Navigieren und Untersuchen von Incidents mit Microsoft Sentinel
Microsoft Sentinel bietet Ihnen eine vollständige Fallverwaltungsplattform mit umfassenden Funktionen zum Untersuchen von Sicherheitsincidents. Die Seite Incidentdetails ist Ihr zentraler Ausgangsort für die Durchführung Ihrer Untersuchung, an dem alle relevanten Informationen und alle anwendbaren Tools und Aufgaben in einem Bildschirm zusammengeführt sind.
Dieser Artikel führt Sie durch alle Bereiche und Optionen, die auf der Detailseite für Incidents verfügbar sind, und hilft Ihnen dabei, Ihre Incidents schneller, effektiver und effizienter zu navigieren und zu untersuchen sowie Ihre mittlere Zeit bis zur Lösung (MTTR) zu reduzieren.
Weitere Informationen finden Sie in den Anweisungen für die vorherige Version der Incidentuntersuchung.
Incidents sind Ihre Falldateien, die eine Aggregation aller relevanten Beweise für bestimmte Untersuchungen enthalten. Jeder Incident wird basierend auf Beweisstücken (Warnungen) erstellt (oder diesen hinzugefügt), die entweder von Analyseregeln generiert oder aus Sicherheitsprodukten von Drittanbietern importiert wurden, die ihre eigenen Warnungen erzeugen. Vorfälle erben die in den Warnungen enthaltenen Entitäten sowie die Eigenschaften der Warnungen, z. B. Schweregrad, Status und MITRE ATT&CK-Taktiken und -Techniken.
Voraussetzungen
Die Rollenzuweisung Microsoft Sentinel-Antwortberechtigter ist erforderlich, um Incidents untersuchen zu können.
Weitere Informationen zu Rollen in Microsoft Sentinel.
Wenn ein Gastbenutzer Vorfälle zuweisen muss, muss diesem im Microsoft Entra-Mandanten die Rolle Verzeichnisleseberechtigter zugewiesen werden. Regulären Benutzern (keine Gastbenutzer) ist diese Rolle standardmäßig zugewiesen.
Navigation in und Selektierung von Incidents
Die Seite „Incidents“
Wählen Sie im Microsoft Sentinel-Navigationsmenü unter Bedrohungsverwaltung die Option Incidents aus.
Auf den Incidents-Seiten finden Sie grundlegende Informationen zu allen Ihren offenen Incidents.
Am oberen Bildschirmrand sehen Sie die Anzahl der offenen Incidents, ob sie neu oder aktiv sind, sowie die Anzahl der offenen Incidents nach Schweregrad. Sie verfügen außerdem über das Banner mit Aktionen, die Sie außerhalb eines bestimmten Incidents ausführen können – entweder im Raster als Ganzem oder bei mehreren ausgewählten Incidents.
Im zentralen Bereich finden Sie das Incidentraster, eine Liste von Incidents, die mit den Filtersteuerelementen am Anfang der Liste gefiltert ist, sowie eine Suchleiste, um bestimmte Incidents zu finden.
Auf der rechten Seite befindet sich ein Detailbereich, in dem wichtige Informationen zu dem Incident angezeigt werden, der in der zentralen Liste hervorgehoben ist, zusammen mit Schaltflächen zum Ausführen bestimmter spezifischer Aktionen hinsichtlich dieses Incidents.
Ihr Security Operations-Team verfügt möglicherweise über eingerichtete Automatisierungsregeln, um eine grundlegende Selektierung neuer Incidents durchzuführen und sie den richtigen Mitarbeitern zuzuweisen.
Filtern Sie in diesem Fall die Incidentliste nach Besitzer, um die Liste auf die Incidents zu beschränken, die Ihnen oder Ihrem Team zugewiesen sind. Diese gefilterte Gruppe stellt Ihre persönliche Workload dar.
Andernfalls können Sie die grundlegende Selektierung selbst durchführen. Sie können damit beginnen, dass Sie die Liste der Incidents nach verfügbaren Filterkriterien filtern, unabhängig davon, ob Status, Schweregrad oder Produktname. Weitere Informationen finden Sie unter Suchen nach Incidents.
Selektieren Sie einen bestimmten Incident, und ergreifen Sie sofort einige Aktionen für diesen, direkt über den Detailbereich auf der Seite Incidents, ohne die Seite des Incidents mit den vollständigen Details anzeigen zu müssen.
Untersuchen von Microsoft Defender XDR-Vorfällen in Microsoft Defender XDR: Folgen Sie dem Link Untersuchen in Microsoft Defender XDR, um zu dem parallelen Vorfall im Defender-Portal zu wechseln. Alle Änderungen, die Sie am Vorfall in Microsoft Defender XDR vornehmen, werden mit demselben Vorfall in Microsoft Sentinel synchronisiert.
Öffnen der Liste der zugewiesenen Aufgaben: Incidents, für die Aufgaben zugewiesen wurden, weisen eine Anzahl der abgeschlossenen Aufgaben sowie eine Gesamtaufgabenzahl und einen Link Vollständige Details anzeigen auf. Folgen Sie dem Link, um den Bereich Incidentaufgaben zu öffnen, um die Liste der Aufgaben für diesen Incident anzuzeigen.
Weisen Sie einem Benutzer oder einer Gruppe den Besitz des Incidents zu, indem Sie in der Dropdownliste Besitzer eine Auswahl treffen.
Zuletzt ausgewählte Benutzer und Gruppen werden oben in der dargestellten Dropdownliste angezeigt.
Aktualisieren Sie den Status des Incidents (z. B. von Neu auf Aktiv oder Geschlossen), indem Sie in der Dropdownliste Status eine Auswahl treffen. Beim Schließen eines Incidents müssen Sie einen Grund angeben. Anweisungen finden Sie unten.
Ändern Sie den Schweregrad des Incidents, indem Sie in der Dropdownliste Schweregrad eine Auswahl treffen.
Fügen Sie Tags hinzu, um Ihre Incidents zu kategorisieren. Möglicherweise müssen Sie im Detailbereich bis ganz unten scrollen, um zu sehen, wo Tags hinzugefügt werden können.
Fügen Sie Kommentare hinzu, um Ihre Aktionen, Ideen, Fragen und mehr zu protokollieren. Möglicherweise müssen Sie im Detailbereich bis ganz unten scrollen, um zu sehen, wo Kommentare hinzugefügt werden können.
Wenn die Informationen im Detailbereich ausreichen, um weitere Korrektur- oder Entschärfungsaktionen auszulösen, wählen Sie unten im Detailbereich die Schaltfläche Aktionen aus, um eine der folgenden Aktionen auszuführen:
Untersuchen: Verwenden Sie das grafische Untersuchungstool, um Beziehungen zwischen Warnungen, Entitäten und Aktivitäten zu ermitteln, sowohl innerhalb dieses Incidents als auch über andere Incidents hinweg.
Playbook ausführen (Vorschau): Führen Sie ein Playbook für diesen Incident aus, um bestimmte Anreicherungs-, Zusammenarbeits- oder Antwortaktionen durchzuführen, die Ihre SOC-Techniker möglicherweise zur Verfügung gestellt haben.
Automatisierungsregel erstellen: Erstellen Sie eine Automatisierungsregel, die in Zukunft nur für Incidents wie diesen ausgeführt wird (von derselben Analyseregel generiert), um Ihre zukünftige Workload zu verringern oder eine vorübergehende Änderung der Anforderungen (z. B. für einen Penetrationstest) zu berücksichtigen.
Team erstellen (Vorschau): Erstellen Sie ein Team in Microsoft Teams, um abteilungsübergreifend mit anderen Personen oder Teams an der Behandlung des Incidents zusammenzuarbeiten.
Wenn weitere Informationen zu dem Incident erforderlich sind, wählen Sie Vollständige Details anzeigen im Detailbereich aus, um die Gesamtheit der Details des Incidents anzuzeigen, einschließlich der Warnungen und Entitäten im Incident, einer Liste ähnlicher Incidents und ausgewählter wichtigster Erkenntnisse.
In den nächsten Abschnitten dieses Artikels finden Sie informationen zu einem typischen Untersuchungspfad, in dessen Verlauf Sie Informationen zu allen dort angezeigten Informationen und allen Aktionen erhalten, die Sie ausführen können.
Detaillierte Untersuchung Ihres Incidents
Microsoft Sentinel bietet eine vollständige Erfahrung mit umfangreichen Funktionen zur Untersuchung und Verwaltung von Incidents, sodass Sie Incidents schneller und effizienter untersuchen, korrigieren und beheben können. Im Folgenden sehen Sie die neue Detailseite für Incidents:
Bereiten Sie das Fundament richtig vor
Wenn Sie sich auf die Untersuchung eines Incidents vorbereiten, stellen Sie die Dinge zusammen, die Sie zum Leiten Ihres Workflows benötigen. Die folgenden Tools finden Sie auf einer Schaltflächenleiste am oberen Rand der Incidentseite, direkt unter dem Titel.
Wählen Sie Aufgaben aus, um die für diesen Vorfall zugewiesenen Aufgaben anzuzeigen oder um eigene Aufgaben hinzuzufügen.
Erfahren Sie mehr über die Verwendung von Incidentaufgaben zur Verbesserung der Prozessstandardisierung in Ihrem SOC.
Wählen Sie Aktivitätsprotokoll aus, um festzustellen, ob bereits Maßnahmen für diesen Incident ergriffen wurden (z. B. durch Automatisierungsregeln) sowie um alle Kommentare, die eventuell abgegeben wurden, anzuzeigen. Sie können hier auch Ihre eigenen Kommentare hinzufügen. Weitere Informationen zum Aktivitätsprotokoll finden Sie weiter unten.
Wählen Sie jederzeit Protokolle aus, um ein vollständiges, leeres Protokollanalyse-Abfragefenster innerhalb der Incidentseite zu öffnen. Sie können eine Abfrage, in Bezug stehend oder nicht, erstellen und ausführen, ohne den Incident zu verlassen. Wenn Sie also plötzlich eine Inspiration überkommt, machen Sie sich keine Sorgen, Ihren Flow zu unterbrechen. Die Protokolle sind für Sie da.
Weitere Informationen zu Protokollen finden Sie unten.
Sie sehen auch die Schaltfläche Incidentaktionen gegenüber den Registerkarten Übersicht und Entitäten. Hier stehen Ihnen die oben beschriebenen Aktionen zur Verfügung, die bereits oben als über die Schaltfläche Aktionen im Detailbereich auf der Incidents-Rasterseite verfügbar beschrieben wurden. Die einzige dort fehlende Aktion ist Untersuchen, die im linken Detailbereich verfügbar ist.
Hier eine Zusammenfassung der unter der Schaltfläche Incidentaktionen verfügbaren Aktionen:
Playbook ausführen: Führen Sie ein Playbook für diesen Incident aus, um bestimmte Anreicherungs-, Zusammenarbeits- oder Antwortaktionen durchzuführen, die Ihre SOC-Techniker möglicherweise zur Verfügung gestellt haben.
Automatisierungsregel erstellen: Erstellen Sie eine Automatisierungsregel, die in Zukunft nur für Incidents wie diesen ausgeführt wird (von derselben Analyseregel generiert), um Ihre zukünftige Workload zu verringern oder eine vorübergehende Änderung der Anforderungen (z. B. für einen Penetrationstest) zu berücksichtigen.
Team erstellen (Vorschau): Erstellen Sie ein Team in Microsoft Teams, um abteilungsübergreifend mit anderen Personen oder Teams an der Behandlung des Incidents zusammenzuarbeiten. Wenn für diesen Incident bereits ein Team aufgestellt wurde, wird dieses Menüelement als Teams öffnen angezeigt.
Das Gesamtbild erhalten Sie auf der Seite mit den Incidentdetails
Der linke Bereich der Seite mit den Incidentdetails enthält dieselben Incidentdetailinformationen, die Sie auf der Seite Incidents rechts neben dem Raster gesehen haben, und ist gegenüber der vorherigen Version nahezu unverändert. Dieser Bereich wird immer angezeigt, egal welche Registerkarte auf der restlichen Seite angezeigt wird. Dort können Sie die grundlegenden Informationen des Incidents sehen und auf folgende Weisen einen Drilldown ausführen:
Wählen Sie Ereignisse, Warnungen oder Lesezeichen aus, um den Bereich Protokolleinnerhalb der Incidentseite zu öffnen. Der Bereich Protokolle wird mit der Abfrage des von Ihnen ausgewählten der drei Elemente angezeigt, und Sie können die Abfrageergebnisse ausführlich durchgehen, ohne sich vom Incident entfernen zu müssen. Weitere Informationen zu Protokollen.
Wählen Sie einen der Einträge unter Entitäten aus, um ihn auf der Registerkarte Entitäten anzuzeigen. (Hier werden nur die ersten vier Entitäten im Incident angezeigt. Die restlichen können Sie anzeigen, indem Sie Alle anzeigen auswählen oder im Widget Entitäten auf der Registerkarte Übersicht oder auf der Registerkarte Entitäten.) Erfahren Sie, was Sie auf der Registerkarte Entitäten tun können.
Sie können auch Untersuchen auswählen, um den Incident im grafischen Untersuchungstool zu öffnen, das Beziehungen zwischen allen Elementen des Incidents diagrammartig darstellt.
Dieser Bereich kann auch in den linken Rand des Bildschirms reduziert werden, indem Sie den kleinen, nach links zeigenden Doppelpfeil neben der Dropdownliste Besitzer auswählen. Selbst in diesem minimierten Zustand können Sie jedoch weiterhin den Besitzer, den Status und den Schweregrad ändern.
Der Rest der Seite mit den Incidentdetails ist in zwei Registerkarten unterteilt: Übersicht und Entitäten.
Die Registerkarte Übersicht enthält die folgenden Widgets, von denen jedes ein wesentliches Ziel Ihrer Untersuchung darstellt.
Das Widget Incidentzeitachse zeigt Ihnen die Zeitachse der Warnungen und Lesezeichen im Incident, was Ihnen dabei helfen kann, den zeitlichen Ablauf der Angreiferaktivitäten zu rekonstruieren. Wählen Sie ein einzelnes Element aus, um alle seine Details anzuzeigen, was Ihnen auch noch einen weiteren Drilldown ermöglicht.
Weitere Informationen zum Widget Incidentzeitachse finden Sie unten.
Im Widget Ähnliche Incidents sehen Sie eine Sammlung von bis zu 20 anderen Incidents, die dem aktuellen Incident am ähnlichsten sind. So können Sie den Vorfall in einem größeren Zusammenhang sehen und Ihre Untersuchung besser führen.
Weitere Informationen zum Widget Ähnliche Incidents finden Sie unten.
Im Widget Entitäten werden Ihnen alle Entitäten angezeigt, die in den Warnungen identifiziert wurden. Dies sind die Objekte, die bei dem Vorfall eine Rolle gespielt haben, seien es Benutzer, Geräte, Adressen, Dateien oder andere Typen. Wählen Sie eine Entität aus, um deren vollständige Details anzuzeigen (die auf der Registerkarte Entitäten (siehe unten) angezeigt werden).
Weitere Informationen zum Widget Entitäten finden Sie unten.
Schließlich finden Sie im Widget Wichtigste Erkenntnisse eine Sammlung der Ergebnisse von Abfragen, die von Microsoft-Sicherheitsexperten definiert wurden und die wertvolle und kontextbezogene Sicherheitsinformationen zu allen Entitäten im Incident bereitstellen, basierend auf Daten aus einer Sammlung von Quellen.
Weitere Informationen zum Widget Wichtigste Erkenntnisse finden Sie unten.
Auf der Registerkarte Entitäten wird die vollständige Liste der Entitäten im Incident angezeigt (dieselben wie im Entitäten-Widget oben). Wenn Sie eine Entität im Widget auswählen, werden Sie hier angewiesen, das vollständige Dossier der Entität anzuzeigen– seine Identifikationsinformationen, eine Zeitachse seiner Aktivitäten (sowohl innerhalb als auch außerhalb des Incidents) sowie den vollständigen Satz von Erkenntnissen über die Entität, genau wie es auf der vollständigen Entitätsseite angezeigt würde (aber auf den für den Incident geeigneten Zeitraum beschränkt).
Incidentzeitachse
Das Widget Incidentzeitachse zeigt Ihnen die Zeitachse der Warnungen und Lesezeichen im Incident, was Ihnen dabei helfen kann, den zeitlichen Ablauf der Angreiferaktivitäten zu rekonstruieren.
Sie können die Liste der Warnungen und Lesezeichen durchsuchen oder die Liste nach Schweregrad, Taktik oder Inhaltstyp (Warnung oder Lesezeichen) filtern, um das gewünschte Element besser zu finden.
Die anfängliche Anzeige der Zeitachse verrät Ihnen sofort mehrere wichtige Dinge zu jedem darin enthaltenen Element, sei es Warnung oder Lesezeichen:
- Das Datum und die Uhrzeit der Erstellung der Warnung oder des Lesezeichens.
- Der Typ des Elements, also Warnung oder Lesezeichen, der beim Zeigen mit dem Mauszeiger auf das Symbol durch ein Symbol und eine QuickInfo angegeben wird.
- Der fett formatierte Name der Warnung oder des Lesezeichens in der ersten Zeile des Elements.
- Der Schweregrad der Warnung, der durch ein Farbband am linken Rand und in Wortform am Anfang des dreiteiligen „Untertitels“ der Warnung angegeben wird.
- Der Warnungsanbieter im zweiten Teil des Untertitels. Bei Lesezeichen der Ersteller des Lesezeichens.
- Die der Warnung zugeordneten MITRE ATT&CK-Taktiken, die durch Symbole und QuickInfos im dritten Teil des Untertitels angegeben werden.
Zeigen Sie mit dem Mauszeiger auf ein Symbol oder ein unvollständiges Textelement, damit eine QuickInfo mit dem vollständigen Text dieses Symbols oder Textelements angezeigt wird. Diese QuickInfos sind nützlich, wenn der angezeigte Text aufgrund der begrenzten Breite des Widgets abgeschnitten wird. Sehen Sie sich das Beispiel in diesem Screenshot an:
Wählen Sie eine einzelne Warnung oder ein Lesezeichen aus, um die vollständigen Details anzuzeigen.
Zu den Warnungsdetails gehören der Schweregrad und der Status der Warnung, die Analyseregeln, von denen sie generiert wurde, das Produkt, das die Warnung generiert hat, die in der Warnung genannten Entitäten, die zugehörigen MITRE ATT&CK-Taktiken und -Techniken sowie die interne Systemwarnungs-ID.
Wählen Sie den Link Systemwarnungs-ID aus, um noch einen weitergehenden Drilldown in die Warnung durchzuführen und so den Bereich Protokolle zu öffnen und die Abfrage anzuzeigen, die die Ergebnisse generiert hat, sowie die Ereignisse, die die Warnung ausgelöst haben.
Lesezeichendetails sind nicht genau identisch mit Warnungsdetails. Sie enthalten zwar auch Entitäten, MITRE ATT&CK-Taktiken und -Techniken sowie die Lesezeichen-ID, aber sie enthalten auch das Rohergebnis und die Informationen zum Ersteller des Lesezeichens.
Wählen Sie den Link Lesezeichenprotokolle anzeigen aus, um den Bereich Protokolle zu öffnen und die Abfrage anzuzeigen, die die Ergebnisse generiert hat, die als Lesezeichen gespeichert wurden.
Aus dem Incidentzeitachsen-Widget heraus können Sie auch die folgenden Maßnahmen für Warnungen und Lesezeichen ergreifen:
Führen Sie ein Playbook für die Warnung aus, um sofortige Maßnahmen zur Eindämmung einer Bedrohung zu ergreifen. Manchmal müssen Sie eine Bedrohung blockieren oder isolieren, bevor Sie die Untersuchung fortsetzen. Erfahren Sie mehr über das Ausführen von Playbooks für Warnungen.
Entfernen Sie eine Warnung aus einem Incident. Sie können Warnungen entfernen, die nach ihrer Erstellung zu Incidents hinzugefügt wurden, wenn Sie sie als nicht relevant bewerten. Erfahren Sie mehr über das Entfernen von Warnungen aus Incidents.
Entfernen Sie ein Lesezeichen aus einem Incident, oder bearbeiten Sie die Felder im Lesezeichen, die bearbeitet werden können (nicht angezeigt).
Ähnliche Vorfälle
Als Analyst sicherheitsrelevanter Vorgänge sollten Sie bei der Untersuchung eines Vorfalls auch den größeren Zusammenhang beachten. Sie können z. B. herausfinden, ob es solche Vorfälle schon einmal gegeben hat oder ob sie gerade passieren.
Sie können auch gleichzeitig auftretende Vorfälle bestimmen, die ggf. Teil der gleichen größeren Angriffsstrategie sind.
Sie können ähnliche Vorfälle in der Vergangenheit bestimmen, um sie als Referenzpunkte für Ihre aktuelle Untersuchung zu nutzen.
Sie können die Besitzer früherer ähnlicher Vorfälle ermitteln, um die Personen in Ihrem SOC zu finden, die mehr Kontext liefern können, oder an die Sie die Untersuchung eskalieren können.
Das Widget Ähnliche Incidents auf der Seite mit den Incidentdetails zeigt bis zu 20 andere Incidents an, die dem aktuellen Incident am ähnlichsten sind. Die Ähnlichkeit wird mittels interner Microsoft Sentinel-Algorithmen berechnet, und die Vorfälle werden in absteigender Reihenfolge der Ähnlichkeit sortiert und angezeigt.
Wie beim Incidentzeitachsen-Widget können Sie mit dem Mauszeiger auf einen Text zeigen, der aufgrund der Spaltenbreite unvollständig angezeigt wird, um den vollständigen Text anzuzeigen.
Es gibt drei Kriterien, anhand derer die Ähnlichkeit bestimmt wird:
Ähnliche Entitäten: Ein Vorfall gilt als ähnlich einem anderen Vorfall, wenn beide die gleichen Entitäten enthalten. Je mehr Entitäten zwei Vorfälle gemeinsam haben, desto ähnlicher werden sie betrachtet.
Ähnliche Regel: Ein Vorfall wird einem anderen Vorfall ähnlich betrachtet, wenn beide aufgrund derselben Analyseregel erzeugt wurden.
Ähnliche Warnungsdetails: Ein Vorfall wird als einem anderen Vorfall ähnlich angesehen, wenn beide denselben Titel, Produktnamen und/oder dieselben benutzerdefinierte Details haben.
Die Gründe, warum ein Vorfall in der Liste ähnlicher Vorfälle erscheint, werden in der Spalte Ähnlichkeitsgrund angezeigt. Bewegen Sie den Mauszeiger über das Infosymbol, um die gemeinsamen Elemente (Entitäten, Regelname oder Details) anzuzeigen.
Die Vorfallähnlichkeit wird auf Grundlage der Daten der letzten 14 Tage vor der letzten Aktivität im Vorfall berechnet, d. h. dem Endzeitpunkt der letzten Warnung im Vorfall.
Die Vorfallähnlichkeit wird jedes Mal neu berechnet, wenn Sie die Seite mit den Vorfalldetails aufrufen. Daher können die Ergebnisse zwischen den einzelnen Sitzungen variieren, falls neue Vorfälle erstellt oder vorhandene aktualisiert wurden.
Erhalten der wichtigsten Erkenntnisse über Ihren Incident
Die Sicherheitsexperten von Microsoft Sentinel haben Abfragen erstellt, die automatisch die wesentlichen Fragen zu den Entitäten in Ihrem Incident stellen. Die wichtigsten Antworten finden Sie im Widget Wichtigste Erkenntnisse, das rechts auf der Seite mit den Incidentdetails angezeigt wird. Dieses Widget zeigt eine Sammlung von Erkenntnissen, die sowohl auf einer Machine Learning-Analyse als auch auf einer Zusammenstellung der besten Teams von Sicherheitsexperten basieren.
Dies sind einige der gleichen Erkenntnisse, die auf den Entitätsseiten angezeigt werden, die speziell ausgewählt werden, um Ihnen bei der schnellen Selektierung sowie dem Verstehen des Umfangs der Bedrohung zu helfen. Aus dem gleichen Grund werden Erkenntnisse für alle Entitäten im Incident zusammen präsentiert, um Ihnen ein vollständigeres Bild der Vorgänge zu geben.
Im Folgenden sehen Sie die derzeit ausgewählten wichtigsten Erkenntnisse (die Liste kann sich ändern):
- Aktionen nach Konto.
- Aktionen am Konto.
- UEBA-Erkenntnisse.
- Auf den Benutzer bezogene Bedrohungsindikatoren.
- Watchlist-Erkenntnisse (Vorschau).
- Anomal hohe Anzahl eines Sicherheitsereignisses.
- Windows-Anmeldeaktivität.
- IP-Adressen-Remoteverbindungen.
- IP-Adressen-Remoteverbindungen mit TI-Übereinstimmung.
Jede dieser Erkenntnisse (vorerst mit Ausnahme der auf Watchlists bezogenen) verfügt über einen Link, den Sie auswählen können, um die zugrunde liegende Abfrage im Bereich Protokolle zu öffnen, der auf der Incidentseite angezeigt wird. Anschließend können Sie einen Drilldown zu den Ergebnissen der Abfrage durchführen.
Der Zeitrahmen für das Widget Wichtigste Erkenntnisse liegt zwischen 24 Stunden vor der frühesten Warnung im Incident und dem Zeitpunkt der letzten Warnung.
Erkunden der Entitäten des Incidents
Im Widget Entitäten werden Ihnen alle Entitäten angezeigt, die in den Warnungen im Incident identifiziert wurden. Dies sind die Objekte, die bei dem Vorfall eine Rolle gespielt haben, seien es Benutzer, Geräte, Adressen, Dateien oder andere Typen.
Sie können die Liste der Entitäten im Entitäten-Widget durchsuchen oder die Liste nach Entitätstyp filtern, um eine Entität zu finden.
Wenn Sie bereits wissen, dass eine bestimmte Entität ein bekannter Indikator für eine Kompromittierung ist, wählen Sie die drei Punkte in der Zeile der Entität aus, und wählen Sie Zu TI hinzufügen aus, um die Entität Ihrer Threat Intelligence hinzuzufügen. (Diese Option ist für unterstützte Entitätstypen verfügbar.)
Wenn Sie eine automatische Antwortsequenz für eine bestimmte Entität auslösen möchten, wählen Sie die drei Punkte aus, und wählen Sie Playbook ausführen (Vorschau) aus. (Diese Option ist für unterstützte Entitätstypen verfügbar.)
Wählen Sie eine Entität aus, um deren vollständige Details anzuzeigen. Wenn Sie eine Entität auswählen, wechseln Sie von der Registerkarte Übersicht zur Registerkarte Entitäten, einem weiteren Teil der Seite mit den Incidentdetails.
Registerkarte „Entitäten“
Auf der Registerkarte Entitäten wird eine Liste aller im Incident enthaltenen Entitäten angezeigt.
Wie das Entitäten-Widget kann auch diese Liste durchsucht und nach Entitätstyp gefiltert werden. Suchvorgänge und angewendete Filter in der einen Liste gelten nicht für die andere.
Wählen Sie in der Liste eine Zeile aus, damit die Informationen zu dieser Entität rechts in einem Seitenbereich angezeigt werden.
Wenn der Entitätsname als Link angezeigt wird, werden Sie durch Auswählen des Namens der Entität zur vollständigen Entitätsseite außerhalb der Seite „Incidentuntersuchung“ weitergeleitet. Um nur den Seitenbereich anzuzeigen, ohne den Incident zu verlassen, wählen Sie die Zeile in der Liste aus, in der die Entität angezeigt wird, wählen aber nicht deren Namen aus.
Sie können hier die gleichen Aktionen ausführen, die Sie über das Widget auf der Übersichtsseite ausführen können. Wählen Sie die drei Punkte in der Zeile der Entität aus, um entweder ein Playbook auszuführen oder die Entität zu Ihrer Threat Intelligence hinzuzufügen.
Sie können diese Aktionen auch ausführen, indem Sie am unteren Rand des Seitenbereichs die Schaltfläche neben Vollständige Details anzeigen auswählen. Auf der Schaltfläche steht entweder Zu TI hinzufügen oder Playbook ausführen (Vorschau) oder Entitätsaktionen, wobei in diesem Fall ein Menü mit den anderen beiden Optionen angezeigt wird.
Über die Schaltfläche Vollständige Details anzeigen selbst werden Sie zur vollständigen Entitätsseite der Entität weitergeleitet.
Im Seitenbereich finden sich drei Karten:
Info: Enthält Identifikationsinformationen zur Entität. Für eine Benutzerkontoentität könnte dies beispielsweise der Benutzername, der Domänenname, die Sicherheits-ID (SID), Organisationsinformationen, Sicherheitsinformationen und mehr sein, und für eine IP-Adresse würde dies beispielsweise den geografischen Standort (Geolocation) umfassen.
Die Zeitachse enthält eine Liste der Warnungen, Lesezeichen und Anomalien, die diese Entität aufweisen, sowie Aktivitäten, die die Entität ausgeführt hat, wie sie aus Protokollen erfasst wurden, in denen die Entität vorkommt. Alle Warnungen mit dieser Entität sind in dieser Liste enthalten, unabhängig davon, ob die Warnungen zu diesem Incident gehören oder nicht.
Warnungen, die nicht Teil des Incidents sind, werden anders angezeigt: Das Schildsymbol wird abgeblendet, das Schweregradfarbband ist eine gepunktete Linie anstelle einer durchgezogenen Linie, und auf der rechten Seite der Zeile mit der Warnung befindet sich eine Schaltfläche mit einem Pluszeichen.
Wählen Sie das Pluszeichen aus, um die Warnung zu diesem Vorfall hinzuzufügen. Wenn die Warnung dem Incident hinzugefügt wird, werden alle anderen Entitäten der Warnung (die nicht bereits Teil des Incidents waren) diesem ebenfalls hinzugefügt. Jetzt können Sie Ihre Untersuchung noch mehr erweitern, indem Sie sich die Zeitachsen dieser Entitäten für verwandte Warnungen ansehen.
Diese Zeitachse ist auf Warnungen und Aktivitäten aus den vergangenen sieben Tagen beschränkt. Um zeitlich weiter zurückzugehen, wechseln Sie auf der vollständigen Entitätsseite zur Zeitachse, deren Zeitrahmen angepasst werden kann.
Erkenntnisse: Enthält Ergebnisse von Abfragen, die von Microsoft-Sicherheitsexperten definiert wurden und die wertvolle und kontextbezogene Sicherheitsinformationen zu Entitäten bereitstellen, basierend auf Daten aus einer Sammlung von Quellen. Zu diesen Erkenntnissen gehören die Erkenntnisse aus dem Widget Wichtigste Erkenntnisse und viele mehr. Sie sind mit denen identisch, die auf der vollständigen Entitätsseite angezeigt werden, erstrecken sich jedoch über einen begrenzten Zeitraum: beginnend 24 Stunden vor der frühesten Warnung im Incident und endend mit dem Zeitpunkt der letzten Warnung.
Die meisten Erkenntnisse enthalten Links, die bei Auswahl den Bereich Protokolle öffnen, in dem die Abfrage angezeigt wird, die die Erkenntnis generiert hat, zusammen mit den Ergebnissen.
Konzentrieren auf die Untersuchung
Erfahren Sie, wie Sie den Umfang Ihrer Untersuchung erweitern oder eingrenzen können, indem Sie entweder Vorfällen Warnungen hinzufügen oder Warnungen aus Vorfällen entfernen.
Eingehendere Analyse Ihrer Daten in Protokollen
Sie können praktisch an jeder Stelle in der Untersuchungserfahrung einen Link auswählen, über den eine zugrunde liegende Abfrage im Bereich Protokolle im Kontext der Untersuchung geöffnet wird. Wenn Sie über einen dieser Links zum Bereich „Protokolle“ gelangt sind, wird die entsprechende Abfrage im Abfragefenster angezeigt, und die Abfrage wird automatisch ausgeführt und generiert die entsprechenden Ergebnisse, die Sie untersuchen können.
Sie können auch jederzeit einen leeren Protokollbereich auf der Seite mit den Incidentdetails aufrufen, wenn Ihnen während der Untersuchung eine Abfrage einfällt, die Sie ausprobieren möchten, während sie im Kontext bleiben. Wählen Sie hierzu oben am oberen Rand der Seite Protokolle aus.
Wenn Sie jedoch eine Abfrage ausgeführt haben, deren Ergebnisse Sie speichern möchten, landen Sie im Protokollbereich:
Aktivieren Sie das Kontrollkästchen neben der Zeile, die Sie aus den Ergebnissen speichern möchten. Um alle Ergebnisse zu speichern, aktivieren Sie das Kontrollkästchen am Anfang der Spalte.
Speichern Sie die markierten Ergebnisse als ein Lesezeichen. Hierzu haben Sie zwei Möglichkeiten:
Wählen Sie Lesezeichen zum aktuellen Incident hinzufügen aus, um ein Lesezeichen zu erstellen und es dem geöffneten Incident hinzuzufügen. Folgen Sie den Anweisungen für Lesezeichen, um den Prozess abzuschließen. Nach Abschluss des Vorgangs wird das Lesezeichen in der Incidentzeitachse angezeigt.
Wählen Sie Lesezeichen hinzufügen aus, um ein Lesezeichen zu erstellen, ohne es einem Incident hinzuzufügen. Folgen Sie den Anweisungen für Lesezeichen, um den Prozess abzuschließen. Sie finden dieses Lesezeichen zusammen mit allen anderen, die Sie erstellt haben, auf der Seite Hunting (Suche) auf der Registerkarte Lesezeichen. Von dort aus können Sie es diesem oder jedem anderen Incident hinzufügen.
Nachdem Sie das Lesezeichen erstellt haben (oder wenn Sie sich dagegen entscheiden), wählen Sie Fertig aus, um den Bereich Protokolle zu schließen.
Überwachen und Kommentieren von Vorfällen
Bei der Untersuchung eines Incidents sollten Sie die Schritte, die Sie ausführen, gründlich dokumentieren, um eine genaue Berichterstattung an das Management sicherzustellen und eine nahtlose Zusammenarbeit und Zusammenarbeit zwischen Kollegen zu ermöglichen. Außerdem sollten Sie die Aufzeichnungen aller Aktionen, die von anderen Benutzern für den Incident durchgeführt wurden, klar sehen können, einschließlich der von automatisierten Prozessen durchgeführten Aktionen. Microsoft Sentinel bietet Ihnen das Aktivitätsprotokoll, eine funktionsreiche und umfassende Überprüfungs- und Kommentarumgebung, die Ihnen dabei hilft.
Sie können Ihre Incidents auch automatisch mit Kommentaren anreichern. Wenn Sie beispielsweise ein Playbook für einen Incident ausführen, das relevante Informationen aus externen Quellen abruft (z. B. das Überprüfen einer Datei auf Schadsoftware bei VirusTotal), können Sie das Playbook veranlassen, die Antwort der externen Quelle – zusammen mit allen anderen von Ihnen festgelegten Informationen – in den Kommentaren des Incidents abzulegen.
Das Aktivitätsprotokoll wird automatisch aktualisiert, selbst während es geöffnet ist, sodass Sie Änderungen immer in Echtzeit sehen können. Außerdem werden Sie über alle Änderungen benachrichtigt, die am Aktivitätsprotokoll vorgenommen werden, während Sie es geöffnet haben.
So zeigen Sie das Protokoll der Aktivitäten und Kommentare an oder fügen Ihre eigenen Kommentare hinzu
- Wählen Sie oben auf der Seite mit den Incidentdetails Aktivitätsprotokoll aus.
- Um das Protokoll so zu filtern, dass entweder nur Aktivitäten oder nur Kommentare angezeigt werden, wählen Sie oben im Protokoll das Filtersteuerelement aus.
- Wenn Sie einen Kommentar hinzufügen möchten, geben Sie ihn im Rich-Text-Editor am unteren Rand des Bereichs Incidentaktivitätsprotokoll ein.
- Wählen Sie Kommentar aus, um den Kommentar zu übermitteln. Ihr Kommentar wird nun ganz oben im Protokoll angezeigt.
Überlegungen zu Kommentaren
Im Folgenden finden Sie mehrere Aspekte, die bei der Verwendung von Incidentkommentaren berücksichtigt werden müssen.
Unterstützte Eingabe:
Text: Kommentare in Microsoft Sentinel unterstützen Texteingaben in den Formaten „Nur-Text“, einfaches HTML und Markdown. Sie können auch kopierten Text, HTML und Markdown in das Kommentarfenster einfügen.
Links: Links müssen in Form von HTML-Ankertags vorliegen, und sie müssen den Parameter
target="_blank"
aufweisen. Beispiel:<a href="https://www.url.com" target="_blank">link text</a>
Hinweis
Wenn Sie Playbooks besitzen, die Kommentare in Incidents erstellen, müssen Links in diesen Kommentaren jetzt ebenfalls diese Vorlage einhalten, da sich das Format der Kommentare geändert hat.
Bilder: Sie können Links zu Bildern in Kommentare einfügen, und die Bilder werden inline angezeigt. Die Bilder müssen aber bereits an einem öffentlich zugänglichen Ort wie Dropbox, OneDrive, Google Drive usw. gehostet werden. Bilder können nicht direkt in Kommentare hochgeladen werden.
Größenlimit:
Pro Kommentar: Ein einzelner Kommentar kann bis zu 30.000 Zeichen enthalten.
Pro Incident: Ein einzelner Incident kann bis zu 100 Kommentare enthalten.
Hinweis
Die Größenbeschränkung für einen einzelnen Incidentdatensatz in der TabelleSecurityIncident in Log Analytics beträgt 64 KB. Wenn dieser Grenzwert überschritten wird, werden Kommentare (beginnend mit dem ältesten) abgeschnitten, was sich auf die Kommentare auswirken kann, die in erweiterten Suchergebnissen angezeigt werden.
Die tatsächlichen Incidentdatensätze in der Incidentdatenbank sind davon nicht betroffen.
Wer kann bearbeiten oder löschen:
Bearbeiten: Nur der Autor eines Kommentars ist berechtigt, ihn zu bearbeiten.
Löschen: Nur Benutzer mit der Rolle Microsoft Sentinel-Mitwirkender verfügen über die Berechtigung zum Löschen von Kommentaren. Selbst der Autor des Kommentars muss über diese Rolle verfügen, um ihn löschen zu können.
Visuelles Untersuchen von Vorfällen mithilfe des Untersuchungsdiagramms
Wenn Sie eine visuelle, grafische Darstellung von Warnungen, Entitäten und deren Verbindungen untereinander in Ihrer Untersuchung bevorzugen, können Sie viele der oben beschriebenen Dinge auch mit dem klassischen Untersuchungsdiagramm erreichen. Der Nachteil des Diagramms ist, dass Sie am Ende wesentlich häufiger den Kontext wechseln müssen.
Das Untersuchungsdiagramm bietet Ihnen Folgendes:
Visueller Kontext aus Rohdaten: Im visuellen Livediagramm werden Entitätsbeziehungen veranschaulicht, die automatisch aus den Rohdaten extrahiert werden. Dadurch können Sie auf einfache Weise Verbindungen zwischen verschiedenen Datenquellen erkennen.
Ermittlung des vollständigen Untersuchungsumfangs: Erweitern Sie den Untersuchungsumfang mithilfe integrierter Auswertungsabfragen, um das vollständige Ausmaß einer Sicherheitsverletzung aufzudecken.
Integrierte Untersuchungsschritte: Stellen Sie mit vordefinierten Untersuchungsoptionen sicher, dass Sie angesichts einer Bedrohung die richtigen Fragen stellen.
So verwenden Sie das Untersuchungsdiagramm:
Wählen Sie einen Vorfall und anschließend Untersuchen aus. Dadurch wird das Untersuchungsdiagramm aufgerufen. Im Diagramm erhalten Sie eine anschauliche Zuordnung der Entitäten, die direkt mit dem Vorfall verbunden sind, sowie aller darüber hinaus damit verbundenen Ressourcen.
Wichtig
Sie können den Incident nur untersuchen, wenn die Analyseregel oder das Lesezeichen, von dem er generiert wurde, Entitätszuordnungen enthält. Das Untersuchungsdiagramm fordert, dass Ihr ursprünglicher Vorfall Entitäten enthält.
Das Untersuchungsdiagramm unterstützt derzeit die Untersuchung von bis zu 30 Tage alten Incidents.
Wählen Sie eine Entität aus, um den Bereich Entitäten zu öffnen, in dem Sie Informationen zur betreffenden Entität untersuchen können.
Erweitern Sie die Untersuchung, indem Sie den Mauszeiger über die einzelnen Entitäten bewegen. Dadurch wird eine Liste von Fragen eingeblendet, die von unseren Sicherheitsexperten und -analysten für den jeweiligen Entitätstyp entwickelt wurden, sodass Sie Ihre Untersuchung vertiefen können. Wir bezeichnen diese Optionen als Erkundungsabfragen.
Sie können beispielsweise zugehörige Warnungen anfordern. Wenn Sie eine Erkundungsabfrage auswählen, werden die erhaltenen Entitäten dem Diagramm wieder hinzugefügt. In diesem Beispiel wurden durch Auswahl von Related alerts (Zugehörige Warnungen) die folgenden Warnungen in das Diagramm zurückgegeben:
Wie Sie sehen, werden die zugehörigen Warnungen mittels gestrichelter Linien als mit der Entität verbunden gezeigt.
Für jede Erkundungsabfrage können Sie die Ergebnisse zu ursächlichen Ereignissen und die in Log Analytics verwendete Abfrage öffnen, indem Sie Ereignisse> auswählen.
Das Diagramm enthält eine parallele Zeitachse, um ein Verständnis des Vorfalls zu vermitteln.
Bewegen Sie den Mauszeiger über die Zeitachse, um festzustellen, welche Ereignisse im Diagramm zu welchem Zeitpunkt aufgetreten sind.
Schließen eines Incidents
Nachdem Sie einen bestimmten Incident gelöst haben (beispielsweise dann, wenn die Untersuchung abgeschlossen wurde), sollten Sie den Status des Incidents auf Geschlossen festlegen. Dabei werden Sie gefragt, ob Sie den Incident klassifizieren möchten, indem Sie den Grund für die Schließung angeben. Dieser Schritt ist obligatorisch. Klicken Sie auf Klassifizierung auswählen, und wählen Sie aus der Dropdownliste eine der folgenden Optionen aus:
- Richtig positiv – verdächtige Aktivität
- Unschädlich positiv – verdächtig, aber erwartet
- Falsch positiv – falsche Warnungslogik
- Falsch positiv – falsche Daten
- Unbestimmt
Weitere Informationen zu falsch positiven und unbedenklichen positiven Ergebnissen finden Sie unter Behandeln falsch positiver Ergebnisse in Microsoft Sentinel
Nachdem Sie eine geeignete Klassifizierung ausgewählt haben, fügen Sie in das Feld Kommentar einen beschreibenden Text hinzu. Dies ist nützlich, falls Sie sich noch einmal auf diesen Incident beziehen müssen. Wenn Sie fertig sind, klicken Sie auf Anwenden. Der Incident wird geschlossen.
Suchen nach Incidents
Um einen bestimmten Incident schnell zu finden, geben Sie eine Suchzeichenfolge in das Suchfeld oberhalb des Rasters „Incidents“ ein, und drücken Sie die EINGABETASTE, um die Liste der angezeigten Incidents entsprechend zu ändern. Wenn Ihr Incident nicht in den Ergebnissen enthalten ist, können Sie Ihre Suche mithilfe der erweiterten Suchoptionen einschränken.
Zum Ändern der Suchparameter wählen Sie die Schaltfläche Suchen und dann die Parameter aus, für die Sie die Suche ausgeführen möchten.
Beispiel:
Standardmäßig werden Incidentsuchvorgänge nur für die Werte Incident-ID, Titel, Tags, Besitzer und Produktname ausgeführt. Scrollen Sie im Suchbereich in der Liste nach unten, um einen oder mehrere weitere Parameter für die Suche auszuwählen, und wählen Sie Anwenden aus, um die Suchparameter zu aktualisieren. Wählen Sie Auf Standard festlegen, um die ausgewählten Parameter auf die Standardoption zurückzusetzen.
Hinweis
Bei der Suche im Feld Besitzer werden sowohl Namen als auch E-Mail-Adressen unterstützt.
Die Verwendung erweiterter Suchoptionen ändert das Suchverhalten wie folgt:
Suchverhalten | BESCHREIBUNG |
---|---|
Farbe der Suchschaltfläche | Die Farbe der Suchschaltfläche ändert sich abhängig von den Parametertypen, die jeweils in der Suche verwendet werden.
|
Automatische Aktualisierung | Die Verwendung von erweiterten Suchparametern verhindert, dass Sie die automatische Aktualisierung Ihrer Ergebnisse auswählen können. |
Entitätsparameter | Alle Entitätsparameter werden für erweiterte Suchvorgänge unterstützt. Bei der Suche in einem Entitätsparameter wird die Suche in allen Entitätsparametern ausgeführt. |
Suchzeichenfolgen | Die Suche nach einer Zeichenfolge enthält alle Wörter in der Suchabfrage. Bei Suchzeichenfolgen muss die Groß-/Kleinschreibung beachtet werden. |
Arbeitsbereichsübergreifende Unterstützung | Erweiterte Suchvorgänge werden für arbeitsbereichsübergreifende Ansichten nicht unterstützt. |
Anzahl der angezeigten Suchergebnisse | Wenn Sie erweiterte Suchparameter verwenden, werden jeweils nur 50 Ergebnisse angezeigt. |
Tipp
Wenn Sie den gesuchten Incident nicht finden können, entfernen Sie Suchparameter, um Ihre Suche zu erweitern. Wenn Ihre Suchergebnisse zu viele Elemente enthalten, fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie mit der Untersuchung von Vorfällen mit Microsoft Sentinel beginnen. Weitere Informationen finden Sie unter