Microsoft Sentinel-incidens kivizsgálása az Azure Portalon
A Microsoft Sentinel teljes körű esetkezelési platformot biztosít a biztonsági incidensek kivizsgálására és kezelésére. Az incidensek a Microsoft Sentinel azon fájlok neve, amelyek egy biztonsági fenyegetés teljes és folyamatosan frissített kronológiáját tartalmazzák, legyen szó akár egyes bizonyítékokról (riasztásokról), gyanúsítottakról és érdekelt felekről (entitásokról), biztonsági szakértők és AI-/gépi tanulási modellek által gyűjtött és válogatott megállapításokról, vagy a vizsgálat során végrehajtott összes művelet megjegyzéseiről és naplóiról.
A Microsoft Sentinel incidensvizsgálati felülete az Incidensek oldallal kezdődik – ez a felület úgy lett kialakítva, hogy minden szükségest megadjon a vizsgálathoz egy helyen. Ennek a tapasztalatnak a fő célja az SOC hatékonyságának és hatékonyságának növelése, csökkentve a megoldáshoz szükséges középidőt (MTTR).
Ez a cikk a Microsoft Sentinel incidensvizsgálati és esetkezelési képességeit és funkcióit ismerteti az Azure Portalon, és végigvezeti önt egy tipikus incidensvizsgálat fázisain, és bemutatja az Összes rendelkezésre álló kijelzőt és eszközt, amely segítséget nyújt Önnek.
Előfeltételek
Az incidensek kivizsgálásához a Microsoft Sentinel Válaszadó szerepkör-hozzárendelése szükséges.
További információ a Microsoft Sentinel szerepköreiről.
Ha van egy vendégfelhasználója, akinek incidenseket kell hozzárendelnie, a felhasználóhoz hozzá kell rendelni a Címtárolvasó szerepkört a Microsoft Entra-bérlőben. A normál (nem lekért) felhasználók alapértelmezés szerint hozzárendelik ezt a szerepkört.
Az SOC érettségének növelése
A Microsoft Sentinel-incidensek eszközökkel segítik a biztonsági műveletek (SecOps) érettségi szintjét a folyamatok szabványosításával és az incidenskezelés naplózásával.
Folyamatok szabványosítása
Az incidensfeladatok olyan munkafolyamat-listák, amelyeket az elemzők követnek az egységes ellátási szint biztosítása és a kritikus lépések kihagyásának megakadályozása érdekében:
Az SOC-vezetők és a mérnökök fejleszthetik ezeket a feladatlistákat, és szükség szerint automatikusan alkalmazhatják őket a különböző incidenscsoportokra vagy a teljes táblára.
Az SOC-elemzők ezután hozzáférhetnek a hozzárendelt feladatokhoz az egyes incidenseken belül, és megjelölhetik őket a befejezésükkor.
Az elemzők manuálisan is hozzáadhatnak feladatokat a nyitott incidensekhez, akár önemlékezésként, akár más elemzők javára, akik együttműködhetnek az incidensen (például műszakváltás vagy eszkaláció miatt).
További információ: Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben az Azure Portalon.
Incidenskezelés naplózása
Az incidenstevékenység naplója nyomon követi az incidensen végrehajtott műveleteket, akár emberek vagy automatizált folyamatok kezdeményezik, és megjeleníti őket az incidenshez fűzött összes megjegyzéssel együtt.
Itt is hozzáadhat saját megjegyzéseket. További információ: A Microsoft Sentinel-incidensek részletes vizsgálata az Azure Portalon.
Hatékony és hatékony vizsgálat
Először is: Elemzőként a legalapvetőbb kérdés, amire válaszolni szeretne, miért kerül a figyelmembe ez az incidens? Ha beírja az incidens részleteit tartalmazó oldalt, az választ ad erre a kérdésre: közvetlenül a képernyő közepén megjelenik az Incidens idővonal widget.
A Microsoft Sentinel-incidensek használatával hatékonyan és hatékonyan vizsgálhatja meg a biztonsági incidenseket az incidensek idővonalának használatával, a hasonló incidensek megismerésével, a legfontosabb megállapítások vizsgálatával, az entitások megtekintésével és a naplók feltárásával.
Incidensek idővonalai
Az incidens idővonala az összes olyan riasztás naplója, amely a vizsgálat szempontjából releváns összes naplózott eseményt ábrázolja a történtek sorrendjében. Az idővonal könyvjelzőket, a vadászat során gyűjtött és az incidenshez hozzáadott bizonyítékok pillanatképeit is megjeleníti.
Keressen rá a riasztások és könyvjelzők listájára, vagy szűrje a listát súlyosság, taktikák vagy tartalomtípus (riasztás vagy könyvjelző) alapján, hogy könnyebben megtalálja a keresett elemet. Az ütemterv első megjelenítése azonnal számos fontos dolgot közöl az egyes elemekről, legyen szó riasztásról vagy könyvjelzőről:
- A riasztás vagy könyvjelző létrehozásának dátuma és időpontja .
- Az ikonra mutató elem, riasztás vagy könyvjelző típusa , amelyet egy ikon és egy elemleírás jelez.
- A riasztás vagy a könyvjelző neve félkövér betűvel az elem első sorában.
- A riasztás súlyossága , amelyet egy színsáv jelez a bal szélen, és szó formájában a riasztás háromrészes "alcímének" elején.
- A riasztásszolgáltató az alcím második részében. Könyvjelzők esetén a könyvjelző létrehozója .
- A riasztáshoz társított MITRE ATT&CK-taktikák ikonokkal és elemleírásokkal jelezve az alcím harmadik részében.
További információ: A támadási történet idővonalának rekonstruálása.
Hasonló incidensek listája
Ha bármi, amit eddig látott az incidensben, ismerősnek tűnik, lehet, hogy jó oka van. A Microsoft Sentinel egy lépéssel előrébb tart, ha a nyitotthoz leginkább hasonló incidenseket jeleníti meg.
A Hasonló incidensek widget a legrelevánsabb információkat jeleníti meg a hasonlónak ítélt incidensekről, beleértve az utolsó frissítés dátumát és időpontját, az utolsó tulajdonost, az utolsó állapotot (beleértve, ha bezárták őket, a lezárás okát), valamint a hasonlóság okát.
Ez többféleképpen is előnyös lehet a vizsgálat számára:
- Észlelheti az egyidejű incidenseket, amelyek egy nagyobb támadási stratégia részét képezhetik.
- A jelenlegi vizsgálat referenciapontjaként használjon hasonló incidenseket – tekintse meg, hogyan kezelték őket.
- Azonosítsa a korábbi hasonló incidensek tulajdonosait, hogy kihasználhassák tudásukat.
Például azt szeretné megtudni, hogy más ilyen incidensek történtek-e korábban vagy most.
- Érdemes lehet azonosítani az egyidejű incidenseket, amelyek ugyanahhoz a nagyobb támadási stratégiához tartozhatnak.
- Érdemes lehet azonosítani a hasonló incidenseket a múltban, hogy referenciapontként használhassa őket a jelenlegi vizsgálathoz.
- Előfordulhat, hogy azonosítani szeretné a korábbi hasonló incidensek tulajdonosait, hogy megkeresse azokat a személyeket az soc-ban, akik több kontextust biztosíthatnak, vagy akiknek eszkalálhatja a nyomozást.
A widget a 20 legtöbb hasonló incidenst mutatja be. A Microsoft Sentinel dönti el, hogy mely incidensek hasonlítanak hasonlók az olyan gyakori elemek alapján, mint az entitások, a forráselemzési szabály és a riasztás részletei. Ebből a widgetből közvetlenül bármelyik incidens részletes lapjára ugorhat, miközben érintetlenül tarthatja az aktuális incidenshez való kapcsolatot.
A hasonlóság meghatározása a következő feltételek alapján történik:
| Feltételek | Leírás |
|---|---|
| Hasonló entitások | Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha mindkettő ugyanazokat az entitásokat tartalmazza. Minél több entitás közös két incidensben, annál hasonlóbbnak tekintik őket. |
| Hasonló szabály | Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha mindkettőt ugyanaz az elemzési szabály hozta létre. |
| Hasonló riasztás részletei | Az incidensek akkor tekinthetők egy másik incidenshez hasonlónak, ha ugyanazzal a címmel, terméknévvel és/vagy [egyéni részletekkel(surface-custom-details-in-alerts.md) rendelkeznek. |
Az incidensek hasonlóságát az incidens utolsó tevékenységét megelőző 14 nap adatai alapján számítjuk ki, amely az incidens legutóbbi riasztásának befejezési időpontja. Az incidensek hasonlóságát is újraszámítja minden alkalommal, amikor beírja az incidens részleteit tartalmazó oldalt, így az eredmények munkamenetek között változhatnak, ha új incidenseket hoztak létre vagy frissítettek.
További információ: Hasonló incidensek keresése a környezetben.
Leggyakoribb incidenselemzések
A következőkben a történtek (vagy még mindig zajló események) széles körű körvonalait ismerve, és jobban megértve a kontextust, kíváncsi lesz arra, hogy a Microsoft Sentinel milyen érdekes információkat talált már önnek.
A Microsoft Sentinel automatikusan felteszi a nagy kérdéseket az incidens entitásaival kapcsolatban, és megjeleníti a leggyakoribb válaszokat a Top insights widgetben, amely az incidens részletei oldal jobb oldalán látható. Ez a widget a gépi tanulás elemzésén és a biztonsági szakértők felső csoportjainak képzésén alapuló elemzések gyűjteményét mutatja be.
Ezek az entitásoldalakon megjelenő elemzések egy speciálisan kijelölt részhalmazai, de ebben a kontextusban az incidensben szereplő összes entitásra vonatkozó elemzések együtt jelennek meg, így teljesebb képet kaphat arról, hogy mi történik. Az elemzések teljes készlete az Entitások lapon jelenik meg, mindegyik entitáshoz külön-külön – lásd alább.
A Top Insights widget választ ad az entitás viselkedésével kapcsolatos kérdésekre a társaihoz és a saját előzményeihez, a figyelőlistákon vagy a fenyegetésfelderítésben való jelenlétéhez, vagy bármilyen más, vele kapcsolatos szokatlan eseményhez képest.
A legtöbb ilyen megállapítás további információkra mutató hivatkozásokat tartalmaz. Ezek a hivatkozások kontextusban nyitják meg a Naplók panelt, ahol az adott megállapítás forrás lekérdezése és az eredmények jelennek meg.
Kapcsolódó entitások listája
Most, hogy van néhány kontextus és néhány alapvető kérdés megválaszolva, érdemes részletesebben megismerkednie a történet főbb szereplőivel.
A felhasználónevek, a gazdagépnevek, az IP-címek, a fájlnevek és más típusú entitások mind "érdeklődésre számot tartó személyek" lehetnek a vizsgálat során. A Microsoft Sentinel megtalálja az összeset, és megjeleníti őket az Entitások widgetben, az idővonal mellett.
Jelöljön ki egy entitást ebből a vezérlőből, hogy az ugyanazon incidenslap Entitások lapján lévő entitások listájára forditsa, amely tartalmazza az incidens összes entitásának listáját.
Jelöljön ki egy entitást a listában az entitáslapon alapuló információkat tartalmazó oldalpanel megnyitásához, beleértve az alábbi részleteket:
Az információ alapvető információkat tartalmaz az entitásról. A felhasználói fiók entitásai lehetnek például a felhasználónév, a tartománynév, a biztonsági azonosító (SID), a szervezeti információk, a biztonsági információk stb.
Az idősor tartalmazza az entitást és az entitás által végrehajtott tevékenységeket jellemző riasztások listáját, amelyeket az entitást megjelenítő naplókból gyűjtöttek össze.
Az Elemzések válaszokat tartalmaznak az entitás viselkedésével kapcsolatos kérdésekre a társaihoz és a saját előzményeihez képest, az figyelőlistákon vagy a fenyegetésfelderítésben való jelenlétre, vagy bármilyen más, vele kapcsolatos szokatlan eseményre.
Ezek a válaszok a Microsoft biztonsági kutatói által meghatározott lekérdezések eredményei, amelyek értékes és környezetfüggő biztonsági információkat nyújtanak az entitásokról egy forrásgyűjtemény adatai alapján.
Az entitás típusától függően számos további műveletet hajthat végre az oldalpanelen, beleértve a következőket:
Az entitás teljes entitásoldalára forgatva még több részletet kaphat hosszabb idő alatt, vagy elindíthatja az adott entitásra összpontosító grafikus vizsgálati eszközt.
Forgatókönyv futtatásával konkrét válasz- vagy szervizelési műveleteket hajthat végre az entitáson (előzetes verzióban).
Osztályozza az entitást a biztonsági rés (IOC) jelzéseként, és adja hozzá a fenyegetésfelderítési listához.
Ezek a műveletek jelenleg bizonyos entitástípusok esetében támogatottak, másoknál nem. Az alábbi táblázat az egyes entitástípusokhoz támogatott műveleteket mutatja be:
| Elérhető műveletek ▶ Entitástípusok ▼ |
Az összes részlet megtekintése (entitásoldalon) |
Hozzáadás a TI-hez * | Forgatókönyv futtatása * előzetes verziója? |
|---|---|---|---|
| Felhasználói fiók | ✔ | ✔ | |
| Gazdagép | ✔ | ✔ | |
| IP-cím | ✔ | ✔ | ✔ |
| URL-cím | ✔ | ✔ | |
| Tartománynév | ✔ | ✔ | |
| Fájl (kivonat) | ✔ | ✔ | |
| Azure-erőforrás | ✔ | ||
| IoT-eszköz | ✔ |
* Azoknál az entitásoknál, amelyekhez elérhető a Hozzáadás a TI-hez vagy a Forgatókönyv futtatása művelet, ezeket a műveleteket közvetlenül az Áttekintés lap Entitások widgetéből hajthatja végre, és soha nem hagyhatja el az incidensoldalt.
Incidensnaplók
Ismerje meg az incidensnaplókat, hogy megismerje a részleteket, és megtudja, mi történt pontosan?
Az incidens szinte bármely területén részletezheti az incidensben található egyes riasztásokat, entitásokat, megállapításokat és egyéb elemeket, és megtekintheti az eredeti lekérdezést és annak eredményeit.
Ezek az eredmények a Naplók (log analytics) képernyőn jelennek meg, amely az incidens részletei lap panelkiterjesztéseként jelenik meg, így nem hagyhatja el a vizsgálat kontextusát.
Rendszerezett rekordok incidensekkel
Az átláthatóság, az elszámoltathatóság és a folyamatosság érdekében rögzítenie kell az incidenssel kapcsolatos összes műveletet– akár automatizált folyamatok, akár személyek által. Az incidenstevékenység naplója megjeleníti az összes ilyen tevékenységet. Megtekintheti az elvégzett megjegyzéseket is, és hozzáadhatja a sajátját.
A tevékenységnapló folyamatosan automatikusan frissül, még nyitott állapotban is, így valós időben láthatja a módosításokat.
Kapcsolódó tartalom
Ebben a dokumentumban megtanulta, hogyan segíti a Microsoft Sentinel incidensvizsgálati felülete az Azure Portalon a vizsgálat egyetlen környezetben történő elvégzését. Az incidensek kezelésével és kivizsgálásával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
- Entitások vizsgálata entitáslapokkal a Microsoft Sentinelben.
- Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben
- Automatizálási szabályokkal automatizálhatja az incidenskezelést a Microsoft Sentinelben.
- Speciális fenyegetések azonosítása a Microsoft Sentinel felhasználói és entitásviselkedési elemzésével (UEBA)
- Keresse meg a biztonsági fenyegetéseket.
Következő lépés
A Microsoft Sentinel-incidensek navigálása, osztályozása és kezelése az Azure Portalon