Analizzare in modo approfondito gli eventi imprevisti di Microsoft Sentinel nel portale di Azure
Gli eventi imprevisti di Microsoft Sentinel sono file che contengono un'aggregazione di tutte le prove pertinenti per indagini specifiche. Ogni evento imprevisto viene creato (o aggiunto a) in base a elementi di prova (avvisi) generati da regole di analisi o importati da prodotti di sicurezza di terze parti che generano avvisi personalizzati. Gli eventi imprevisti ereditano le entità contenute negli avvisi, nonché le proprietà degli avvisi, ad esempio gravità, stato e tattiche e tecniche MITRE ATT&CK.
Microsoft Sentinel offre una piattaforma completa e completa di gestione dei casi nel portale di Azure per l'analisi degli eventi imprevisti di sicurezza. La pagina Dettagli evento imprevisto è la posizione centrale da cui eseguire l'indagine, raccogliendo tutte le informazioni pertinenti e tutti gli strumenti e le attività applicabili in un'unica schermata.
Questo articolo descrive come analizzare in modo approfondito un evento imprevisto, consentendo di esplorare e analizzare gli eventi imprevisti in modo più rapido, efficace ed efficiente e riducendo il tempo medio di risoluzione (MTTR).
Prerequisiti
L'assegnazione di ruolo risponditore di Microsoft Sentinel è necessaria per analizzare gli eventi imprevisti.
Altre informazioni sui ruoli in Microsoft Sentinel.
Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore directory nel tenant di Microsoft Entra. Gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.
Se si sta visualizzando l'esperienza legacy della pagina dei dettagli dell'evento imprevisto, attivare o disattivare la nuova esperienza in alto a destra nella pagina per continuare con le procedure descritte in questo articolo per la nuova esperienza.
Preparare il terreno correttamente
Durante la configurazione per analizzare un evento imprevisto, assemblare gli elementi necessari per indirizzare il flusso di lavoro. Gli strumenti seguenti sono disponibili in una barra dei pulsanti nella parte superiore della pagina dell'evento imprevisto, sotto il titolo.
Selezionare Attività per visualizzare le attività assegnate per questo evento imprevisto o per aggiungere attività personalizzate. Le attività possono migliorare la standardizzazione dei processi nel soC. Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.
Selezionare Log attività per verificare se sono già state eseguite azioni su questo evento imprevisto, ad esempio tramite regole di automazione, e eventuali commenti che sono stati effettuati. È possibile aggiungere i propri commenti anche qui. Per altre informazioni, vedere Controllare gli eventi imprevisti e aggiungere commenti.
Selezionare Log in qualsiasi momento per aprire una finestra di query completa e vuota di Log Analytics all'interno della pagina dell'evento imprevisto. Comporre ed eseguire una query, correlata o meno, senza uscire dall'evento imprevisto. Quindi, ogni volta che sei colpito da ispirazione improvvisa per andare a inseguire un pensiero, non preoccuparti di interrompere il flusso, i log sono lì per te. Per altre informazioni, vedere Approfondire i dati nei log.
Il pulsante Azioni evento imprevisto si trova anche di fronte alle schede Panoramica ed Entità . In questo caso sono disponibili le stesse azioni descritte in precedenza dal pulsante Azioni nel riquadro dei dettagli nella pagina griglia Eventi imprevisti . L'unico elemento mancante è Ricerca, disponibile nel pannello dei dettagli a sinistra.
Le azioni disponibili nel pulsante Azioni evento imprevisto includono:
| Azione | Descrizione |
|---|---|
| Eseguire il playbook | Eseguire un playbook su questo evento imprevisto per eseguire azioni di arricchimento, collaborazione o risposta particolari. |
| Creare una regola di automazione | Creare una regola di automazione che venga eseguita solo su eventi imprevisti come questo (generato dalla stessa regola di analisi) in futuro. |
| Creare un team (anteprima) | Creare un team in Microsoft Teams per collaborare con altri utenti o team tra i reparti per gestire l'evento imprevisto. Se un team è già stato creato per questo evento imprevisto, questa voce di menu viene visualizzata come Apri Teams. |
Ottenere l'intera immagine nella pagina dei dettagli dell'evento imprevisto
Il pannello a sinistra della pagina dei dettagli dell'evento imprevisto contiene le stesse informazioni dettagliate sugli eventi imprevisti visualizzate nella pagina Eventi imprevisti a destra della griglia. Questo pannello è sempre visualizzato, indipendentemente dalla scheda visualizzata nella parte restante della pagina. Da qui è possibile visualizzare le informazioni di base dell'evento imprevisto ed eseguire il drill-down nei modi seguenti:
In Evidenza selezionare Eventi, Avvisi o Segnalibri per aprire un pannello Log all'interno della pagina dell'evento imprevisto. Il pannello Log viene visualizzato con la query di qualsiasi delle tre opzioni selezionate ed è possibile esaminare i risultati della query in modo approfondito, senza passare dall'evento imprevisto. Selezionare Fine per chiudere il riquadro e tornare all'evento imprevisto. Per altre informazioni, vedere Approfondire i dati nei log.
Selezionare una delle voci in Entità per visualizzarla nella scheda Entità. Qui vengono mostrate solo le prime quattro entità nell'evento imprevisto. Per visualizzare il resto, selezionare Visualizza tutto o nel widget Entità nella scheda Panoramica o nella scheda Entità. Per altre informazioni, vedere Scheda Entità.
Selezionare Ricerca per aprire l'evento imprevisto nello strumento di analisi grafica che diagramma le relazioni tra tutti gli elementi dell'evento imprevisto.
Questo pannello può anche essere compresso nel margine sinistro dello schermo selezionando la piccola freccia doppia rivolta verso sinistra accanto all'elenco a discesa Proprietario . Anche in questo stato ridotto a icona, tuttavia, sarà comunque possibile modificare il proprietario, lo stato e la gravità.
Il resto della pagina dei dettagli dell'evento imprevisto è suddiviso in due schede, Panoramica ed Entità.
La scheda Panoramica contiene i widget seguenti, ognuno dei quali rappresenta un obiettivo essenziale dell'indagine.
| Widget | Descrizione |
|---|---|
| Sequenza temporale degli eventi imprevisti | Il widget Sequenza temporale degli eventi imprevisti mostra la sequenza temporale degli avvisi e dei segnalibri nell'evento imprevisto, che consente di ricostruire la sequenza temporale dell'attività dell'utente malintenzionato. Selezionare un singolo elemento per visualizzarne tutti i dettagli, consentendo di eseguire il drill-down. Per altre informazioni, vedere Ricostruire la sequenza temporale della storia dell'attacco. |
| Eventi imprevisti simili | Nel widget Eventi imprevisti simili viene visualizzata una raccolta di fino a 20 altri eventi imprevisti più simili all'evento imprevisto corrente. Ciò consente di visualizzare l'evento imprevisto in un contesto più ampio e di indirizzare l'indagine. Per altre informazioni, vedere Verificare la presenza di eventi imprevisti simili nell'ambiente in uso. |
| Entità | Il widget Entities (Entità) mostra tutte le entità identificate negli avvisi. Si tratta degli oggetti che hanno svolto un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o altri tipi. Selezionare un'entità per visualizzarne i dettagli completi, visualizzati nella scheda Entità. Per altre informazioni, vedere Esplorare le entità dell'evento imprevisto. |
| Informazioni dettagliate principali | Nel widget Informazioni dettagliate principali viene visualizzata una raccolta di risultati delle query definite dai ricercatori di sicurezza Microsoft che forniscono informazioni di sicurezza preziose e contestuali su tutte le entità dell'evento imprevisto, in base ai dati di una raccolta di origini. Per altre informazioni, vedere Ottenere le informazioni più dettagliate sull'evento imprevisto. |
La scheda Entità mostra l'elenco completo delle entità nell'evento imprevisto, che vengono visualizzate anche nel widget Entities (Entità) nella pagina Panoramica . Quando si seleziona un'entità nel widget, si viene indirizzati qui per visualizzare il dossier completo dell'entità, ovvero le informazioni di identificazione, una sequenza temporale dell'attività (sia all'interno che all'esterno dell'evento imprevisto) e il set completo di informazioni dettagliate sull'entità, come si può vedere nella pagina dell'entità completa, ma limitato all'intervallo di tempo appropriato per l'evento imprevisto.
Ricostruire la sequenza temporale della storia dell'attacco
Il widget Sequenza temporale degli eventi imprevisti mostra la sequenza temporale degli avvisi e dei segnalibri nell'evento imprevisto, che consente di ricostruire la sequenza temporale dell'attività dell'utente malintenzionato.
Passare il puntatore del mouse su qualsiasi icona o elemento di testo incompleto per visualizzare una descrizione comando con il testo completo dell'icona o dell'elemento di testo. Queste descrizioni comandi sono utili quando il testo visualizzato viene troncato a causa della larghezza limitata del widget. Vedere l'esempio in questo screenshot:
Selezionare un singolo avviso o un segnalibro per visualizzarne i dettagli completi.
I dettagli dell'avviso includono la gravità e lo stato dell'avviso, le regole di analisi che l'hanno generata, il prodotto che ha generato l'avviso, le entità indicate nell'avviso, le tattiche e le tecniche MITRE ATT&CK associate e l'ID avviso interno del sistema.
Selezionare il collegamento ID avviso di sistema per eseguire il drill-down ulteriormente nell'avviso, aprire il pannello Log e visualizzare la query che ha generato i risultati e gli eventi che hanno attivato l'avviso.
I dettagli dei segnalibri non corrispondono esattamente ai dettagli dell'avviso, mentre includono anche entità, tattiche e tecniche MITRE ATT&CK e l'ID segnalibro, includono anche il risultato non elaborato e le informazioni sull'autore dei segnalibri.
Selezionare il collegamento Visualizza log segnalibro per aprire il pannello Log e visualizzare la query che ha generato i risultati salvati come segnalibro.
Dal widget della sequenza temporale degli eventi imprevisti è anche possibile eseguire le azioni seguenti su avvisi e segnalibri:
Eseguire un playbook sull'avviso per intervenire immediatamente per attenuare una minaccia. In alcuni casi è necessario bloccare o isolare una minaccia prima di continuare l'analisi. Altre informazioni sull'esecuzione di playbook sugli avvisi.
Rimuovere un avviso da un evento imprevisto. È possibile rimuovere gli avvisi aggiunti agli eventi imprevisti dopo la loro creazione se si ritiene che non siano rilevanti. Altre informazioni sulla rimozione di avvisi dagli eventi imprevisti.
Rimuovere un segnalibro da un evento imprevisto o modificare i campi nel segnalibro che possono essere modificati (non visualizzati).
Verificare la presenza di eventi imprevisti simili nell'ambiente
In qualità di analista delle operazioni di sicurezza, durante l'analisi di un evento imprevisto si vuole prestare attenzione al contesto più ampio.
Come per il widget della sequenza temporale degli eventi imprevisti, è possibile passare il puntatore del mouse su qualsiasi testo visualizzato in modo incompleto a causa della larghezza della colonna per visualizzare il testo completo.
I motivi per cui un evento imprevisto viene visualizzato nell'elenco eventi imprevisti simili viene visualizzato nella colonna Motivo somiglianza. Passare il puntatore del mouse sull'icona delle informazioni per visualizzare gli elementi comuni (entità, nome regola o dettagli).
Ottenere le informazioni più dettagliate sull'evento imprevisto
Gli esperti di sicurezza di Microsoft Sentinel hanno query predefinite che fanno automaticamente domande significative sulle entità nell'evento imprevisto. È possibile visualizzare le risposte principali nel widget Informazioni dettagliate principali, visibile sul lato destro della pagina dei dettagli dell'evento imprevisto. Questo widget mostra una raccolta di informazioni dettagliate basate sia sull'analisi di Machine Learning che sulla cura dei team principali degli esperti di sicurezza.
Si tratta di alcune delle stesse informazioni dettagliate visualizzate nelle pagine delle entità, appositamente selezionate per aiutare l'utente a valutare rapidamente e comprendere l'ambito della minaccia. Per lo stesso motivo, le informazioni dettagliate per tutte le entità nell'evento imprevisto vengono presentate insieme per offrire un quadro più completo di ciò che accade.
Le informazioni dettagliate principali sono soggette a modifiche e possono includere:
- Azioni per account.
- Azioni sull'account .
- Informazioni dettagliate UEBA.
- Indicatori di minaccia correlati all'utente.
- Watchlist insights (anteprima).
- Numero anomalo elevato di eventi di sicurezza.
- Attività di accesso di Windows.
- Connessioni remote per indirizzi IP.
- Connessioni remote con indirizzo IP con corrispondenza TI.
Ognuna di queste informazioni dettagliate (ad eccezione di quelle relative alle watchlist, per il momento) include un collegamento che è possibile selezionare per aprire la query sottostante nel pannello Log che si apre nella pagina dell'evento imprevisto. È quindi possibile eseguire il drill-down nei risultati della query.
L'intervallo di tempo per il widget Informazioni dettagliate principali è compreso tra 24 ore prima del primo avviso dell'evento imprevisto fino all'ora dell'ultimo avviso.
Esplorare le entità dell'evento imprevisto
Il widget Entities (Entità) mostra tutte le entità identificate negli avvisi nell'evento imprevisto. Si tratta degli oggetti che hanno svolto un ruolo nell'evento imprevisto, che si tratti di utenti, dispositivi, indirizzi, file o altri tipi.
È possibile cercare l'elenco di entità nel widget delle entità o filtrare l'elenco in base al tipo di entità per facilitare la ricerca di un'entità.
Se si sa già che una determinata entità è un indicatore noto di compromissione, selezionare i tre puntini nella riga dell'entità e scegliere Aggiungi a TI per aggiungere l'entità all'intelligence sulle minacce. Questa opzione è disponibile per i tipi di entità supportati.
Se si vuole attivare una sequenza di risposta automatica per una determinata entità, selezionare i tre puntini e scegliere Esegui playbook (anteprima). Questa opzione è disponibile per i tipi di entità supportati.
Selezionare un'entità per visualizzarne i dettagli completi. Quando si seleziona un'entità, si passa dalla scheda Panoramica alla scheda Entità, un'altra parte della pagina dei dettagli dell'evento imprevisto.
Scheda Entità
La scheda Entità mostra un elenco di tutte le entità nell'evento imprevisto.
Analogamente al widget delle entità, questo elenco può anche essere cercato e filtrato in base al tipo di entità. Le ricerche e i filtri applicati in un elenco non verranno applicati all'altro.
Selezionare una riga nell'elenco per visualizzare le informazioni dell'entità in un pannello laterale a destra.
Se il nome dell'entità viene visualizzato come collegamento, selezionando il nome dell'entità si reindirizza alla pagina dell'entità completa, all'esterno della pagina di indagine degli eventi imprevisti. Per visualizzare solo il pannello laterale senza uscire dall'evento imprevisto, selezionare la riga nell'elenco in cui viene visualizzata l'entità, ma non selezionarne il nome.
Qui è possibile eseguire le stesse azioni che è possibile eseguire dal widget nella pagina di panoramica. Selezionare i tre puntini nella riga dell'entità per eseguire un playbook o aggiungere l'entità all'intelligence sulle minacce.
È anche possibile eseguire queste azioni selezionando il pulsante accanto a Visualizza dettagli completi nella parte inferiore del pannello laterale. Il pulsante legge Le azioni Aggiungi a TI, Esegui playbook (anteprima) o Entità, nel qual caso viene visualizzato un menu con le altre due opzioni.
Il pulsante Visualizza dettagli completi reindirizza l'utente alla pagina dell'entità completa dell'entità.
Riquadro laterale delle entità
Selezionare un'entità nella scheda Entità per visualizzare un riquadro laterale, con le schede seguenti:
Le informazioni contengono informazioni di identificazione sull'entità. Ad esempio, per un'entità dell'account utente può trattarsi di nomi utente, nome di dominio, ID di sicurezza (SID), informazioni sull'organizzazione, informazioni di sicurezza e altro ancora e per un indirizzo IP che includerebbe, ad esempio, la georilevazione.
La sequenza temporale contiene un elenco di avvisi, segnalibri e anomalie che includono questa entità e anche le attività eseguite dall'entità, come raccolto dai log in cui viene visualizzata l'entità. Tutti gli avvisi con questa entità sono inclusi in questo elenco, indipendentemente dal fatto che gli avvisi appartengano a questo evento imprevisto.
Gli avvisi che non fanno parte dell'evento imprevisto vengono visualizzati in modo diverso: l'icona dello scudo è disattivata, la banda di colori di gravità è tratteggiata anziché una linea continua e c'è un pulsante con un segno più sul lato destro della riga dell'avviso.
Selezionare il segno più per aggiungere l'avviso a questo evento imprevisto. Quando l'avviso viene aggiunto all'evento imprevisto, vengono aggiunte anche tutte le altre entità dell'avviso (che non fanno già parte dell'evento imprevisto). È ora possibile espandere ulteriormente l'indagine esaminando le sequenze temporali delle entità per gli avvisi correlati.
Questa sequenza temporale è limitata agli avvisi e alle attività nei sette giorni precedenti. Per tornare indietro, passare alla sequenza temporale nella pagina dell'entità completa, il cui intervallo di tempo è personalizzabile.
Insights contiene i risultati delle query definite dai ricercatori di sicurezza Microsoft che forniscono informazioni di sicurezza preziose e contestuali sulle entità, in base ai dati di una raccolta di origini. Queste informazioni dettagliate includono quelle del widget Informazioni dettagliate principali e molte altre. Sono le stesse visualizzate nella pagina dell'entità completa, ma in un intervallo di tempo limitato: a partire da 24 ore prima del primo avviso nell'evento imprevisto e termina con l'ora dell'avviso più recente.
La maggior parte delle informazioni dettagliate contiene collegamenti che, se selezionati, aprire il pannello Log che visualizza la query che ha generato le informazioni dettagliate insieme ai risultati.
Approfondire i dati nei log
Da quasi qualsiasi punto dell'esperienza di indagine, è possibile selezionare un collegamento che apre una query sottostante nel pannello Log , nel contesto dell'indagine. Se si accede al pannello Logs da uno di questi collegamenti, la query corrispondente viene visualizzata nella finestra di query e la query viene eseguita automaticamente e genera i risultati appropriati da esplorare.
È anche possibile chiamare un pannello Log vuoto all'interno della pagina dei dettagli dell'evento imprevisto in qualsiasi momento, se si pensa a una query che si vuole provare durante l'analisi, mentre rimane nel contesto. A tale scopo, selezionare Log nella parte superiore della pagina.
Tuttavia, si finisce nel pannello Log , se è stata eseguita una query i cui risultati si desidera salvare, usare la procedura seguente:
Contrassegnare la casella di controllo accanto alla riga da salvare tra i risultati. Per salvare tutti i risultati, contrassegnare la casella di controllo nella parte superiore della colonna.
Salvare i risultati contrassegnati come segnalibro. A questo scopo, sono disponibili due opzioni:
Selezionare Aggiungi segnalibro all'evento imprevisto corrente per creare un segnalibro e aggiungerlo all'evento imprevisto aperto. Seguire le istruzioni del segnalibro per completare il processo. Al termine, il segnalibro viene visualizzato nella sequenza temporale dell'evento imprevisto.
Selezionare Aggiungi segnalibro per creare un segnalibro senza aggiungerlo ad alcun evento imprevisto. Seguire le istruzioni del segnalibro per completare il processo. È possibile trovare questo segnalibro insieme a tutti gli altri creati nella pagina Ricerca , nella scheda Segnalibri . Da qui è possibile aggiungerlo a questo o a qualsiasi altro evento imprevisto.
Dopo aver creato il segnalibro (o se si sceglie di non farlo), selezionare Fine per chiudere il pannello Log .
Ad esempio:
Espandere o concentrarsi sull'indagine
Aggiungere avvisi agli eventi imprevisti per espandere o ampliare l'ambito dell'indagine. In alternativa, rimuovere gli avvisi dagli eventi imprevisti per restringere o concentrarsi sull'ambito dell'indagine.
Per altre informazioni, vedere Correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel nel portale di Azure.
Analizzare visivamente gli eventi imprevisti usando il grafico di indagine
Se si preferisce un oggetto visivo, una rappresentazione grafica di avvisi, entità e connessioni tra di essi nell'indagine, è possibile eseguire molte delle operazioni descritte in precedenza anche con il grafico di indagine classico. Lo svantaggio del grafico è che si finisce per cambiare contesto molto di più.
Il grafico di indagine offre:
| Contenuto dell'indagine | Descrizione |
|---|---|
| Contesto visivo da dati non elaborati | Il grafico visivo live visualizza le relazioni di entità estratte automaticamente dai dati non elaborati. In questo modo è possibile visualizzare facilmente le connessioni tra origini dati diverse. |
| Individuazione completa dell'ambito di indagine | Espandere l'ambito di indagine usando query di esplorazione predefinite per visualizzare l'ambito completo di una violazione. |
| Passaggi di indagine predefiniti | Usare le opzioni di esplorazione predefinite per assicurarsi di porre le domande giuste in caso di minaccia. |
Per usare il grafico di indagine:
Selezionare un evento imprevisto, quindi Ricerca causa. In questo modo si passa al grafico di indagine. Il grafico fornisce una mappa illustrativa delle entità direttamente collegate all'avviso e a ogni ulteriore risorsa collegata.
Importante
Sarà possibile analizzare l'evento imprevisto solo se la regola di analisi o il segnalibro generato contiene mapping di entità. Il grafico di indagine richiede che l'evento imprevisto originale includa entità.
Il grafico di indagine supporta attualmente l'analisi degli eventi imprevisti fino a 30 giorni prima.
Selezionare un'entità per aprire il riquadro Entità in modo da poter esaminare le informazioni su tale entità.
Espandere l'indagine passando il puntatore del mouse su ogni entità per visualizzare un elenco di domande progettate dagli esperti di sicurezza e dagli analisti per ogni tipo di entità per approfondire l'indagine. Queste opzioni vengono chiamate query di esplorazione.
Ad esempio, è possibile richiedere avvisi correlati. Se si seleziona una query di esplorazione, le autorizzazioni risultanti vengono aggiunte di nuovo al grafico. In questo esempio, selezionando Avvisi correlati, sono stati restituiti gli avvisi seguenti nel grafico:
Verificare che gli avvisi correlati vengano visualizzati connessi all'entità da linee tratteggiate.
Per ogni query di esplorazione, è possibile selezionare l'opzione per aprire i risultati dell'evento non elaborato e la query usata in Log Analytics selezionando Eventi>.
Per comprendere l'evento imprevisto, il grafico fornisce una sequenza temporale parallela.
Passare il puntatore del mouse sulla sequenza temporale per vedere quali elementi del grafico si sono verificati in quale momento.
Controllare gli eventi imprevisti e aggiungere commenti
Durante l'analisi di un evento imprevisto, è necessario documentare accuratamente i passaggi da eseguire, sia per garantire report accurati per la gestione che per consentire una perfetta collaborazione e collaborazione tra i colleghi. Si vogliono anche visualizzare chiaramente i record di eventuali azioni eseguite sull'evento imprevisto da altri utenti, inclusi i processi automatizzati. Microsoft Sentinel offre il log attività, un ambiente avanzato di controllo e commento, che consente di eseguire questa operazione.
È anche possibile arricchire automaticamente gli eventi imprevisti con commenti. Ad esempio, quando si esegue un playbook su un evento imprevisto che recupera informazioni rilevanti da origini esterne (ad esempio, controllando un file di malware in VirusTotal), è possibile posizionare il playbook sulla risposta dell'origine esterna, insieme a qualsiasi altra informazione definita, nei commenti dell'evento imprevisto.
L'autorefreshe del log attività, anche durante l'apertura, in modo che sia sempre possibile visualizzare le modifiche in tempo reale. Si riceve anche una notifica delle modifiche apportate al log attività mentre è aperto.
Prerequisiti
Modifica: solo l'autore di un commento ha l'autorizzazione per modificarla.
Eliminazione: solo gli utenti con il ruolo Collaboratore microsoft Sentinel hanno l'autorizzazione per eliminare i commenti. Anche l'autore del commento deve avere questo ruolo per eliminarlo.
Per visualizzare il log di attività e commenti o per aggiungere commenti personalizzati:
- Selezionare Log attività nella parte superiore della pagina dei dettagli dell'evento imprevisto.
- Per filtrare il log per visualizzare solo le attività o solo i commenti, selezionare il controllo filtro nella parte superiore del log.
- Se si vuole aggiungere un commento, immetterlo nell'editor di testo RTF nella parte inferiore del pannello Log attività eventi imprevisti.
- Selezionare Commento per inviare il commento. Il commento viene aggiunto nella parte superiore del log.
Input supportato per i commenti
La tabella seguente elenca i limiti per gli input supportati nei commenti:
| Type | Descrizione |
|---|---|
| Text | I commenti in Microsoft Sentinel supportano input di testo in testo normale, HTML di base e Markdown. È anche possibile incollare testo copiato, HTML e Markdown nella finestra dei commenti. |
| Collegamenti | I collegamenti devono essere sotto forma di tag di ancoraggio HTML e devono avere il parametro target="_blank". Ad esempio:html<br><a href="https://www.url.com" target="_blank">link text</a><br>Se sono presenti playbook che creano commenti negli eventi imprevisti, anche i collegamenti in tali commenti devono essere conformi a questo modello. |
| Immagini | Le immagini non possono essere caricate direttamente nei commenti. Inserire invece collegamenti alle immagini nei commenti per visualizzare immagini inline. Le immagini collegate devono essere già ospitate in una posizione accessibile pubblicamente, ad esempio Dropbox, OneDrive, Google Drive e così via. |
| Limite dimensioni | Per commento: un singolo commento può contenere fino a 30.000 caratteri. Per evento imprevisto: un singolo evento imprevisto può contenere fino a 100 commenti. Il limite di dimensioni di un singolo record di eventi imprevisti nella tabella SecurityIncident in Log Analytics è di 64 KB. Se questo limite viene superato, i commenti (a partire dal meno recente) vengono troncati, che possono influire sui commenti visualizzati nei risultati di ricerca avanzati. I record effettivi degli eventi imprevisti nel database degli eventi imprevisti non sono interessati. |
Passaggio successivo
Analizzare gli incidenti con i dati UEBA
Contenuto correlato
In questo articolo si è appreso come iniziare a analizzare gli eventi imprevisti usando Microsoft Sentinel. Per altre informazioni, vedi: