Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Инциденты Microsoft Sentinel — это файлы, содержащие агрегирование всех соответствующих доказательств для конкретных расследований. Каждый инцидент создается (или добавляется в) на основе фрагментов доказательств (оповещений), которые были созданы правилами аналитики или импортированы из сторонних продуктов безопасности, которые создают свои собственные оповещения. Инциденты наследуют
Microsoft Sentinel предоставляет полную полнофункциональную систему управления инцидентами в портале Azure для расследования инцидентов безопасности. Страница сведений об инциденте — это центральное расположение, из которого выполняется расследование, сбор всех соответствующих сведений и всех применимых средств и задач на одном экране.
В этой статье описывается, как подробно исследовать инцидент, помогая вам ориентироваться и изучать инциденты быстрее и эффективнее, а также сократить среднее время на решение (MTTR).
Предпосылки
Для расследования инцидентов требуется назначение роли Microsoft Sentinel Responder.
Дополнительные сведения о ролях в Microsoft Sentinel.
Если у вас есть гостевой пользователь, которому необходимо назначать инциденты, необходимо назначить этому пользователю роль Читатель каталога в клиенте Microsoft Entra. Обычные пользователи (не могут) назначать эту роль по умолчанию.
Если в настоящее время вы просматриваете устаревший интерфейс страницы сведений об инциденте, переключитесь на новый интерфейс в правом верхнем углу страницы, чтобы продолжить процедуру в этой статье для нового интерфейса.
Правильно подготовьте землю
Когда вы настраиваете расследование инцидента, соберите все, что необходимо для управления рабочим процессом. На панели кнопок в верхней части страницы инцидента, прямо под заголовком, находятся следующие инструменты.
Выберите "Задачи", чтобы просмотреть задачи, назначенные для этого инцидента, или добавить собственные задачи. Задачи могут улучшить стандартизацию процессов в SOC. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel".
Выберите журнал действий, чтобы узнать, были ли приняты какие-либо действия по этому инциденту (например, правилами автоматизации) и любыми комментариями, которые были сделаны. Вы также можете добавить собственные комментарии здесь. Дополнительные сведения см. в разделе "Аудит событий инцидентов" и добавление комментариев.
Вы в любое время можете выбрать журналы, чтобы открыть полное, пустое окно запроса Log Analytics на странице инцидента. Создайте и запустите запрос, связанный или нет, не покидая инцидент. Каждый раз, когда вас осеняет внезапное вдохновение и вы хотите ухватиться за мысль, не беспокойтесь о прерывании вашего потока — записи в вашем распоряжении. Дополнительные сведения см. в разделе "Подробные сведения о данных в журналах".
Кнопка "Действия инцидента" также находится напротив вкладок "Обзор " и "Сущности ". Здесь вы можете выполнить те же действия, которые описаны ранее, используя кнопку «Действия» на панели сведений на странице «Инциденты». Единственным отсутствующим является Investigate, которое доступно в панели сведений слева.
Доступные действия под кнопкой Действия инцидента включают:
| Действие | Description |
|---|---|
| Запустить плейбук | Запустите сборник схем для этого инцидента, чтобы выполнить определенные действия обогащения, совместной работы или реагирования. |
| Создание правила автоматизации | Создайте правило автоматизации, которое выполняется только в таких инцидентах (созданных тем же правилом аналитики) в будущем. |
| Создание команды (предварительная версия) | Создайте команду в Microsoft Teams для совместной работы с другими лицами или командами в разных отделах по обработке инцидента. Если команда уже создана для этого инцидента, этот пункт меню отображается как Open Teams. |
Получение всего изображения на странице сведений об инциденте
На левой панели страницы сведений об инциденте содержатся те же сведения об инциденте, что и на странице "Инциденты " справа от сетки. Эта панель всегда отображается, независимо от того, какая вкладка отображается на остальной части страницы. Оттуда можно просмотреть основные сведения об инциденте и выполнить детализацию следующим образом:
В разделе "Доказательства" выберите "События", "Оповещения" или "Закладки", чтобы открыть панель журналов на странице инцидента. Панель "Журналы" отображается с запросом того из трех вариантов, который вы выбрали, и вы можете подробно проанализировать результаты запроса, не отвлекаясь от инцидента. Нажмите "Готово", чтобы закрыть панель и вернуться к инциденту. Для получения дополнительной информации см. Углубленный анализ данных в логах.
Выберите любой из записей в разделе "Сущности", чтобы отобразить его на вкладке "Сущности". Здесь показаны только первые четыре сущности в инциденте. Просмотрите остальные элементы, выбрав "Просмотреть все" или в мини-приложении "Сущности" на вкладке "Обзор" или на вкладке "Сущности". Дополнительные сведения см. на вкладке "Сущности".
Выберите "Исследовать", чтобы открыть инцидент в графическом средстве исследования, которое схемаирует связи между всеми элементами инцидента.
Эта панель также может быть свернута в левую границу экрана, выбрав маленькую двойную стрелку, указывающую влево, рядом с раскрывающимся списком Owner. Даже в этом свернутом состоянии вы всё равно сможете изменить владельца, статус и серьезность.
Остальная часть страницы сведений об инциденте разделена на две вкладки, обзор и сущности.
Вкладка "Обзор" содержит следующие мини-приложения, каждый из которых представляет важную цель исследования.
| Виджет | Description |
|---|---|
| Временная шкала инцидентов | Мини-приложение временной шкалы инцидентов показывает временную шкалу оповещений и закладок в инциденте, что поможет вам восстановить временную шкалу действия злоумышленника. Выберите отдельный элемент, чтобы просмотреть все его сведения, что позволяет детализировать более подробно. Дополнительные сведения см. в разделе "Восстановление временной шкалы истории атаки". |
| Аналогичные инциденты | В мини-приложении "Аналогичные инциденты" вы увидите коллекцию до 20 других инцидентов, которые наиболее похожи на текущий инцидент. Это позволяет просматривать инцидент в более широком контексте и направлять расследование. Дополнительные сведения см. в статье "Проверка аналогичных инцидентов в вашей среде". |
| Сущности | Мини-приложение "Сущности" показывает все сущности , которые были определены в оповещениях. Это объекты, которые сыграли роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы. Выберите сущность, чтобы просмотреть подробные сведения, отображаемые на вкладке "Сущности". Дополнительные сведения см. в разделе "Изучение сущностей инцидента". |
| Основные сведения | В мини-приложении Top Insights вы увидите коллекцию результатов запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности всех сущностей в инциденте на основе данных из коллекции источников. Дополнительные сведения см. в статье "Получение основных сведений об инциденте". |
На вкладке "Сущности" отображается полный список сущностей в инциденте, который также отображается в мини-приложении "Сущности " на странице обзора . При выборе сущности в мини-приложении вы будете перенаправлены здесь, чтобы увидеть полный досье сущности — ее идентификацию, временную шкалу его действия (как внутри, так и за пределами инцидента), а также полный набор аналитических сведений об сущности, как и на полной странице сущности, но ограничен временем, соответствующим инциденту.
Восстановление временной шкалы истории атаки
Мини-приложение временной шкалы инцидентов показывает временную шкалу оповещений и закладок в инциденте, что поможет вам восстановить временную шкалу действия злоумышленника.
Наведите указатель мыши на любой значок или неполный текстовый элемент, чтобы увидеть подсказку с полным текстом этого значка или текстового элемента. Эти подсказки пригодятся, когда отображаемый текст усечен из-за ограниченной ширины мини-приложения. См. пример на этом снимке экрана:
Выберите отдельное оповещение или закладку, чтобы просмотреть полные сведения.
Сведения об оповещении включают серьезность и состояние оповещения, правила аналитики, создающие его, продукт, созданный оповещение, сущности, упомянутые в оповещении, связанные тактики и методы MITRE ATT&CK, а также внутренний идентификатор оповещения системы.
Выберите ссылку "Идентификатор оповещения системы", чтобы еще больше перейти к оповещению, открыть панель журналов и отобразить запрос, создающий результаты и события, которые активировали оповещение.
Сведения о закладках не совпадают со сведениями о предупреждениях; хотя они включают те же сущности, тактику и методы MITRE ATT&CK, а также идентификатор закладки, они дополнительно содержат необработанный результат и информацию о создателе закладки.Выберите ссылку "Просмотр журналов закладок", чтобы открыть панель журналов и отобразить запрос, создающий результаты, сохраненные в качестве закладки.
В мини-приложении временной шкалы инцидентов также можно выполнить следующие действия по оповещениям и закладкам:
Запустите сборник схем в оповещении, чтобы принять немедленные меры для устранения угрозы. Иногда необходимо заблокировать или изолировать угрозу, прежде чем продолжить исследование. Узнайте больше о запуске сценариев для оповещений.
Удалить оповещение из инцидента. Вы можете удалить оповещения, которые были добавлены в инциденты после их создания, если вы решите, что они не имеют отношения. Дополнительные сведения об удалении оповещений из инцидентов.
Удалите закладку из инцидента или измените эти поля в закладке, которую можно изменить (не отображается).
Проверка аналогичных инцидентов в вашей среде
Как аналитик по операциям безопасности, при расследовании инцидента вы хотите обратить внимание на его более широкий контекст.
Как и в виджете временной шкалы инцидента, вы можете навести указатель мыши на любой текст, который не полностью отображается из-за ширины столбца, чтобы отобразить полный текст.
Причины появления инцидента в аналогичном списке инцидентов отображаются в столбце причин подобия . Наведите указатель мыши на значок информации, чтобы отобразить общие элементы (сущности, имя правила или сведения).
Получение основных сведений об инциденте
Специалисты по безопасности Microsoft Sentinel имеют встроенные запросы, которые автоматически задают важные вопросы о сущностях в вашем инциденте. В мини-приложении Top Insights отображаются верхние ответы на правой части страницы сведений об инциденте. В этом мини-приложении представлена коллекция аналитических сведений, основанных на анализе машинного обучения и отборе ведущими группами экспертов в области безопасности.
Это некоторые из таких же аналитических сведений, которые отображаются на страницах сущностей, специально выбранных для быстрого анализа и понимания области угрозы. По той же причине аналитические сведения обо всех сущностях в инциденте представлены вместе, чтобы дать вам более полную картину того, что происходит.
Основные аналитические сведения могут быть изменены и могут включать:
- Действия по учетной записи.
- Действия в учетной записи.
- Аналитика поведения пользователей и сущностей (UEBA).
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка наблюдения (предварительная версия).
- Аномально большое количество событий безопасности.
- Активность входа в Windows.
- Удаленные подключения по IP-адресу.
- Подключения к удаленным IP-адресам с соответствием TI.
Каждая из этих аналитических сведений (за исключением тех, которые относятся к спискам наблюдения, на данный момент) содержит ссылку, которую можно выбрать, чтобы открыть базовый запрос в панели журналов на странице инцидента. Затем можно получить подробные сведения о результатах запроса.
Интервал времени для мини-приложения Top Insights составляет от 24 часов до самого раннего оповещения в инциденте до момента последнего оповещения.
Изучение сущностей инцидента
Мини-приложение "Сущности" показывает все сущности , которые были определены в оповещениях в инциденте. Это объекты, которые сыграли роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы.
Вы можете искать список сущностей в мини-приложении сущностей или фильтровать список по типу сущности, чтобы помочь вам найти сущность.
Если вы уже знаете, что определенная сущность является известным индикатором компрометации, выберите три точки в строке сущности и нажмите кнопку "Добавить в TI ", чтобы добавить сущность в аналитику угроз. (Этот параметр доступен для поддерживаемых типов сущностей.)
Если вы хотите активировать последовательность автоматических ответов для определенной сущности, выберите три точки и выберите run playbook (предварительная версия). (Этот параметр доступен для поддерживаемых типов сущностей.)
Выберите сущность, чтобы просмотреть ее полные сведения. При выборе сущности вы перейдете с вкладки "Обзор" на вкладку "Сущности", в другую часть страницы сведений об инциденте.
Вкладка "Сущности"
На вкладке "Сущности" отображается список всех сущностей в инциденте.
Как и мини-приложение сущностей, этот список также можно искать и фильтровать по типу сущности. Поиски и фильтры, примененные в одном списке, не применяются к другому.
Выберите строку в списке, чтобы данные этой сущности отображались на боковой панели справа.
Если имя сущности отображается как ссылка, при выборе имени сущности вы перейдете на полную страницу сущности за пределами страницы исследования инцидентов. Чтобы отобразить только боковую панель без выхода из инцидента, выберите строку в списке, где отображается сущность, но не выбирайте его имя.
Вы можете выполнить те же действия, что и в мини-приложении на странице обзора. Выберите три точки в строке сущности, чтобы запустить сборник схем или добавить сущность в аналитику угроз.
Вы также можете выполнить эти действия, нажав кнопку рядом с представлением полных сведений в нижней части боковой панели. На кнопке написано либо «Добавить в TI», «Запустить сборник схем (предварительная версия)» или «Действия сущности»—в этом случае отображается меню с двумя другими вариантами.
Кнопка "Просмотр полных сведений" перенаправляет вас на страницу полной информации о сущности.
Боковая панель вкладки "Сущности"
Выберите сущность на вкладке "Сущности" , чтобы отобразить боковую панель со следующими карточками:
Сведения содержат идентифицирующую информацию обo сущности. Например, для сущности учетной записи пользователя это может быть имя пользователя, доменное имя, идентификатор безопасности (SID), сведения о организации, сведения о безопасности и многое другое, а также IP-адрес, например геолокация.
Временная шкала содержит список оповещений, закладок и аномалий , которые содержат эту сущность, а также действия, выполненные сущностью, как было собрано из журналов, в которых отображается сущность. Все оповещения с этой сущностью находятся в этом списке, независимо от того, относятся ли оповещения к этому инциденту.
Оповещения, которые не являются частью инцидента, отображаются по-разному: значок щита серый, цветовая полоса серьезности пунктирная линия вместо сплошной линии, и есть кнопка с знаком плюса справа от строки оповещения.
Выберите знак плюса, чтобы добавить оповещение в этот инцидент. Когда оповещение добавляется в инцидент, в него также добавляются все другие сущности оповещения (которые еще не были частью инцидента). Теперь вы можете расширить исследование, просмотрев временные шкалы этих сущностей, чтобы найти связанные оповещения.
Эта временная шкала ограничена оповещениями и действиями за предыдущие семь дней. Чтобы вернуться в более ранний момент, перейдите к временной шкале на полной странице объекта, интервал времени которого можно настроить.
Аналитика содержит результаты запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности сущностей на основе данных из коллекции источников. Эти аналитические сведения включают те, которые поступают из виджета Главные аналитические сведения, и многое другое; это те же самые сведения, которые отображаются на полной странице сущности, но за ограниченный промежуток времени: начиная с 24 часов до самого раннего оповещения в инциденте и заканчивая временем последнего оповещения.
Большинство аналитической информации содержат ссылки, которые при выборе открывают панель журналов, отображающую запрос, который создал эту информацию вместе с результатами.
Углубленный анализ данных в журналах
Практически в любом месте исследования вы можете выбрать ссылку, которая открывает исходный запрос в панели журналов в контексте расследования. Если вы попали на панель журналов из одной из этих ссылок, соответствующий запрос отображается в окне запроса, а запрос выполняется автоматически и создает соответствующие результаты для изучения.
Вы можете в любое время открыть пустую панель журналов на странице сведений об инциденте, если у вас возникнет идея запроса, который вы хотите попробовать при расследовании, при этом оставаясь в контексте. Для этого выберите "Журналы" в верхней части страницы .
Как бы вы ни оказались на панели журналов, если вы выполнили запрос, результаты которого хотите сохранить, используйте следующую процедуру:
Пометьте флажок рядом с строкой, из которой вы хотите сохранить результаты. Чтобы сохранить все результаты, установите флажок в верхней части столбца.
Сохраните помеченные результаты в виде закладки. Это можно сделать одним из двух способов:
Выберите " Добавить закладку в текущий инцидент ", чтобы создать закладку и добавить ее в открытый инцидент. Следуйте инструкциям по добавлению закладки, чтобы завершить процесс. После завершения закладка появится в хронологии инцидентов.
Нажмите кнопку "Добавить закладку", чтобы создать закладку , не добавляя ее в любой инцидент. Следуйте инструкциям по закладке, чтобы завершить процесс. Вы можете найти эту закладку вместе с любыми другими, которые вы создали на странице "Охота", на вкладке "Закладки". Там вы можете добавить её в этот или любой другой инцидент.
После создания закладки (или если вы решили не создавать закладку), нажмите Готово, чтобы закрыть панель журналов.
Например:
Увеличить или сосредоточиться в расследовании
Добавьте оповещения в инциденты, чтобы расширить или углубить область вашего исследования. Кроме того, удалите оповещения из инцидентов, чтобы сузить или сосредоточиться на области исследования.
Дополнительные сведения см. в статье Связь оповещений с инцидентами в Microsoft Sentinel в портале Azure.
Исследуйте инциденты визуально, используя граф исследования
Если вы предпочитаете визуальное, графическое представление оповещений, сущностей и соединений между ними в исследовании, вы можете выполнить многие из рассмотренных ранее действий с классическим графиком исследования. Недостаток графа заключается в том, что вам приходится значительно чаще переключать контексты.
Граф расследования предоставляет вам:
| Содержимое исследования | Description |
|---|---|
| Визуальный контекст из необработанных данных | Динамический визуальный граф отображает связи сущностей, извлеченные автоматически из необработанных данных. Это позволяет легко просматривать связи между разными источниками данных. |
| Полное определение объема расследования | Разверните область исследования с помощью встроенных запросов исследования, чтобы получить полную область нарушения. |
| Встроенные шаги расследования | Используйте стандартные варианты изучения, чтобы убедиться, что вы задаете правильные вопросы перед лицом угрозы. |
Чтобы использовать граф исследования, выполните следующие действия.
Выберите инцидент, а затем щелкните Расследовать. Это переведёт вас на граф расследования. График представляет наглядную карту сущностей, непосредственно связанных с предупреждением, и каждого ресурса, связанного дальнейшим образом.
Внимание
Вы сможете исследовать инцидент только в том случае, если правило аналитики или закладка, созданная в ней, содержит сопоставления сущностей. Для работы с графом исследования требуется, чтобы исходный инцидент включал в себя сущности.
График расследования в настоящее время поддерживает расследование инцидентов до 30 дней.
Выберите сущность, чтобы открыть область Сущности, чтобы можно было просматривать сведения об этой сущности.
Разверните исследование, наведя указатель мыши на каждую сущность, чтобы выявить список вопросов, разработанных нашими экспертами по безопасности и аналитиками для каждого типа сущности, чтобы углубить расследование. Мы называем их запросами на изучение.
Например, можно запросить связанные оповещения. Если выбрать запрос на изучение, полученные элементы будут возвращены в граф. В этом примере при выборе связанных оповещений в граф возвращаются следующие оповещения:
Убедитесь, что связанные оповещения отображаются связанными с сущностью пунктирными линиями.
Для каждого запроса на изучение можно выбрать параметр, чтобы открыть необработанные результаты события и запрос, используемый в Log Analytics, выбрав События>.
Чтобы помочь вам понять инцидент, граф предоставляет параллельную временную шкалу.
Наведите указатель мыши на временную шкалу, чтобы увидеть, какие события на графе произошли в тот или иной момент времени.
Аудит событий инцидентов и добавление комментариев
При расследовании инцидента вы хотите тщательно задокументировать принятые шаги, чтобы обеспечить точное представление для руководства и чтобы облегчить беспрепятственное сотрудничество и взаимодействие между коллегами. Вы также хотите четко просмотреть записи о любых действиях, принятых в отношении инцидента другими пользователями, в том числе автоматизированными процессами. Microsoft Sentinel предоставляет журнал действий, многофункциональную среду аудита и комментариев, чтобы помочь вам сделать это.
Вы также можете автоматически дополнить инциденты комментариями. Например, при запуске сборника схем по инциденту, который получает соответствующие сведения из внешних источников (например, проверка файла вредоносных программ в VirusTotal), вы можете разместить ответ внешнего источника ( а также любую другую информацию, которую вы определяете) в комментариях инцидента.
Журнал действий автоматически обновляется, даже будучи открытым, чтобы вы всегда могли видеть изменения в режиме реального времени. Вы также уведомлены о любых изменениях, внесенных в журнал действий, пока он у вас открыт.
Необходимые условия
Редактирование: только автор комментария имеет разрешение на его изменение.
Удаление: только пользователи с ролью Участник Microsoft Sentinel имеют разрешение на удаление комментариев. Даже автору комментария необходима эта роль, чтобы удалить комментарий.
Чтобы просмотреть журнал действий и комментариев, или добавить собственные комментарии:
- Выберите журнал действий в верхней части страницы сведений об инциденте.
- Чтобы отфильтровать журнал, чтобы отобразить только действия или только примечания, выберите элемент управления фильтра в верхней части журнала.
- Если вы хотите добавить комментарий, введите его в редакторе форматированного текста в нижней части панели журнала действий инцидента.
- Выберите "Комментарий ", чтобы отправить комментарий. Комментарий добавляется наверх журнала.
Поддерживаемые входные данные для комментариев
В следующей таблице перечислены ограничения для поддерживаемых входных данных в комментариях:
| Тип | Description |
|---|---|
| Текст | Комментарии в Microsoft Sentinel поддерживают текстовые входные данные в виде обычного текста, простой HTML и Markdown. Можно также вставить скопированный текст, HTML и Markdown в окно комментария. |
| Ссылки | Ссылки должны находиться в виде тегов привязки HTML, и они должны иметь параметр target="_blank". Вот несколько примеров.html<br><a href="https://www.url.com" target="_blank">link text</a><br>Если у вас есть сборники схем, которые создают комментарии в инцидентах, ссылки в этих комментариях также должны соответствовать этому шаблону. |
| Изображения | Изображения нельзя отправлять непосредственно в комментарии. Вставьте ссылки на изображения в комментарии, чтобы отображать их встроено. Связанные изображения уже должны размещаться в общедоступном расположении, например Dropbox, OneDrive, Google Drive и т. д. |
| Ограничение размера |
Один комментарий может содержать до 30 000 символов. Один инцидент может содержать до 100 комментариев. Ограничение размера отдельной записи об инциденте в таблице SecurityIncident в Log Analytics составляет 64 КБ. Если это ограничение превышено, комментарии (начиная с самого раннего) усечены, что может повлиять на комментарии, которые отображаются в расширенных результатах поиска . Фактические записи инцидентов в базе данных инцидентов не затрагиваются. |
Следующий шаг
Исследование инцидентов с помощью данных UEBA
Связанный контент
Из этой статьи вы узнали, как приступить к изучению инцидентов с помощью Microsoft Sentinel. Дополнительные сведения см. в разделе: