Megosztás a következőn keresztül:

A Microsoft Sentinel-incidensek navigálása, osztályozása és kezelése az Azure Portalon

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal

Ez a cikk bemutatja, hogyan navigálhat és futtathat alapszintű osztályozást az incidenseken az Azure Portalon.

Előfeltételek

  1. A Microsoft Sentinel navigációs menüjében, a Fenyegetéskezelés területen válassza az Incidensek lehetőséget.

    Az Incidensek oldal alapvető információkat nyújt az összes nyitott incidensről. Példa:

    Képernyőkép az incidens súlyosságának nézetéről.

    • A képernyő tetején egy eszköztár található, amelyen egy adott incidensen kívül is végrehajthat műveleteket – akár a rács egészén, akár több kiválasztott incidensen. Emellett rendelkezik a nyitott incidensek számával, akár új, akár aktív, valamint a nyitott incidensek számát súlyosság szerint.

    • A központi panelen található egy incidensrács, amely a lista tetején található szűrési vezérlők által szűrt incidensek listája, valamint egy keresősáv, amely konkrét incidenseket keres.

    • Ezen az oldalon egy részletes panel látható, amely a központi listában kiemelt incidenssel kapcsolatos fontos információkat, valamint az adott incidenssel kapcsolatos bizonyos műveletekhez szükséges gombokat jeleníti meg.

  2. Előfordulhat, hogy a biztonsági üzemeltetési csapat automatizálási szabályokkal rendelkezik az új incidensek alapszintű osztályozásához és a megfelelő személyzethez való hozzárendeléséhez.

    Ebben az esetben szűrje az incidenslistát tulajdonos szerint, hogy a listát az Önhöz vagy a csapatához rendelt incidensekre korlátozza. Ez a szűrt készlet a személyes számítási feladatot jelöli.

    Ellenkező esetben elvégezheti az alapszintű osztályozást. Először szűrje az incidensek listáját az elérhető szűrési feltételek alapján, legyen szó állapotról, súlyosságról vagy terméknévről. További információ: Incidensek keresése.

  3. Egy adott incidens osztályozása és a kezdeti művelet végrehajtása azonnal, közvetlenül az Incidensek oldal részletek paneljéről, anélkül, hogy be kellene írnia az incidens teljes részleteit tartalmazó oldalt. Példa:

    • Vizsgálja meg a Microsoft Defender XDR-incidenseket a Microsoft Defender XDR-ben: Kövesse a Microsoft Defender XDR-ben található vizsgálat hivatkozást a párhuzamos incidenshez való kimutatáshoz a Defender portálon. A Microsoft Defender XDR-ben az incidensen végzett módosítások szinkronizálva lesznek ugyanahhoz az incidenshez a Microsoft Sentinelben.

    • Nyissa meg a hozzárendelt tevékenységek listáját: Azok az incidensek, amelyekhez tevékenységek vannak hozzárendelve, a befejezett és a teljes tevékenységek száma, valamint a Teljes részletek megtekintése hivatkozás jelenik meg. A hivatkozásra kattintva nyissa meg az Incidensfeladatok lapot az incidenshez tartozó tevékenységek listájának megtekintéséhez.

    • Rendelje hozzá az incidens tulajdonjogát egy felhasználóhoz vagy csoporthoz a Tulajdonos legördülő listából kiválasztva.

      Képernyőkép az incidens felhasználóhoz való hozzárendeléséről.

      A legutóbb kijelölt felhasználók és csoportok a képen látható legördülő lista tetején jelennek meg.

    • Frissítse az incidens állapotát (például újról aktívra vagy lezártra) az Állapot legördülő listából való kijelöléssel. Az incidens lezárásakor meg kell adnia egy okot. További információ: Incidens bezárása.

    • Az incidens súlyosságát a Súlyosság legördülő listából választva módosíthatja .

    • Címkék hozzáadása az incidensek kategorizálásához. Előfordulhat, hogy le kell görgetnie a részletek panel aljára, hogy lássa, hol adhat hozzá címkéket.

    • Megjegyzéseket fűzhet a műveletek, ötletek, kérdések és egyebek naplózásához. Előfordulhat, hogy le kell görgetnie a részletek panel aljára, hogy lássa, hol adhat hozzá megjegyzéseket.

  4. Ha a részletek panelen található információk elegendőek a további szervizelési vagy kárenyhítési műveletek kéréséhez, az alul található Műveletek gombra kattintva hajtsa végre az alábbi műveletek egyikét:

    Művelet Leírás
    Vizsgálat A grafikus vizsgálati eszköz segítségével felderítheti a riasztások, entitások és tevékenységek közötti kapcsolatokat, mind ezen az incidensen belül, mind más incidensekben.
    Forgatókönyv futtatása Forgatókönyvet futtathat az incidensről, hogy konkrét bővítési, együttműködési vagy válaszműveleteket hajthasson végre, például az SOC mérnökei elérhetővé tehették.
    Automatizálási szabály létrehozása Hozzon létre egy olyan automatizálási szabályt, amely csak az ehhez hasonló incidenseken fut (amelyet ugyanaz az elemzési szabály hoz létre) a jövőben, hogy csökkentse a jövőbeli számítási feladatokat, vagy figyelembe lehessen venni a követelmények ideiglenes változását (például behatolási teszt esetén).
    Csapat létrehozása (előzetes verzió) Hozzon létre egy csoportot a Microsoft Teamsben, hogy együttműködjön más személyekkel vagy csapatokkal a részlegek között az incidens kezelése során.

    Példa:

    Képernyőkép az incidensen elvégezhető műveletek menüjéről a részletek panelen.

  5. Ha további információra van szükség az incidensről, válassza a Részletek panel teljes adatainak megtekintését az incidens részleteinek teljes körű megtekintéséhez, beleértve az incidens riasztásait és entitásait, a hasonló incidensek listáját és a kiválasztott legfontosabb megállapításokat.

Incidensek keresése

Egy adott incidens gyors megkereséséhez írjon be egy keresési sztringet az incidensek rácsa feletti keresőmezőbe, és nyomja le az Enter billentyűt az incidensek listájának ennek megfelelően történő módosításához. Ha az incidens nem szerepel az eredmények között, érdemes lehet a speciális keresési beállítások használatával szűkíteni a keresést.

A keresési paraméterek módosításához kattintson a Keresés gombra, majd válassza ki azokat a paramétereket, ahol futtatni szeretné a keresést.

Példa:

Képernyőkép az incidens keresőmezője és gombja az alapszintű és/vagy speciális keresési lehetőségek kiválasztásához.

Alapértelmezés szerint az incidenskeresések csak az incidensazonosító, a cím, a címkék, a tulajdonos és a terméknév értékein futnak. A keresési panelen görgessen le a listáról egy vagy több más keresési paraméter kiválasztásához, és válassza az Alkalmaz lehetőséget a keresési paraméterek frissítéséhez. Válassza a Beállítás lehetőséget a kijelölt paraméterek alapértelmezett beállításra állításához.

Feljegyzés

A Tulajdonos mezőben található keresések mind a neveket, mind az e-mail-címeket támogatják.

A speciális keresési beállítások használata az alábbiak szerint módosítja a keresési viselkedést:

Keresési viselkedés Leírás
Keresés gomb színe A keresési gomb színe a keresésben jelenleg használt paraméterek típusától függően változik.
  • Amíg csak az alapértelmezett paraméterek vannak kiválasztva, a gomb szürke.
  • Amint különböző paramétereket , például speciális keresési paramétereket választ ki, a gomb kékre változik.
Automatikus frissítés A speciális keresési paraméterek használatával nem lehet automatikusan frissíteni a találatokat.
Entitásparaméterek A speciális keresésekhez minden entitásparaméter támogatott. Ha bármely entitásparaméterben keres, a keresés az összes entitásparaméterben fut.
Keresési sztringek A szavak sztringjének keresése magában foglalja a keresési lekérdezésben szereplő összes szót. A keresési sztringek megkülönböztetik a kis- és nagybetűket.
Munkaterületek közötti támogatás A munkaterületek közötti nézetek nem támogatják a speciális kereséseket.
Megjelenített keresési eredmények száma Ha speciális keresési paramétereket használ, egyszerre csak 50 találat jelenik meg.

Tipp.

Ha nem találja a keresett incidenst, távolítsa el a keresési paramétereket a keresés kibontásához. Ha a keresés túl sok elemet eredményez, adjon hozzá további szűrőket a találatok szűkítéséhez.

Incidens bezárása

Miután megoldott egy adott incidenst (például amikor a vizsgálat befejezi a következtetést), állítsa be az incidens állapotát Lezárt értékre. Ha így tesz, a rendszer arra kéri, hogy osztályozza az incidenst a lezárás okának megadásával. Ez a lépés kötelező.

Válassza a Besorolás kiválasztása lehetőséget , és válasszon az alábbiak közül a legördülő listából:

  • Igaz pozitív – gyanús tevékenység
  • Jóindulatú pozitív – gyanús, de várható
  • Hamis pozitív – helytelen riasztási logika
  • Hamis pozitív – helytelen adatok
  • Meghatározatlan

Képernyőkép a Besorolás kiválasztása listában elérhető besorolásokról.

A hamis pozitív és jóindulatú pozitív értékekről további információt a Microsoft Sentinel hamis pozitív adatainak kezelése című témakörben talál.

A megfelelő besorolás kiválasztása után adjon hozzá néhány leíró szöveget a Megjegyzés mezőbe. Ez akkor hasznos, ha vissza kell hivatkoznia erre az incidensre. Ha végzett, válassza az Alkalmaz lehetőséget, és az incidens lezárult.

Képernyőkép egy incidens bezárásáról.

Következő lépés

További információ: A Microsoft Sentinel-incidensek részletes vizsgálata az Azure Portalon