A Microsoft Sentinel-incidensek részletes vizsgálata az Azure Portalon

Cikk
01/15/2025
A következőre érvényes::

Microsoft Sentinel in the Azure portal

A Microsoft Sentinel-incidensek olyan fájlok, amelyek az egyes vizsgálatokhoz szükséges összes bizonyítékot tartalmazzák. Minden incidenst olyan bizonyítékok (riasztások) alapján hozunk létre (vagy adunk hozzá), amelyeket elemzési szabályok hoztak létre, vagy amelyeket külső biztonsági termékekből importáltak, amelyek saját riasztásokat hoznak létre. Az incidensek öröklik a riasztásokban található entitásokat , valamint a riasztások tulajdonságait, például a súlyosságot, az állapotot és a MITRE ATT&CK-taktikákat és technikákat.

A Microsoft Sentinel teljes körű esetkezelési platformot biztosít az Azure Portalon a biztonsági incidensek kivizsgálására. Az Incidens részletei lap az a központi hely, ahonnan a vizsgálatot futtathatja, és egyetlen képernyőn gyűjtheti össze az összes releváns információt és az összes vonatkozó eszközt és feladatot.

Ez a cikk azt ismerteti, hogyan vizsgálhat meg részletesen egy incidenst, hogyan segíthet az incidensek gyorsabb, hatékonyabb és hatékonyabb navigálásában és kivizsgálásában, és hogyan csökkentheti az átlagos megoldási időt (MTTR).

Előfeltételek

Az incidensek kivizsgálásához a Microsoft Sentinel Válaszadó szerepkör-hozzárendelése szükséges.

További információ a Microsoft Sentinel szerepköreiről.
Ha van egy vendégfelhasználója, akinek incidenseket kell hozzárendelnie, a felhasználóhoz hozzá kell rendelni a Címtárolvasó szerepkört a Microsoft Entra-bérlőben. A normál (nem lekért) felhasználók alapértelmezés szerint hozzárendelik ezt a szerepkört.

Ha jelenleg az incidens részletei oldal régi felületét nézetben tekinti meg, váltson az új felületre a lap jobb felső sarkában, hogy folytassa az új felülettel kapcsolatos jelen cikkben ismertetett eljárásokat.

A talaj megfelelő előkészítése

Amikor egy incidens kivizsgálására készül, gyűjtse össze a munkafolyamat irányításához szükséges dolgokat. Az alábbi eszközöket az incidensoldal tetején található gombsávon találja, közvetlenül a cím alatt.

Képernyőkép az incidens részletei oldalon található gombsávról.

Válassza a Tevékenységek lehetőséget az incidenshez hozzárendelt tevékenységek megtekintéséhez vagy saját tevékenységek hozzáadásához. A feladatok javíthatják a folyamatszabványokat az SOC-ben. További információ: Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben.
Válassza a Tevékenységnapló lehetőséget, és ellenőrizze, hogy történt-e már művelet ezen az incidensen – például automatizálási szabályok szerint –, és hogy történt-e megjegyzés. Itt is hozzáadhat saját megjegyzéseket. További információ: Incidensesemények naplózása és megjegyzések hozzáadása.
A Naplók lehetőséget választva bármikor megnyithat egy teljes, üres Log Analytics-lekérdezési ablakot az incidensoldalon belül. Írjon össze és futtasson egy lekérdezést az incidens elhagyása nélkül. Szóval, amikor hirtelen ihletet merít, hogy egy gondolatot kergetjen, ne aggódjon a folyamat megszakítása miatt - a naplók ott vannak az Ön számára. További információt a Naplókban található adatok mélyebb megismerésében talál.

Az Incidensműveletek gomb az Áttekintés és az Entitások lapokkal szemben is található. Itt ugyanazokat a műveleteket ismertetjük, mint korábban, amelyeket az Incidensek rácslap részletek ablaktáblájának Műveletek gombja tartalmaz. Az egyetlen hiányzó a Vizsgálat, amely ehelyett a bal oldali részletek panelen érhető el.

Az Incidensműveletek gomb alatt elérhető műveletek a következők:

Művelet	Leírás
Forgatókönyv futtatása	Forgatókönyvet futtathat erről az incidensről, hogy konkrét bővítési, együttműködési vagy válaszműveleteket hajthasson végre.
Automatizálási szabály létrehozása	Hozzon létre egy olyan automatizálási szabályt, amely csak az ehhez hasonló incidenseken fut (amelyet ugyanaz az elemzési szabály hoz létre) a jövőben.
Csapat létrehozása (előzetes verzió)	Hozzon létre egy csoportot a Microsoft Teamsben, hogy együttműködjön más személyekkel vagy csapatokkal a részlegek között az incidens kezelése során. Ha már létrehozott egy csapatot ehhez az incidenshez, ez a menüelem Open Teamsként jelenik meg.

A teljes kép lekérése az incidens részletei oldalon

Az incidens részletei lap bal oldali panelje ugyanazokat az incidensinformációkat tartalmazza, amelyeket a rács jobb oldalán, az Incidensek lapon látott. Ez a panel mindig megjelenik, függetlenül attól, hogy melyik lap jelenik meg a lap többi részén. Innen láthatja az incidens alapvető információit, és az alábbi módokon részletezheti azokat:

A Bizonyítékok területen válassza az Események, Riasztások vagy Könyvjelzők lehetőséget a Naplók panel megnyitásához az incidensoldalon. A Naplók panel a kiválasztott három közül bármelyik lekérdezésével jelenik meg, és a lekérdezés eredményeinek részletes áttekintése nélkül, az incidenstől való elfordulás nélkül is végighaladhat. A Kész gombra kattintva bezárhatja a panelt, és visszatérhet az incidenshez. További információt a Naplókban található adatok mélyebb megismerésében talál.
Jelölje ki az Entitások területen lévő bármelyik bejegyzést az Entitások lapon való megjelenítéséhez. Itt csak az incidens első négy entitása látható. A többiek megtekintéséhez válassza az Összes megtekintése lehetőséget, vagy az Áttekintés lap Entitások vezérlőjében vagy az Entitások lapon. További információ: Entitások lap.

Válassza a Vizsgálat lehetőséget az incidens grafikus vizsgálati eszközben való megnyitásához, amely az incidens összes eleme közötti kapcsolatokat diagramon ábrázolja.

Ez a panel a képernyő bal margójára is összecsukható a Tulajdonos legördülő lista melletti kis, balra mutató dupla nyíl kiválasztásával. Még ebben a minimális állapotban is módosíthatja a tulajdonost, az állapotot és a súlyosságot.

Képernyőkép az incidens részleteinek oldalán található összecsukott oldalpanelről.

Az incidens részleteinek további lapja két lapra oszlik, az Áttekintés és az Entitások lapra.

Az Áttekintés lap a következő widgeteket tartalmazza, amelyek mindegyike a vizsgálat alapvető célját képviseli.

Widget	Leírás
Incidens idővonala	Az Incidens ütemterve widget megjeleníti az incidensben lévő riasztások és könyvjelzők idővonalát, amely segít rekonstruálni a támadói tevékenység ütemtervét. Jelöljön ki egy adott elemet az összes részlet megtekintéséhez, így tovább részletezheti a műveletet. További információ: A támadási történet idővonalának rekonstruálása.
Hasonló incidensek	A Hasonló incidensek widgetben legfeljebb 20 további incidensből álló gyűjtemény jelenik meg, amelyek leginkább hasonlítanak az aktuális incidensre. Ez lehetővé teszi az incidens nagyobb kontextusban való megtekintését, és segít a nyomozás irányításában. További információ: Hasonló incidensek keresése a környezetben.
Entitások	Az Entitások widget megjeleníti a riasztásokban azonosított összes entitást . Ezek azok az objektumok, amelyek szerepet játszottak az incidensben, legyen szó felhasználókról, eszközökről, címekről, fájlokról vagy bármilyen más típusról. Jelöljön ki egy entitást a teljes részleteinek megtekintéséhez, amelyek az Entitások lapon jelennek meg. További információ: Az incidens entitásainak megismerése.
Top insights	A Top insights widgetben a Microsoft biztonsági kutatói által definiált lekérdezések eredményeinek gyűjteménye jelenik meg, amelyek értékes és környezetfüggő biztonsági információkat nyújtanak az incidens összes entitásáról egy forrásgyűjtemény adatai alapján. További információ: Az incidens legfontosabb információinak lekérése.

Az Entitások lapon megtekintheti az incidensben szereplő entitások teljes listáját, amelyek az Áttekintés lapon az Entitások widgetben is megjelennek. Amikor kiválaszt egy entitást a widgetben, a rendszer arra utasítja, hogy tekintse meg az entitás teljes dokumentációját – az azonosítási információkat, a tevékenység idősorát (az incidensen belül és kívül egyaránt), valamint az entitással kapcsolatos összes megállapítást, ahogyan az az entitás teljes oldalán látható lenne, de az incidensnek megfelelő időkeretre korlátozódik.

A támadási történet idővonalának rekonstruálása

Az Incidens ütemterve widget megjeleníti az incidensben lévő riasztások és könyvjelzők idővonalát, amely segít rekonstruálni a támadói tevékenység ütemtervét.

Vigye az egérmutatót bármelyik ikon vagy hiányos szövegelem fölé egy elemleírás megjelenítéséhez, amely az ikon vagy szövegelem teljes szövegét tartalmazza. Ezek az elemleírások akkor hasznosak, ha a megjelenített szöveget csonkolja a widget korlátozott szélessége miatt. Tekintse meg a képernyőképen látható példát:

Képernyőkép az incidens idővonalának megjelenítési részleteiről.

Válassza ki az egyes riasztásokat vagy könyvjelzőt a teljes részletek megtekintéséhez.

A riasztás részletei közé tartozik a riasztás súlyossága és állapota, az azt létrehozó elemzési szabályok, a riasztást létrehozó termék, a riasztásban említett entitások, a kapcsolódó MITRE ATT&CK-taktikák és technikák, valamint a belső rendszerriasztás-azonosító.

Válassza a Rendszer riasztásazonosító hivatkozását, hogy még tovább részletezhesse a riasztást, nyissa meg a Naplók panelt, és jelenítse meg az eredményeket létrehozó lekérdezést és a riasztást kiváltó eseményeket.
A könyvjelző részletei nem teljesen azonosak a riasztás részleteivel; bár entitásokat, MITRE ATT&CK-taktikákat és technikákat, valamint a könyvjelző azonosítóját is tartalmazzák, a nyers eredményt és a könyvjelző létrehozójának adatait is tartalmazzák.

A Könyvjelzőnaplók megtekintése hivatkozásra kattintva nyissa meg a Naplók panelt, és jelenítse meg a könyvjelzőként mentett eredményeket létrehozó lekérdezést.

Az incidens idővonala widgetből a következő műveleteket is végrehajthatja a riasztásokkal és könyvjelzőkkel kapcsolatban:

Futtasson egy forgatókönyvet a riasztáson, hogy azonnal megtegye a szükséges lépéseket a fenyegetés mérséklése érdekében. Előfordulhat, hogy a további vizsgálat előtt blokkolnia vagy elkülönítenie kell egy fenyegetést. További információ a forgatókönyvek riasztásokon való futtatásáról.
Riasztás eltávolítása egy incidensből. Eltávolíthatja az incidensekhez a létrehozásuk után hozzáadott riasztásokat, ha úgy ítéli meg, hogy nem relevánsak. További információ a riasztások incidensekből való eltávolításáról.
Távolítsa el a könyvjelzőt egy incidensből, vagy szerkessze a szerkeszteni kívánt könyvjelzőben lévő mezőket (nem jelenik meg).

Hasonló incidensek keresése a környezetben

Biztonsági műveletek elemzőjeként az incidens kivizsgálásakor a nagyobb kontextusra szeretne figyelni.

Az incidens idővonala widgethez hasonlóan az oszlopszélesség miatt hiányosan megjelenő szövegekre is rámutathat a teljes szöveg megjelenítéséhez.

Az incidensek hasonló incidensek listájában megjelenő okai a Hasonlóság ok oszlopban jelennek meg. Vigye az egérmutatót az információs ikonra a gyakori elemek (entitások, szabálynév vagy részletek) megjelenítéséhez.

Képernyőkép a hasonló incidens részleteinek előugró megjelenítéséről.

Az incidenssel kapcsolatos legfontosabb megállapítások lekérése

A Microsoft Sentinel biztonsági szakértői beépített lekérdezésekkel rendelkeznek, amelyek automatikusan felteik az incidensben szereplő entitásokkal kapcsolatos jelentős kérdéseket. A leggyakoribb válaszokat a Top insights widgetben láthatja, amely az incidens részletei oldal jobb oldalán látható. Ez a widget a gépi tanulás elemzésén és a biztonsági szakértők felső csoportjainak képzésén alapuló elemzések gyűjteményét mutatja be.

Ezek ugyanazok a megállapítások, amelyek az entitásoldalakon jelennek meg, és kifejezetten azért vannak kiválasztva, hogy segítsenek a gyors osztályozásban és a fenyegetés hatókörének megértésében. Ugyanezen okból az incidens összes entitására vonatkozó megállapítások együtt jelennek meg, hogy teljesebb képet kapjon a történtekről.

A legfontosabb megállapítások változhatnak, és a következők lehetnek:

Műveletek fiók szerint .
Fiókműveletek.
UEBA-elemzések.
A felhasználóval kapcsolatos fenyegetésjelzők.
Watchlist insights (előzetes verzió).
Rendellenesen magas számú biztonsági esemény.
Windows bejelentkezési tevékenység.
IP-cím távoli kapcsolatai.
AZ IP-cím távoli kapcsolatai TI-vel egyeznek.

Ezen megállapítások mindegyike (kivéve az figyelőlistákhoz kapcsolódóakat, egyelőre) rendelkezik egy hivatkozással, amellyel megnyithatja az alapul szolgáló lekérdezést az incidensoldalon megnyíló Naplók panelen. Ezután részletezheti a lekérdezés eredményeit.

A Top Insights widget időkerete az incidens legkorábbi riasztása előtti 24 órától a legújabb riasztás időpontjáig tart.

Az incidens entitásainak megismerése

Az Entitások widget megjeleníti az incidens riasztásaiban azonosított összes entitást . Ezek azok az objektumok, amelyek szerepet játszottak az incidensben, legyen szó felhasználókról, eszközökről, címekről, fájlokról vagy bármilyen más típusról.

Az entitások widgetében kereshet az entitások listájában, vagy szűrheti a listát entitástípus szerint, hogy segítsen megtalálni egy entitást.

Képernyőkép az entitásokon végrehajtható műveletekről az Áttekintés lapon.

Ha már tudja, hogy egy adott entitás a biztonság ismert jelzője, jelölje ki az entitás sorában található három elemet, és válassza az Add to TI (Hozzáadás a TI-hoz) lehetőséget az entitás fenyegetésfelderítéshez való hozzáadásához. (Ez a beállítás támogatott entitástípusok esetén érhető el.)

Ha egy adott entitás automatikus válaszütemezését szeretné aktiválni, jelölje ki a három elemet, és válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget. (Ez a beállítás támogatott entitástípusok esetén érhető el.)

Jelöljön ki egy entitást a teljes részleteinek megtekintéséhez. Amikor kiválaszt egy entitást, az Áttekintés lapról az Entitások lapra lép, amely az incidens részletei lap egy másik része.

Entitások lap

Az Entitások lapon az incidensben szereplő összes entitás listája látható.

Az entitások vezérlőhöz hasonlóan ez a lista is kereshető és szűrhető entitástípus szerint. Az egyik listában alkalmazott keresések és szűrők nem vonatkoznak a másikra.

Jelöljön ki egy sort az entitás adatainak jobb oldali panelen való megjelenítéséhez.

Ha az entitás neve hivatkozásként jelenik meg, az entitás nevének kiválasztása átirányítja a teljes entitásoldalra az incidensvizsgálati oldalon kívül. Ha csak az oldalpanelt szeretné megjeleníteni az incidens elhagyása nélkül, jelölje ki azt a sort a listában, ahol az entitás megjelenik, de ne válassza ki a nevét.

Itt ugyanazokat a műveleteket végezheti el, amelyeket az áttekintési oldalon található widgetből is elvégezhet. Válassza ki az entitás sorában található három elemet egy forgatókönyv futtatásához, vagy adja hozzá az entitást a fenyegetésfelderítéshez.

Ezeket a műveleteket úgy is végrehajthatja, hogy az oldalpanel alján a Teljes adatok megtekintése gombot választja. A gomb beolvassa a Hozzáadás a TI-hez, a forgatókönyv futtatása (előzetes verzió) vagy az Entitásműveletek lehetőséget – ebben az esetben megjelenik egy menü a másik két lehetőséggel.

Maga a Teljes adatok megtekintése gomb átirányítja az entitás teljes entitásoldalára.

Entitások lap oldalpanel

Jelöljön ki egy entitást az Entitások lapon az oldalpanel megjelenítéséhez az alábbi kártyákkal:

Az információ az entitással kapcsolatos azonosító adatokat tartalmazza. Egy felhasználói fiók entitása például lehet például a felhasználónév, a tartománynév, a biztonsági azonosító (SID), a szervezeti információk, a biztonsági információk stb.
Az idősor tartalmazza az entitást jellemző riasztások, könyvjelzők és anomáliák listáját, valamint az entitás által végrehajtott tevékenységeket, amelyeket az entitást megjelenítő naplókból gyűjtöttek össze. Az entitást tartalmazó összes riasztás szerepel a listában, függetlenül attól, hogy a riasztások ehhez az incidenshez tartoznak-e .

Az incidens részét nem képező riasztások másképp jelennek meg: a pajzs ikonja szürkén jelenik meg, a súlyosságú színsáv pontozott vonal, nem egy folytonos vonal, és a riasztás sorának jobb oldalán egy pluszjellel ellátott gomb látható.

Válassza ki a pluszjelet, ha hozzá szeretné adni a riasztást ehhez az incidenshez. Amikor hozzáadja a riasztást az incidenshez, a rendszer hozzáadja a riasztás többi entitását is (amelyek még nem tartoztak az incidenshez). Most tovább bővítheti a vizsgálatot az entitások kapcsolódó riasztásokkal kapcsolatos ütemterveinek áttekintésével.

Ez az idővonal az előző hét nap riasztásaira és tevékenységeire korlátozódik. A visszalépéshez a teljes entitásoldal idővonalához kell elforgatnia, amelynek időkerete testre szabható.
Az Insights a Microsoft biztonsági kutatói által definiált lekérdezések eredményeit tartalmazza, amelyek értékes és környezetfüggő biztonsági információkat nyújtanak az entitásokról egy forrásgyűjtemény adatai alapján. Ezek az elemzések magukban foglalják a Top Insights widgetből származókat és még sok mást; ugyanazok, amelyek a teljes entitásoldalon jelennek meg, de korlátozott időkereten belül: az incidens legkorábbi riasztása előtt 24 órával kezdődnek, és a legutóbbi riasztás időpontjával végződnek.

A legtöbb elemzés olyan hivatkozásokat tartalmaz, amelyek kiválasztásakor megnyitják a Naplók panelt , amely megjeleníti az elemzést létrehozó lekérdezést és annak eredményeit.

Ismerkedés az adatokkal a Naplókban

A vizsgálati élmény szinte bárhonnan kiválaszthat egy hivatkozást, amely megnyitja az alapul szolgáló lekérdezést a Naplók panelen, a vizsgálat kontextusában. Ha az egyik hivatkozásból a Naplók panelre jutott, a megfelelő lekérdezés megjelenik a lekérdezési ablakban, és a lekérdezés automatikusan lefut, és létrehozza a megfelelő eredményeket a vizsgálathoz.

Az incidens részleteinek oldalán bármikor meghívhat egy üres Naplók panelt is, ha olyan lekérdezésre gondol, amelyet a vizsgálat során meg szeretne próbálni, miközben a környezetében marad. Ehhez válassza a Lap tetején található Naplók lehetőséget.

Ha azonban a Naplók panelen végzi, ha olyan lekérdezést futtat, amelynek eredményeit menteni szeretné, kövesse az alábbi eljárást:

Jelölje be az eredmények közé menteni kívánt sor melletti jelölőnégyzetet. Az összes eredmény mentéséhez jelölje be az oszlop tetején lévő jelölőnégyzetet.
Mentse a megjelölt eredményeket könyvjelzőként. Ehhez két lehetősége van:
- A könyvjelzők létrehozásához és a megnyitott incidenshez való hozzáadásához válassza a Könyvjelző hozzáadása az aktuális incidenshez lehetőséget. A folyamat befejezéséhez kövesse a könyvjelző utasításait . Miután elkészült, a könyvjelző megjelenik az incidens idővonalán.
- A Könyvjelző hozzáadása lehetőséget választva anélkül hozhat létre könyvjelzőt, hogy bármilyen incidenshez hozzáadta volna. A folyamat befejezéséhez kövesse a könyvjelző utasításait . Ezt a könyvjelzőt a Vadászat lapon, a Könyvjelzők lapon létrehozott többi felhasználóval együtt is megtalálhatja. Innen hozzáadhatja ezt vagy bármely más incidenst.
A könyvjelző létrehozása után (vagy ha úgy dönt, hogy nem), válassza a Kész elemet a Naplók panel bezárásához.

Példa:

A vizsgálat kibontása vagy összpontosítása

Riasztásokat adhat az incidensekhez, hogy bővítse vagy kibővítse a vizsgálat hatókörét. Másik lehetőségként távolítsa el a riasztásokat az incidensekből, hogy szűkítse vagy összpontosítsa a vizsgálat hatókörét.

További információ: Riasztások összekapcsolása incidensekkel a Microsoft Sentinelben az Azure Portalon.

Incidensek vizuális vizsgálata a vizsgálati gráf használatával

Ha a riasztások, entitások és a köztük lévő kapcsolatok vizuális, grafikus ábrázolását részesíti előnyben a vizsgálat során, a klasszikus vizsgálati grafikonon is számos korábban tárgyalt dolgot elvégezhet. A gráf hátránya, hogy végül sokkal több kontextust kell váltania.

A vizsgálati gráf a következőket nyújtja:

Vizsgálati tartalom	Leírás
Vizuális környezet nyers adatokból	Az élő, vizualizációs gráf a nyers adatokból automatikusan kinyert entitáskapcsolatokat jeleníti meg. Ez lehetővé teszi a különböző adatforrások közötti kapcsolatok egyszerű megtekintését.
A vizsgálati hatókör teljes felderítése	Bontsa ki a vizsgálati hatókört beépített feltárási lekérdezésekkel a jogsértés teljes hatókörének felszínre hozásához.
Beépített vizsgálati lépések	Előre definiált feltárási lehetőségek használatával győződjön meg arról, hogy a megfelelő kérdéseket teszi fel a fenyegetéssel szemben.

A vizsgálati gráf használata:

Jelöljön ki egy incidenst, majd válassza a Vizsgálat lehetőséget. Ez a vizsgálati gráfhoz vezet. A gráf szemléltető térképet biztosít a riasztáshoz közvetlenül kapcsolódó entitásokról és az egyes erőforrásokról.
Fontos
- Csak akkor tudja kivizsgálni az incidenst, ha az azt létrehozó elemzési szabály vagy könyvjelző entitásleképezéseket tartalmaz. A vizsgálati gráf megköveteli, hogy az eredeti incidenst tartalmazzon entitásokat.
- A vizsgálati grafikon jelenleg 30 naposnál régebbi incidensek vizsgálatát támogatja.
Jelöljön ki egy entitást az Entitások panel megnyitásához, hogy áttekinthesse az adott entitás adatait.
Bontsa ki a vizsgálatot úgy, hogy az egyes entitások fölé viszi azokat a kérdéseket, amelyeket a biztonsági szakértők és elemzők entitástípusonként terveztek a vizsgálat elmélyítéséhez. Ezeket a lehetőségeket feltáró lekérdezéseknek nevezzük.

Kérhet például kapcsolódó riasztásokat. Ha kiválaszt egy feltárási lekérdezést, az eredményként kapott entitles visszakerül a gráfba. Ebben a példában a Kapcsolódó riasztások kiválasztása a következő riasztásokat adja vissza a gráfba:

Láthatja, hogy a kapcsolódó riasztások pontozott vonalakkal kapcsolódnak az entitáshoz.
Az egyes feltárási lekérdezések esetében az Események> lehetőséget választva megnyithatja a nyers esemény eredményeit és a Log Analyticsben használt lekérdezést.
Az incidens megértéséhez a gráf párhuzamos ütemtervet ad.
Vigye az egérmutatót az ütemtervre, és nézze meg, hogy a gráf mely pontján történtek dolgok.

Incidensesemények naplózása és megjegyzések hozzáadása

Az incidens kivizsgálása során alaposan dokumentálni kell a lépéseket, mind a vezetőségnek való pontos jelentéskészítés, mind a munkatársak közötti zökkenőmentes együttműködés és együttműködés érdekében. Azt is szeretné, hogy egyértelműen láthassa a mások által az incidensen végrehajtott műveletek rekordjait, beleértve az automatizált folyamatokat is. A Microsoft Sentinel a tevékenységnaplót, egy gazdag naplózási és megjegyzéskészítési környezetet biztosít, amely segít ennek megvalósításában.

Az incidenseket automatikusan megjegyzésekkel is kiegészítheti. Ha például forgatókönyvet futtat egy olyan incidensről, amely releváns információkat kér le külső forrásokból (például egy víruskeresési fájlt a VirusTotalban), a forgatókönyvben elhelyezheti a külső forrás válaszát – az Ön által megadott egyéb információkkal együtt – az incidens megjegyzéseiben.

A tevékenységnapló automatikusan visszafed, még megnyitáskor is, hogy mindig valós időben láthassa a változásokat. A tevékenységnaplóban végzett módosításokról is értesítést kap, amíg meg van nyitva.

Előfeltételek

Szerkesztés: Csak a megjegyzés szerzője rendelkezik szerkesztési engedéllyel.
Törlés: Csak a Microsoft Sentinel közreműködői szerepkörrel rendelkező felhasználók jogosultak a megjegyzések törlésére. A törléshez még a megjegyzés szerzőjének is rendelkeznie kell ezzel a szerepkörével.

A tevékenységek és megjegyzések naplójának megtekintéséhez vagy saját megjegyzések hozzáadásához:

Válassza a Tevékenységnapló lehetőséget az incidens részletei oldal tetején.
Ha szűrni szeretné a naplót, hogy csak tevékenységeket vagy csak megjegyzéseket jelenítsen meg, válassza a napló tetején található szűrővezérlőt.
Ha megjegyzést szeretne hozzáadni, írja be a rich text szerkesztőbe az Incidens tevékenységnapló paneljének alján.
Válassza a Megjegyzés lehetőséget a megjegyzés elküldéséhez. A megjegyzés a napló tetején lesz hozzáadva.

Képernyőkép a megjegyzések megtekintéséről és beírásáról.

Megjegyzések támogatott bemenete

Az alábbi táblázat a megjegyzésekben támogatott bemenetek korlátait sorolja fel:

Típus	Leírás
Szöveg	A Microsoft Sentinel megjegyzései egyszerű szöveges, egyszerű HTML- és Markdown-szövegbevitelt támogatnak. Másolt szöveget, HTML-t és Markdownt is beilleszthet a megjegyzésablakba.
Hivatkozások	A hivatkozásoknak HTML-horgonycímkék formájában kell lenniük, és meg kell adniuk a paramétert `target="_blank"`. Például:: `html<br><a href="https://www.url.com" target="_blank">link text</a><br>` Ha forgatókönyvei megjegyzéseket hoznak létre incidensekben, az ezekben a megjegyzésekben szereplő hivatkozásoknak is meg kell felelniük ennek a sablonnak.
Képek	A képek nem tölthetők fel közvetlenül a megjegyzésekbe. Ehelyett szúrjon be képekre mutató hivatkozásokat a megjegyzésekben, hogy beágyazott képeket jelenítsen meg. A csatolt képeket már nyilvánosan elérhető helyen kell tárolni, például a Dropboxban, a OneDrive-on, a Google Drive-on stb.
Méretkorlát	Megjegyzésenként: Egyetlen megjegyzés legfeljebb 30 000 karaktert tartalmazhat. Incidensenként: Egyetlen incidens legfeljebb 100 megjegyzést tartalmazhat. A Log Analytics SecurityIncident táblájában található egyetlen incidensrekord méretkorlátja 64 KB. Ha túllépi ezt a korlátot, a megjegyzések (a legkorábbitól kezdve) csonkulnak, ami hatással lehet a speciális keresési eredményekben megjelenő megjegyzésekre. Az incidensek adatbázisában lévő tényleges incidensrekordokra nincs hatással.

Következő lépés

Incidensek vizsgálata UEBA-adatokkal

Ebben a cikkben megtanulta, hogyan kezdheti meg az incidensek kivizsgálását a Microsoft Sentinel használatával. További információk: