Nachweise von Incidents und Entitäten

Abgeschlossen

Microsoft Sentinel verwendet verschiedene Quellen von Sicherheitsinformationen, um Incidents zu erstellen. Sie müssen diese Quellen verstehen, um das Incident Management in Microsoft Sentinel bestmöglich nutzen zu können.

Incidentbeweise

Ein Nachweis eines Incidents besteht aus den Sicherheitsereignisinformationen und zugehörigen Microsoft Sentinel-Ressourcen, die Bedrohungen in der Microsoft Sentinel-Umgebung identifizieren. Nachweise zeigen, wie Microsoft Sentinel eine Bedrohung identifiziert hat, und sind mit bestimmten Ressourcen verknüpft, die Ihr Bewusstsein für Incidentdetails erhöhen können.

Ereignisse

Ereignisse leiten Sie zurück zu mindestens einem spezifischen Ereignis in dem mit Microsoft Sentinel verknüpften Log Analytics-Arbeitsbereich. Diese Arbeitsbereiche selbst enthalten in der Regel Tausende von Ereignissen, die zu zahlreich für eine manuelle Analyse sind.

Wenn Ereignisse von einer an eine Analyseregel in Microsoft Sentinel angefügten Abfrage zurückgegeben werden, werden die Ereignisse zur weiteren Überprüfung an den generierten Incident angefügt. Sie können diese Ereignisse verwenden, um den Umfang und die Häufigkeit des Incidents zu ermitteln, bevor Sie weitere Untersuchungen durchführen.

Alerts

Die meisten Incidents werden auf Grundlage einer Analyseregelwarnung erzeugt. Unten finden Sie Beispiele für Warnungen:

• Erkennung verdächtiger Dateien.
• Erkennung verdächtiger Benutzeraktivitäten.
• Versuchte Rechteerweiterung.

Analyseregeln generieren Warnungen entweder auf der Grundlage von KQL-Abfragen (Kusto Query Language) oder einer direkten Verbindung zu Sicherheitslösungen von Microsoft, wie Microsoft Defender for Cloud oder Microsoft Defender XDR. Wenn Sie die Warnungsgruppierung aktivieren, schließt Microsoft Sentinel alle relevanten Warnungsbeweise für den Incident ein.

Lesezeichen

Bei der Untersuchung eines Incidents entdecken Sie möglicherweise Ereignisse, die Sie nachverfolgen oder für eine spätere Untersuchung markieren sollten. Sie können die in Log Analytics durchgeführten Abfragen speichern, indem Sie ein oder mehrere Ereignisse auswählen und sie als Lesezeichen festlegen. Sie können auch Hinweise und Tags speichern, um umfangreichere Informationen für zukünftige Bedrohungssuchprozesse bereitzustellen. Lesezeichen stehen für Sie und für Ihre Teamkollegen zur Verfügung.

Incidententitäten

Eine Incident-Entität bezieht sich auf eine Netzwerk- oder Benutzerressource im Zusammenhang mit einem Ereignis. Sie können Entitäten als Einstiegspunkte verwenden, um alle Warnungen und Korrelationen im Zusammenhang mit einer jeweiligen Entität zu untersuchen.

Entitätsbeziehungen sind bei der Untersuchung von Incidents nützlich. Anstatt die Identitäts-, Netzwerk- und Datenzugriffswarnungen einzeln zu analysieren, können Sie Entitäten verwenden, um Warnungen zu beobachten, die einem bestimmten Benutzer, Host oder einer bestimmten Adresse in Ihrer Umgebung zugeordnet sind.

Zu den Entitätstypen gehören u. a. folgende:

• Konto
• Host
• IP
• URL
• Dateihash

Mithilfe von Entitäten können Sie beispielsweise alle Warnungen identifizieren, die einem bestimmten Contoso-Benutzer, dem Hostcomputer des Benutzers und anderen Hosts zugeordnet sind, mit denen der Benutzer eine Verbindung hergestellt hat. Sie können ermitteln, welche IP-Adressen dem betreffenden Benutzer zugeordnet sind, um herauszufinden, welche Ereignisse und Warnungen möglicherweise Teil desselben Angriffs sind.

Überprüfen Sie Ihr Wissen

1.

Welche der folgenden Optionen stellt in einem Microsoft Sentinel-Incident einen Nachweis dar?

IP-Adresse.

Benutzername.

Ereignis

Hostname

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.