Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel инциденты — это файлы, содержащие агрегирование всех соответствующих доказательств для конкретных расследований. Каждый инцидент создается (или добавляется к) на основе фрагментов доказательств (оповещений), созданных правилами аналитики или импортированных из сторонних продуктов безопасности, которые создают собственные оповещения. Инциденты наследуют сущности , содержащиеся в оповещениях, а также свойства оповещений, такие как серьезность, состояние и MITRE ATT&тактике и методам CK.
Microsoft Sentinel предоставляет полную платформу управления делами в портал Azure для расследования инцидентов безопасности. Страница сведений об инциденте — это центральное расположение для проведения расследования, собирая всю соответствующую информацию и все применимые средства и задачи на одном экране.
В этой статье описывается, как подробно изучить инцидент, помочь вам быстрее, эффективнее и эффективнее ориентироваться в инцидентах, а также сократить среднее время на разрешение (MTTR).
Предварительные условия
Для расследования инцидентов требуется назначение роли ответчика Microsoft Sentinel.
Дополнительные сведения о ролях в Microsoft Sentinel.
Если у вас есть гостевой пользователь, которому необходимо назначить инциденты, ему должна быть назначена роль читателя каталога в клиенте Microsoft Entra. Обычные (не являющиеся) пользователи этой роли назначены по умолчанию.
Если вы просматриваете устаревшую версию страницы сведений об инциденте, переключитесь на новый интерфейс в правом верхнем углу страницы, чтобы продолжить выполнение процедур, описанных в этой статье для нового интерфейса.
Подготовьте землю должным образом
При настройке для расследования инцидента соберите сведения, необходимые для управления рабочим процессом. Следующие средства находятся на панели кнопок в верхней части страницы инцидента прямо под заголовком.
Выберите Задачи , чтобы просмотреть задачи, назначенные для этого инцидента, или добавить собственные задачи. Задачи могут улучшить стандартизацию процессов в SOC. Дополнительные сведения см. в статье Использование задач для управления инцидентами в Microsoft Sentinel.
Выберите Журнал действий , чтобы узнать, были ли уже выполнены какие-либо действия по этому инциденту( например, правилами автоматизации) и все сделанные комментарии. Вы также можете добавить собственные комментарии. Дополнительные сведения см. в разделе События инцидента аудита и добавление комментариев.
Выберите Журналы в любое время, чтобы открыть полное пустое окно запроса Log Analytics на странице инцидента. Compose и выполнить запрос, связанный или нет, не выходя из инцидента. Таким образом, всякий раз, когда вы поражены внезапным вдохновением, чтобы пойти гоняться за мыслью, не беспокойтесь о прерывании вашего потока - журналы там для вас. Дополнительные сведения см. в статье Подробное изучение данных в журналах.
Кнопка Действия инцидента также находится напротив вкладок Обзор и Сущности . Здесь описаны те же действия, которые описаны ранее, доступные с помощью кнопки Действия на панели сведений на странице сетки инцидентов . Единственное, что отсутствует, — "Исследование", которое доступно на панели сведений слева.
Доступные действия под кнопкой Действия по инциденту :
| Действие | Описание |
|---|---|
| Запуск сборника схем | Запустите сборник схем для этого инцидента, чтобы выполнить определенные действия по обогащению, совместной работе или реагированию. |
| Создание правила автоматизации | Создайте правило автоматизации , которое в будущем будет выполняться только для таких инцидентов (созданных тем же правилом аналитики). |
| Создание команды (предварительная версия) | Создайте команду в Microsoft Teams для совместной работы с другими пользователями или командами в разных отделах по обработке инцидента. Если команда уже создана для этого инцидента, этот пункт меню отображается как Open Teams. |
Получение полного изображения на странице сведений об инциденте
На левой панели страницы сведений об инциденте содержатся те же сведения об инциденте, которые вы видели на странице Инциденты справа от сетки. Эта панель всегда отображается, независимо от того, какая вкладка отображается на остальной части страницы. Здесь вы можете просмотреть основные сведения об инциденте и детализировать их следующими способами:
В разделе Доказательства выберите События, Оповещения или Закладки , чтобы открыть панель Журналы на странице инцидента. На панели Журналы отображается запрос любого из трех выбранных элементов, и вы можете подробно просмотреть результаты запроса, не переходя в сторону от инцидента. Нажмите кнопку Готово , чтобы закрыть панель и вернуться к инциденту. Дополнительные сведения см. в статье Подробное изучение данных в журналах.
Выберите любую из записей в разделе Сущности , чтобы отобразить ее на вкладке Сущности. Здесь показаны только первые четыре сущности в инциденте. Чтобы просмотреть остальные элементы, выберите Просмотреть все, в мини-приложении Сущности на вкладке Обзор или на вкладке Сущности. Дополнительные сведения см. на вкладке Сущности.
Выберите Исследовать , чтобы открыть инцидент в графическом средстве исследования , которое схематирует связи между всеми элементами инцидента.
Эту панель также можно свернуть в левое поле экрана, щелкнув небольшую двойную стрелку влево рядом с раскрывающимся списком Владелец . Однако даже в этом сведенном состоянии вы по-прежнему сможете изменить владельца, состояние и серьезность.
Остальная часть страницы сведений об инциденте разделена на две вкладки: Обзор и Сущности.
Вкладка Обзор содержит следующие мини-приложения, каждое из которых представляет собой основную цель исследования.
| Виджет | Описание |
|---|---|
| Временная шкала инцидента | Мини-приложение "Инцидент временная шкала" показывает временная шкала оповещений и закладок в инциденте, что поможет вам восстановить временная шкала действий злоумышленников. Выберите отдельный элемент, чтобы просмотреть все его сведения, что позволит вам детализировать. Дополнительные сведения см. в статье Восстановление временная шкала истории атаки. |
| Аналогичные инциденты | В мини-приложении Аналогичные инциденты вы увидите коллекцию из 20 других инцидентов, которые больше всего напоминают текущий инцидент. Это позволяет просматривать инцидент в более широком контексте и направлять расследование. Дополнительные сведения см. в разделе Проверка похожих инцидентов в вашей среде. |
| Entities | Мини-приложение Сущности отображает все сущности , которые были определены в оповещениях. Это объекты, которые сыграли свою роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы. Выберите сущность, чтобы просмотреть ее полные сведения, которые отображаются на вкладке Сущности. Дополнительные сведения см. в разделе Изучение сущностей инцидента. |
| Основные аналитические сведения | В мини-приложении Top Insights вы увидите коллекцию результатов запросов, определенных исследователями безопасности Майкрософт, которые предоставляют ценные и контекстные сведения о безопасности для всех сущностей инцидента на основе данных из коллекции источников. Дополнительные сведения см. в разделе Получение основных аналитических сведений об инциденте. |
На вкладке Сущности отображается полный список сущностей в инциденте, который также отображается в мини-приложении Сущности на странице Обзор . При выборе сущности в мини-приложении вы увидите полное досье сущности: ее идентифицирующие сведения, временная шкала ее действий (как в инциденте, так и за ее пределами), а также полный набор аналитических сведений о сущности, как и на полной странице сущности, но ограничивается временным интервалом, соответствующим инциденту.
Воссоздать временная шкала истории атаки
Мини-приложение "Инцидент временная шкала" показывает временная шкала оповещений и закладок в инциденте, что поможет вам восстановить временная шкала действий злоумышленников.
Наведите указатель мыши на любой значок или неполный текстовый элемент, чтобы увидеть подсказку с полным текстом этого значка или текстового элемента. Эти подсказки пригодятся, когда отображаемый текст усечен из-за ограниченной ширины мини-приложения. См. пример на этом снимке экрана:
Выберите отдельное оповещение или закладку, чтобы просмотреть его полные сведения.
Сведения об оповещении включают серьезность и состояние оповещения, правила аналитики, которые его создали, продукт, создающий оповещение, сущности, упомянутые в оповещении, связанные с MITRE ATT&тактикой и методами CK, а также внутренний идентификатор оповещения системы.
Выберите ссылку Идентификатор системного оповещения , чтобы еще больше перейти к оповещению, открыв панель Журналы и отобразив запрос, который создал результаты и события, которые активировали оповещение .
Сведения о закладке не совпадают со сведениями об оповещении; хотя они также включают сущности, MITRE ATT&тактику и методы CK, а также идентификатор закладки, они также включают необработанный результат и сведения о создателе закладки.
Выберите ссылку Просмотреть журналы закладок , чтобы открыть панель Журналы и отобразить запрос, создающий результаты, сохраненные в виде закладки.
В мини-приложении временная шкала инцидента можно также выполнить следующие действия для оповещений и закладок:
Запустите сборник схем в оповещении, чтобы немедленно принять меры по устранению угрозы. Иногда перед продолжением исследования необходимо заблокировать или изолировать угрозу. Дополнительные сведения о запуске сборников схем для оповещений.
Удалите оповещение из инцидента. Вы можете удалить оповещения, добавленные в инциденты после их создания, если вы сочтете их не релевантными. Узнайте больше об удалении оповещений из инцидентов.
Удалите закладку из инцидента или измените поля в закладке, которые можно изменить (не отображаются).
Проверьте наличие похожих инцидентов в вашей среде
Как аналитик по операциям безопасности, при расследовании инцидента вы хотите обратить внимание на его более широкий контекст.
Как и в случае с мини-приложением временная шкала инцидента, вы можете навести указатель мыши на любой текст, который не полностью отображается из-за ширины столбца, чтобы отобразить полный текст.
Причины, по которым инцидент отображается в списке аналогичных инцидентов, отображаются в столбце Причина сходства . Наведите указатель мыши на значок сведений, чтобы отобразить общие элементы (сущности, имя правила или сведения).
Получение основных аналитических сведений об инциденте
эксперты по безопасности Microsoft Sentinel имеют встроенные запросы, которые автоматически задают важные вопросы о сущностях в вашем инциденте. Основные ответы можно просмотреть в мини-приложении Top Insights , которое отображается в правой части страницы сведений об инциденте. В этом мини-приложении представлен набор аналитических сведений, основанных как на анализе машинного обучения, так и на курирования лучших команд экспертов по безопасности.
Это те же аналитические сведения, которые отображаются на страницах сущностей, специально выбранных для быстрого рассмотрения и понимания область угрозы. По той же причине аналитические сведения обо всех сущностях в инциденте предоставляются вместе, чтобы получить более полное представление о том, что происходит.
Основные аналитические сведения могут быть изменены и могут включать в себя:
- Действия по учетной записи.
- Действия с учетной записью.
- Аналитика поведения пользователей и сущностей (UEBA).
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка просмотров (предварительная версия).
- Аномально большое число событий безопасности.
- Действия входа в Windows.
- IP-адреса удаленных подключений.
- IP-адрес удаленных подключений с соответствием TI.
Для каждой из этих аналитических сведений (за исключением тех, которые относятся к спискам отслеживания) есть ссылка, которую можно выбрать, чтобы открыть базовый запрос на панели Журналы, которая откроется на странице инцидента. Затем можно детализировать результаты запроса.
Интервал времени для мини-приложения Top Insights — от 24 часов до самого раннего оповещения в инциденте до момента последнего оповещения.
Изучение сущностей инцидента
Мини-приложение Сущности отображает все сущности , которые были определены в оповещениях в инциденте. Это объекты, которые сыграли свою роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы.
Вы можете выполнить поиск по списку сущностей в мини-приложении сущностей или отфильтровать список по типу сущности, чтобы помочь вам найти сущность.
Если вы уже знаете, что определенная сущность является известным индикатором компрометации, выберите три точки в строке сущности и выберите Добавить в TI , чтобы добавить сущность в аналитику угроз. (Этот параметр доступен для поддерживаемых типов сущностей.)
Если вы хотите активировать последовательность автоматического ответа для определенной сущности, выделите три точки и выберите Запустить сборник схем (предварительная версия). (Этот параметр доступен для поддерживаемых типов сущностей.)
Выберите сущность, чтобы просмотреть ее полные сведения. При выборе сущности вы переходите с вкладки Обзор на вкладку Сущности, другую часть страницы сведений об инциденте.
Вкладка "Сущности"
На вкладке Сущности отображается список всех сущностей в инциденте.
Как и в мини-приложении сущностей, в этом списке также можно выполнять поиск и фильтрацию по типу сущности. Поиск и фильтры, примененные в одном списке, не применяются к другому.
Выберите строку в списке, чтобы сведения об этой сущности отображались на боковой панели справа.
Если имя сущности отображается в виде ссылки, выбор имени сущности перенаправит вас на полную страницу сущности за пределами страницы исследования инцидента. Чтобы отобразить только боковую панель, не выходя из инцидента, выберите строку в списке, где отображается сущность, но не выбирайте ее имя.
Здесь можно выполнить те же действия, что и в мини-приложении на странице обзора. Выберите три точки в строке сущности, чтобы запустить сборник схем или добавить сущность в аналитику угроз.
Вы также можете выполнить эти действия, нажав кнопку рядом с кнопкой Просмотреть полные сведения в нижней части боковой панели. Кнопка считывает действие Добавить в TI, Запустить сборник схем (предварительная версия) или Действия сущностей. В этом случае появится меню с двумя другими вариантами.
Кнопка Просмотреть полные сведения сама перенаправляет вас на полную страницу сущности.
Панель сбоку вкладки "Сущности"
Выберите сущность на вкладке Сущности , чтобы отобразить боковую панель со следующими карточками:
Сведения содержат идентифицирующие сведения о сущности. Например, для сущности учетной записи пользователя это могут быть такие вещи, как имя пользователя, доменное имя, идентификатор безопасности (SID), сведения об организации, сведения о безопасности и многое другое, а для IP-адреса он будет включать, например, географическое расположение.
Временная шкала содержит список оповещений, закладок и аномалий , которые содержат эту сущность, а также действий, выполненных сущностью, собранных из журналов, в которых отображается сущность. Все оповещения, относящиеся к этой сущности, находятся в этом списке независимо от того, относятся ли оповещения к данному инциденту.
Оповещения, которые не являются частью инцидента, отображаются по-разному: значок щита неактивен, цветовая полоса серьезности — пунктирная линия вместо сплошной линии, а в правой части строки оповещения есть кнопка со знаком "плюс".
Выберите знак "плюс" , чтобы добавить оповещение об этом инциденте. Когда оповещение добавляется к инциденту, в него также добавляются все другие сущности оповещения (которые еще не были частью инцидента). Теперь вы можете расширить исследование, просмотрев временные шкалы этих сущностей для связанных оповещений.
Это временная шкала ограничено оповещениями и действиями за предыдущие семь дней. Чтобы вернуться назад, перейдите к временная шкала на полной странице сущности, сроки которой можно настроить.
Аналитика содержит результаты запросов, определенных исследователями безопасности Майкрософт, которые предоставляют ценные и контекстные сведения о безопасности сущностей на основе данных из коллекции источников. Эти аналитические сведения включают в себя те из мини-приложения Top Insights и многое другое; Они совпадают с теми, которые отображаются на полной странице сущности, но в течение ограниченного времени: начиная с 24 часов до самого раннего оповещения в инциденте и заканчивая временем последнего оповещения.
Большинство аналитических сведений содержат ссылки, которые при выборе открывают панель Журналы с запросом, который создал аналитические сведения и его результаты.
Более подробное изучение данных в журналах
Практически в любом месте в опыте исследования вы можете выбрать ссылку, которая открывает базовый запрос на панели Журналы в контексте исследования. Если вы попали на панель Журналы по одной из этих ссылок, соответствующий запрос появится в окне запроса, и запрос выполняется автоматически и создает соответствующие результаты для изучения.
Вы также можете вызвать пустую панель Журналы на странице сведений об инциденте в любое время, если вы думаете о запросе, который вы хотите попробовать во время исследования, оставаясь в контексте. Для этого выберите Журналы в верхней части страницы.
Однако вы в конечном итоге на панели Журналы , если вы выполнили запрос, результаты которого требуется сохранить, выполните следующую процедуру:
Пометьте поле проверка рядом со строкой, из которой вы хотите сохранить результат. Чтобы сохранить все результаты, пометьте поле проверка в верхней части столбца.
Сохраните помеченные результаты в виде закладки. Это можно сделать двумя способами:
Выберите Добавить закладку в текущий инцидент , чтобы создать закладку и добавить ее в открытый инцидент. Следуйте инструкциям по закладке , чтобы завершить процесс. После завершения закладка появится в временная шкала инцидента.
Выберите Добавить закладку , чтобы создать закладку, не добавляя ее к инциденту. Следуйте инструкциям по закладке , чтобы завершить процесс. Вы можете найти эту закладку вместе с другими созданными на странице Охота на вкладке Закладки . Оттуда вы можете добавить его в этот или любой другой инцидент.
После создания закладки (или, если вы решили этого не делать), нажмите кнопку Готово , чтобы закрыть панель Журналы .
Например, вы можете:
Расширение или сосредоточение внимания на исследовании
Добавьте оповещения в инциденты, чтобы расширить или расширить область расследования. Кроме того, можно удалить оповещения из инцидентов, чтобы сузить их или сосредоточиться на область расследования.
Дополнительные сведения см. в статье Связывание оповещений с инцидентами в Microsoft Sentinel в портал Azure.
Визуальное исследование инцидентов с помощью графа исследования
Если вы предпочитаете визуальное, графическое представление оповещений, сущностей и связей между ними в ходе исследования, вы также можете выполнить многое из того, что обсуждалось ранее с помощью классического графика исследования. Недостаток графа заключается в том, что вам в конечном итоге приходится переключать контексты значительно больше.
Диаграмма исследования предоставляет следующие возможности:
| Содержимое исследования | Описание |
|---|---|
| Визуальный контекст из необработанных данных | На динамическом визуальном графе отображаются связи сущностей, автоматически извлеченные из необработанных данных. Это позволяет легко видеть подключения между разными источниками данных. |
| Полное обнаружение область исследования | Расширьте область исследования, используя встроенные запросы на исследование, чтобы получить полное область нарушения. |
| Встроенные шаги исследования | Используйте предопределенные параметры исследования, чтобы убедиться, что вы задаете правильные вопросы перед лицом угрозы. |
Чтобы использовать граф исследования, выполните следующие действия:
Выберите инцидент, а затем — Исследовать. Вы перейдете к графу исследования. На диаграмме представлена иллюстративная карта сущностей, напрямую подключенных к оповещению, и каждого дополнительно подключенного ресурса.
Важно!
Вы сможете исследовать инцидент, только если созданное правило аналитики или закладка содержат сопоставления сущностей. Граф исследования требует, чтобы исходный инцидент был включен в сущности.
График исследования в настоящее время поддерживает расследование инцидентов до 30 дней назад.
Выберите сущность, чтобы открыть панель Сущности , чтобы просмотреть сведения о ней.
Расширьте свое исследование, наведя указатель мыши на каждую сущность, чтобы отобразить список вопросов, разработанных нашими экспертами по безопасности и аналитиками для каждого типа сущности, чтобы углубить ваше расследование. Мы называем эти запросы на просмотр параметров.
Например, можно запросить связанные оповещения. При выборе запроса на просмотр результирующие права добавляются обратно в граф. В этом примере при выборе связанных оповещений в графе возвращаются следующие оповещения:
Убедитесь, что связанные оповещения связаны с сущностью пунктирными линиями.
Для каждого запроса на просмотр можно выбрать параметр, чтобы открыть необработанные результаты события и запрос, используемый в Log Analytics, выбрав События>.
Чтобы понять инцидент, граф предоставляет параллельный временная шкала.
Наведите указатель мыши на временная шкала, чтобы увидеть, какие события на графике произошли в какой момент времени.
Аудит событий инцидента и добавление комментариев
При расследовании инцидента необходимо тщательно задокументировать действия, которые вы предпринимаете, чтобы обеспечить точные отчеты руководству и обеспечить беспроблемное сотрудничество и совместную работу между коллегами. Вы также хотите четко видеть записи о любых действиях, выполняемых в отношении инцидента другими пользователями, в том числе автоматизированными процессами. Microsoft Sentinel предоставляет журнал действий, обширную среду аудита и комментариев, чтобы помочь вам выполнить эту задачу.
Вы также можете автоматически дополнить свои инциденты комментариями. Например, при запуске сборника схем для инцидента, который получает соответствующую информацию из внешних источников (например, проверяет файл на наличие вредоносных программ в VirusTotal), вы можете поместить ответ внешнего источника вместе с любой другой информацией, которую вы определяете, в комментариях к инциденту.
Журнал действий автоматически перенаправивается даже при открытии, чтобы вы всегда могли видеть изменения в режиме реального времени. Вы также будете получать уведомления о любых изменениях, внесенных в журнал действий, пока он открыт.
Необходимые компоненты
Редактирования: Только автор комментария имеет разрешение на его редактирование.
Удаление: Только пользователи с ролью участника Microsoft Sentinel имеют разрешение на удаление примечаний. Даже автор комментария должен иметь эту роль, чтобы удалить его.
Чтобы просмотреть журнал действий и примечаний или добавить собственные примечания:
- Выберите Журнал действий в верхней части страницы сведений об инциденте.
- Чтобы отфильтровать журнал для отображения только действий или только комментариев, выберите элемент управления фильтром в верхней части журнала.
- Если вы хотите добавить комментарий, введите его в редакторе форматированного текста в нижней части панели журнал действий инцидентов .
- Выберите Примечание , чтобы отправить комментарий. Комментарий будет добавлен в начало журнала.
Поддерживаемые входные данные для комментариев
В следующей таблице перечислены ограничения для поддерживаемых входных данных в комментариях:
| Тип | Описание |
|---|---|
| Text | Примечания в Microsoft Sentinel поддерживают текстовые вводы в виде обычного текста, базового HTML и Markdown. Вы также можете вставить скопированный текст, HTML и Markdown в окно комментариев. |
| Ссылки | Ссылки должны быть в виде тегов привязки HTML и иметь параметр target="_blank". Например::html<br><a href="https://www.url.com" target="_blank">link text</a><br>Если у вас есть сборники схем, которые создают комментарии в инцидентах, ссылки в этих комментариях также должны соответствовать этому шаблону. |
| Images | Изображения не могут быть отправлены непосредственно в комментарии. Вместо этого вставьте ссылки на изображения в примечания для отображения встроенных изображений. Связанные изображения уже должны размещаться в общедоступном расположении, например Dropbox, OneDrive, Google Drive и т. д. |
| Ограничение размера |
За комментарий: Один комментарий может содержать до 30 000 символов. За инцидент: Один инцидент может содержать до 100 комментариев. Размер одной записи инцидента в таблице SecurityIncident в Log Analytics составляет 64 КБ. Если это ограничение превышено, комментарии (начиная с самых ранних) усекаются, что может повлиять на комментарии, отображаемые в расширенных результатах поиска . Фактические записи инцидентов в базе данных инцидентов не затрагиваются. |
Следующее действие
Исследование инцидентов с помощью данных UEBA
Связанные материалы
Из этой статьи вы узнали, как начать расследование инцидентов с помощью Microsoft Sentinel. Дополнительные сведения см. в разделе: