Grundlegendes zu Incidents

Abgeschlossen

Technologiebezogene Bedrohungen für eine Organisation werden als Incidents (Vorfälle) bezeichnet. Beim Incident Management handelt es sich um den vollständigen Prozess der Untersuchung von Incidents, beginnend bei ihrer Erstellung bis hin zur detaillierten Analyse und abschließenden Auflösung. Microsoft Sentinel kann Ihr IT-Team beim Verwalten, Untersuchen und Nachverfolgen dieser Incidents von der Erstellung bis zur Behebung unterstützen.

Sie können Azure Sentinel verwenden, um detaillierte Informationen zu Incidents zu überprüfen, einen Incidentbesitzer zuzuweisen, den Schweregrad von Incidents festzulegen und zu verwalten und den Status von Incidents zu verwalten. Microsoft Sentinel bietet eine umfassende Umgebung für das Incidentmanagement, in der Sie diese Schritte ausführen können.

Wichtige Begriffe

Es ist wichtig, die folgenden wichtigen Konzepte der Microsoft Sentinel-Incidentverwaltung zu verstehen:

  • Datenconnectors. Sie können Microsoft Sentinel-Datenconnectors verwenden, um Daten aus sicherheitsbezogenen Diensten zu erfassen und zu sammeln. Datenconnectors können Ereignisse auf Linux- oder Windows-Computern erfassen, auf denen der Log Analytics-Agent ausgeführt wird, auf einem Linux-Syslog-Server für Geräte wie Firewalls oder Proxys oder direkt aus Microsoft Azure-Diensten. Diese Ereignisse werden an einen Log Analytics-Arbeitsbereich weitergeleitet, der mit Microsoft Sentinel verknüpft ist.
  • Ereignisse: Microsoft Sentinel speichert Ereignisse in einem Log Analytics-Arbeitsbereich. Diese Ereignisse enthalten die Details zu sicherheitsbezogenen Aktivitäten, die Sie in Microsoft Sentinel überwachen möchten.
  • Analyseregeln. Mit Analyseregeln können wichtige sicherheitsrelevante Ereignisse erkannt und Warnungen generiert werden. Sie können Analyseregeln mithilfe der integrierten Vorlagen oder mithilfe benutzerdefinierter KQL-Abfragen (Kusto Query Language) für Log Analytics-Arbeitsbereiche in Microsoft Sentinel erstellen.
  • Warnungen: Analyseregeln können Warnungen generieren, wenn wichtige sicherheitsrelevante Ereignisse ermittelt werden. Sie können Warnungen so konfigurieren, dass Incidents generiert werden.
  • Incidents. Microsoft Sentinel erstellt Incidents auf Grundlage von Analyseregelwarnungen. Incidents können mehrere zusammenhängende Warnungen enthalten. Sie verwenden die einzelnen Incidents als Startpunkt und Nachverfolgungsmechanismus für die Analyse von Sicherheitsproblemen in Ihrer Umgebung.

Übersichtsseite von Microsoft Sentinel

Das Incident Management in Microsoft Sentinel beginnt auf der Seite Übersicht, auf der Sie die aktuelle Microsoft Sentinel-Umgebung überprüfen können. Auf der Seite Übersicht werden eine Liste der neuesten Incidents sowie andere wichtige Microsoft Sentinel-Informationen angezeigt. Sie können diese Seite verwenden, um sich einen Überblick über die allgemeine Sicherheitssituation zu verschaffen, bevor Sie Incidents untersuchen.

A screen capture of the Microsoft Sentinel Overview page.

Überprüfen Sie Ihr Wissen

1.

Welche Microsoft Sentinel-Komponente generiert Warnungen?

2.

Worin besteht das Hauptziel des Incidentmanagements in Microsoft Sentinel?