злоумышленников.
На вкладке Аналогичные инциденты (предварительная версия) вы увидите коллекцию из 20 других инцидентов, которые больше всего похожи на текущий инцидент. Это позволяет просматривать инцидент в более широком контексте и направлять расследование. Дополнительные сведения об аналогичных инцидентах см. ниже.
На вкладке Оповещения просмотрите оповещения, включенные в этот инцидент. Вы увидите всю важную информацию об оповещениях: правила аналитики, которые их создали, количество возвращаемых результатов для каждого оповещения и возможность запуска сборников схем для оповещений. Чтобы еще больше детализировать инцидент, выберите количество событий. Откроется запрос, который создал результаты и события, которые активировали оповещение в Log Analytics.
На вкладке Закладки вы увидите все закладки, которые вы или другие следователи связали с этим инцидентом. Дополнительные сведения о закладках.
На вкладке Сущности отображаются все сущности , сопоставленные как часть определения правила генерации оповещений. Это объекты, которые сыграли свою роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы.
Наконец, на вкладке Примечания можно добавить свои комментарии к расследованию и просмотреть любые комментарии, сделанные другими аналитиками и следователями. Дополнительные сведения о комментариях.
Если вы активно расследуете инцидент, рекомендуется установить состояние инцидента в активное , пока вы не закроете его.
Инциденты могут быть назначены конкретному пользователю или группе. Для каждого инцидента можно назначить владельца, задав поле Владелец . Все инциденты начинаются как неназначенные. Вы также можете добавить комментарии, чтобы другие аналитики могли понять, что вы исследовали и что вы беспокоитесь об инциденте.
Недавно выбранные пользователи и группы отображаются в верхней части раскрывающегося списка.
Выберите Исследовать , чтобы просмотреть карту исследования.
Использование графика исследования для глубокого погружения
График исследования позволяет аналитикам задавать правильные вопросы для каждого исследования. Диаграмма исследования помогает понять область и определить первопричину потенциальной угрозы безопасности путем корреляции соответствующих данных с любой связанной сущностью. Вы можете углубиться и исследовать любую сущность, представленную на графе, выбрав ее и выбрав между разными вариантами расширения.
Диаграмма исследования предоставляет следующие возможности:
Визуальный контекст из необработанных данных. В динамическом визуальном графе отображаются связи сущностей, автоматически извлеченные из необработанных данных. Это позволяет легко видеть подключения между разными источниками данных.
Полное исследование область обнаружение. Расширьте область исследования, используя встроенные запросы для просмотра полной область нарушения.
Встроенные шаги исследования. Используйте предопределенные параметры исследования, чтобы убедиться, что вы задаете правильные вопросы перед лицом угрозы.
Чтобы использовать граф исследования, выполните следующие действия:
Выберите инцидент, а затем — Исследовать. Вы перейдете к графу исследования. На диаграмме представлена иллюстративная карта сущностей, напрямую подключенных к оповещению, и каждого дополнительно подключенного ресурса.
Важно!
Вы сможете исследовать инцидент, только если использовали поля сопоставления сущностей при настройке правила аналитики. Граф исследования требует, чтобы исходный инцидент был включен в сущности.
Microsoft Sentinel в настоящее время поддерживает расследование инцидентов до 30 дней.
Выберите сущность, чтобы открыть панель Сущности , чтобы просмотреть сведения о ней.
Расширьте свое исследование, наведя указатель мыши на каждую сущность, чтобы отобразить список вопросов, которые были разработаны нашими экспертами по безопасности и аналитиками для каждого типа сущности, чтобы углубить ваше исследование. Мы называем эти запросы на просмотр параметров.
Например, можно запросить связанные оповещения. При выборе запроса на просмотр результирующие права добавляются обратно в граф. В этом примере при выборе связанных оповещений в графе возвращаются следующие оповещения:
Убедитесь, что связанные оповещения связаны с сущностью пунктирными линиями.
Для каждого запроса на просмотр можно выбрать параметр, чтобы открыть необработанные результаты события и запрос, используемый в Log Analytics, выбрав События>.
Чтобы понять инцидент, граф предоставляет параллельный временная шкала.
Наведите указатель мыши на временная шкала, чтобы увидеть, какие события на графике произошли в какой момент времени.
Сосредоточьтесь на исследовании
Узнайте, как расширить или сузить область расследования путем добавления оповещений в инциденты или удаления оповещений из инцидентов.
Похожие инциденты (предварительная версия)
Как аналитик по операциям безопасности, при расследовании инцидента вы хотите обратить внимание на его более широкий контекст. Например, вы захотите узнать, произошли ли другие подобные инциденты ранее или происходят сейчас.
Может потребоваться определить параллельные инциденты, которые могут быть частью одной и той же более крупной стратегии атаки.
Вы можете определить аналогичные инциденты в прошлом, чтобы использовать их в качестве ориентиров для текущего исследования.
Вам может потребоваться определить владельцев прошлых аналогичных инцидентов, чтобы найти людей в SOC, которые могут предоставить дополнительный контекст или которым вы можете повысить уровень расследования.
На вкладке аналогичных инцидентов на странице сведений об инциденте( теперь в предварительной версии) представлено до 20 других инцидентов, наиболее похожих на текущий. Сходство вычисляется с помощью внутренних алгоритмов Microsoft Sentinel, а инциденты сортируются и отображаются в порядке убывания сходства.
Вычисление сходства
Существует три критерия, по которым определяется сходство:
Аналогичные сущности: Инцидент считается похожим на другой инцидент, если они оба включают одни и те же сущности. Чем больше сущностей объединяет два инцидента, тем больше они считаются похожими.
Аналогичное правило: Инцидент считается похожим на другой инцидент, если оба инцидента были созданы одним и тем же правилом аналитики.
Аналогичные сведения об оповещении: Инцидент считается похожим на другой инцидент, если у них одно и то же название, название продукта и (или) пользовательские сведения.
Причины, по которым инцидент отображается в списке аналогичных инцидентов, отображаются в столбце Причина сходства . Наведите указатель мыши на значок сведений, чтобы отобразить общие элементы (сущности, имя правила или сведения).
Интервал времени сходства
Сходство инцидентов вычисляется на основе данных за 14 дней до последнего действия в инциденте, то есть времени окончания последнего оповещения в инциденте.
Сходство инцидентов пересчитывается каждый раз, когда вы вводите страницу сведений об инциденте, поэтому результаты могут отличаться в разных сеансах, если новые инциденты были созданы или обновлены.
Комментировать инциденты
Как аналитик по операциям безопасности, при расследовании инцидента вы хотите тщательно задокументировать шаги, которые вы предпринимаете, чтобы обеспечить точные отчеты руководству и обеспечить беспроблемное сотрудничество и совместную работу между коллегами. Microsoft Sentinel предоставляет широкие возможности для комментариев, которые помогут вам выполнить эту задачу.
Еще одна важная вещь, которую вы можете сделать с помощью комментариев, — это автоматическое обогащение инцидентов. При запуске сборника схем для инцидента, который получает соответствующую информацию из внешних источников (например, проверяет файл на наличие вредоносных программ в VirusTotal), вы можете поместить ответ внешнего источника вместе с любой другой информацией, которую вы определяете, в комментариях к инциденту.
Комментарии просты в использовании. Доступ к ним осуществляется на вкладке Примечания на странице сведений об инциденте.
Часто задаваемые вопросы о комментариях к инциденту
При использовании комментариев к инциденту следует учитывать несколько факторов. Приведенный ниже список вопросов указывает на эти рекомендации.
Какие типы входных данных поддерживаются?
Текст: Примечания в Microsoft Sentinel поддерживают текстовые вводы в виде обычного текста, базового HTML и Markdown. Вы также можете вставить скопированный текст, HTML и Markdown в окно комментариев.
Изображения: Вы можете вставлять ссылки на изображения в комментариях, и изображения отображаются в встроенном виде, но изображения уже должны размещаться в общедоступных местах, таких как Dropbox, OneDrive, Google Диск и т. г. Изображения не могут быть отправлены непосредственно в комментарии.
Существует ли ограничение на размер примечаний?
За комментарий: Один комментарий может содержать до 30 000 символов.
За инцидент: Один инцидент может содержать до 100 комментариев.
Примечание.
Размер одной записи инцидента в таблице SecurityIncident в Log Analytics составляет 64 КБ. Если это ограничение превышено, комментарии (начиная с самого раннего) будут усечены, что может повлиять на комментарии, которые будут отображаться в расширенных результатах поиска .
Фактические записи инцидентов в базе данных инцидентов не будут затронуты.
Кто может изменять или удалять примечания?
Редактирования: Только автор комментария имеет разрешение на его редактирование.
Удаление: Только пользователи с ролью участника Microsoft Sentinel имеют разрешение на удаление примечаний. Даже автор комментария должен иметь эту роль, чтобы удалить его.
Закрытие инцидента
После устранения конкретного инцидента (например, после завершения расследования) следует задать для него состояние "Закрыто". В этом случае вам будет предложено классифицировать инцидент, указав причину закрытия инцидента. Этот шаг является обязательным. Выберите Выбрать классификацию и выберите один из следующих вариантов в раскрывающемся списке:
- True Positive — подозрительное действие
- Доброкачественный положительный - подозрительный, но ожидаемый
- Ложноположительный результат — неправильная логика оповещений
- Ложноположительный результат — неверные данные
- Undetermined (не определено)
Дополнительные сведения о ложноположительных и неопасных срабатываниях см. в разделе Обработка ложноположительных срабатываний в Microsoft Sentinel.
Выбрав соответствующую классификацию, добавьте описательный текст в поле Комментарий . Это полезно в том случае, если вам нужно вернуться к этому инциденту. По завершении нажмите кнопку Применить , и инцидент будет закрыт.
Поиск инцидентов
Чтобы быстро найти конкретный инцидент, введите строку поиска в поле поиска над сеткой инцидентов и нажмите клавишу ВВОД , чтобы изменить соответствующий список инцидентов. Если ваш инцидент не включен в результаты, может потребоваться сузить поиск с помощью параметров расширенного поиска .
Чтобы изменить параметры поиска, нажмите кнопку Поиск , а затем выберите параметры, в которых вы хотите выполнить поиск.
Например, вы можете:
По умолчанию поиск инцидента выполняется только по значениям Идентификатор инцидента, Название инцидента, Теги, Владелец и Имя продукта . В области поиска прокрутите список вниз, чтобы выбрать один или несколько других параметров для поиска, и нажмите кнопку Применить , чтобы обновить параметры поиска. Выберите Задать, чтобы сбросить выбранные параметры по умолчанию до параметра по умолчанию.
Примечание.
Поиск в поле Владелец поддерживает как имена, так и адреса электронной почты.
Использование расширенных параметров поиска изменяет поведение поиска следующим образом:
| Поведение поиска | Описание |
|---|---|
| Цвет кнопки поиска | Цвет кнопки поиска изменяется в зависимости от типов параметров, используемых в настоящее время в поиске.
|
| Авто-обновление | Использование расширенных параметров поиска не позволяет выбрать автоматическое обновление результатов. |
| Параметры сущности | Все параметры сущности поддерживаются для расширенного поиска. При поиске в любом параметре сущности поиск выполняется во всех параметрах сущности. |
| Строки поиска | Поиск строки слов включает все слова в поисковом запросе. В строках поиска учитывается регистр. |
| Поддержка нескольких рабочих областей | Расширенный поиск не поддерживается для представлений между рабочими областями. |
| Количество отображаемых результатов поиска | При использовании расширенных параметров поиска одновременно отображаются только 50 результатов. |
Совет
Если вам не удается найти нужный инцидент, удалите параметры поиска, чтобы развернуть поиск. Если в результатах поиска слишком много элементов, добавьте дополнительные фильтры, чтобы сузить результаты.
Связанные материалы
Из этой статьи вы узнали, как начать расследование инцидентов с помощью Microsoft Sentinel. Дополнительные сведения см. в разделе: