Udostępnij za pośrednictwem

Nawigowanie po zdarzeniach usługi Microsoft Sentinel i zarządzanie nimi w witrynie Azure Portal oraz zarządzanie nimi

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal

W tym artykule opisano sposób nawigowania i uruchamiania podstawowej klasyfikacji zdarzeń w witrynie Azure Portal.

Wymagania wstępne

  • Przypisanie roli osoby odpowiadającej usłudze Microsoft Sentinel jest wymagane do zbadania zdarzeń.

    Dowiedz się więcej o rolach w usłudze Microsoft Sentinel.

  • Jeśli masz użytkownika-gościa, który musi przypisać zdarzenia, użytkownik musi mieć przypisaną rolę Czytelnik katalogu w dzierżawie firmy Microsoft Entra. Domyślnie do tej roli przypisano zwykłą (niezgodę) użytkowników.

  1. Z menu nawigacji usługi Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Incydenty.

    Strona Incydenty zawiera podstawowe informacje o wszystkich otwartych zdarzeniach. Na przykład:

    Zrzut ekranu przedstawiający widok ważności zdarzenia.

    • W górnej części ekranu znajduje się pasek narzędzi z akcjami, które można wykonać poza określonym zdarzeniem — w siatce jako całości lub na wielu wybranych zdarzeniach. Masz również liczbę otwartych zdarzeń, niezależnie od tego, czy są nowe, czy aktywne, oraz liczba otwartych zdarzeń według ważności.

    • W środkowym okienku znajduje się siatka zdarzeń, która jest listą zdarzeń filtrowanych według kontrolek filtrowania w górnej części listy oraz paska wyszukiwania w celu znalezienia określonych zdarzeń.

    • Po stronie znajduje się okienko szczegółów zawierające ważne informacje o zdarzeniu wyróżnionym na centralnej liście wraz z przyciskami umożliwiającymi podejmowanie określonych działań dotyczących tego incydentu.

  2. Zespół ds. operacji zabezpieczeń może mieć obowiązujące reguły automatyzacji w celu przeprowadzenia podstawowej klasyfikacji nowych zdarzeń i przypisania ich do odpowiedniego personelu.

    W takim przypadku przefiltruj listę zdarzeń według pozycji Właściciel , aby ograniczyć listę do zdarzeń przypisanych do Ciebie lub twojego zespołu. Ten filtrowany zestaw reprezentuje osobiste obciążenie.

    W przeciwnym razie możesz samodzielnie przeprowadzić klasyfikację podstawową. Zacznij od filtrowania listy zdarzeń według dostępnych kryteriów filtrowania, niezależnie od tego, czy stan, ważność, czy nazwa produktu. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zdarzeń.

  3. Klasyfikowanie określonego zdarzenia i natychmiastowe podejmowanie na nim akcji początkowej bezpośrednio w okienku szczegółów na stronie Incydenty bez konieczności wprowadzania pełnej strony szczegółów zdarzenia. Na przykład:

    • Zbadaj zdarzenia XDR usługi Microsoft Defender w usłudze Microsoft Defender XDR: postępuj zgodnie z linkiem Badanie w usłudze Microsoft Defender XDR , aby przestawienia się do zdarzenia równoległego w portalu usługi Defender. Wszelkie zmiany wprowadzone w zdarzeniu w usłudze Microsoft Defender XDR są synchronizowane z tym samym zdarzeniem w usłudze Microsoft Sentinel.

    • Otwórz listę przydzielonych zadań: Zdarzenia z przydzielonymi zadaniami zawierają liczbę ukończonych i łącznych zadań oraz link Wyświetl pełne szczegóły . Kliknij link, aby otworzyć stronę Zadania zdarzeń, aby wyświetlić listę zadań dla tego zdarzenia.

    • Przypisz własność zdarzenia do użytkownika lub grupy, wybierając z listy rozwijanej Właściciel .

      Zrzut ekranu przedstawiający przypisywanie zdarzenia do użytkownika.

      Ostatnio wybrani użytkownicy i grupy są wyświetlane w górnej części wyświetlonej listy rozwijanej.

    • Zaktualizuj stan zdarzenia (na przykład z obszaru Nowy na Aktywny lub Zamknięty), wybierając z listy rozwijanej Stan . Podczas zamykania zdarzenia musisz określić przyczynę. Aby uzyskać więcej informacji, zobacz Zamykanie zdarzenia.

    • Zmień ważność zdarzenia, wybierając z listy rozwijanej Ważność .

    • Dodaj tagi , aby kategoryzować zdarzenia. Może być konieczne przewinięcie w dół do dołu okienka szczegółów, aby zobaczyć, gdzie dodać tagi.

    • Dodaj komentarze , aby rejestrować akcje, pomysły, pytania i nie tylko. Może być konieczne przewinięcie w dół do dołu okienka szczegółów, aby zobaczyć, gdzie dodać komentarze.

  4. Jeśli informacje w okienku szczegółów są wystarczające, aby wyświetlić monit o dalsze akcje korygowania lub ograniczania ryzyka, wybierz przycisk Akcje u dołu, aby wykonać jedną z następujących czynności:

    Akcja opis
    Badanie Użyj graficznego narzędzia do badania, aby odnaleźć relacje między alertami, jednostkami i działaniami, zarówno w ramach tego zdarzenia, jak i w innych zdarzeniach.
    Uruchamianie podręcznika Uruchom podręcznik dotyczący tego zdarzenia, aby wykonać konkretne akcje wzbogacania, współpracy lub odpowiedzi, takie jak inżynierowie SOC.
    Tworzenie reguły automatyzacji Utwórz regułę automatyzacji, która działa tylko w przypadku takich zdarzeń (wygenerowanych przez tę samą regułę analizy) w przyszłości, aby zmniejszyć przyszłe obciążenie lub uwzględnić tymczasową zmianę wymagań (na przykład w przypadku testu penetracyjnego).
    Tworzenie zespołu (wersja zapoznawcza) Utwórz zespół w usłudze Microsoft Teams, aby współpracować z innymi osobami lub zespołami w różnych działach w zakresie obsługi zdarzenia.

    Na przykład:

    Zrzut ekranu przedstawiający menu akcji, które można wykonać na incydencie w okienku szczegółów.

  5. Jeśli potrzebujesz więcej informacji o zdarzeniu, wybierz pozycję Wyświetl pełne szczegóły w okienku szczegółów, aby otworzyć i wyświetlić szczegóły zdarzenia w całości, w tym alerty i jednostki w zdarzeniu, listę podobnych zdarzeń i wybrane najważniejsze szczegółowe informacje.

Wyszukiwanie zdarzeń

Aby szybko znaleźć określone zdarzenie, wprowadź ciąg wyszukiwania w polu wyszukiwania powyżej siatki zdarzeń i naciśnij Enter , aby odpowiednio zmodyfikować listę wyświetlanych zdarzeń. Jeśli zdarzenie nie jest uwzględnione w wynikach, możesz zawęzić wyszukiwanie przy użyciu opcji wyszukiwania zaawansowanego.

Aby zmodyfikować parametry wyszukiwania, wybierz przycisk Wyszukaj , a następnie wybierz parametry, w których chcesz uruchomić wyszukiwanie.

Na przykład:

Zrzut ekranu przedstawiający pole wyszukiwania i przycisk zdarzenia, aby wybrać opcje wyszukiwania podstawowego i/lub zaawansowanego.

Domyślnie wyszukiwania zdarzeń są uruchamiane tylko w wartościach Identyfikator zdarzenia, Tytuł, Tagi, Właściciel i Nazwa produktu. W okienku wyszukiwania przewiń listę w dół, aby wybrać co najmniej jeden inny parametr do wyszukania, a następnie wybierz pozycję Zastosuj , aby zaktualizować parametry wyszukiwania. Wybierz pozycję Ustaw, aby zresetować wybrane parametry do domyślnej opcji.

Uwaga

Wyszukiwanie w polu Właściciel obsługuje zarówno nazwy, jak i adresy e-mail.

Użycie opcji wyszukiwania zaawansowanego zmienia zachowanie wyszukiwania w następujący sposób:

Sposób wyszukiwania opis
Kolor przycisku wyszukiwania Kolor przycisku wyszukiwania zmienia się w zależności od typów parametrów aktualnie używanych w wyszukiwaniu.
  • Jeśli tylko są zaznaczone parametry domyślne, przycisk jest szary.
  • Po wybraniu różnych parametrów, takich jak zaawansowane parametry wyszukiwania, przycisk zmieni kolor na niebieski.
Automatyczne odświeżanie Korzystanie z zaawansowanych parametrów wyszukiwania uniemożliwia wybranie opcji automatycznego odświeżania wyników.
Parametry jednostki Wszystkie parametry jednostki są obsługiwane w przypadku wyszukiwania zaawansowanego. Podczas wyszukiwania w dowolnym parametrze jednostki wyszukiwanie jest uruchamiane we wszystkich parametrach jednostki.
Wyszukiwanie ciągów Wyszukiwanie ciągu wyrazów obejmuje wszystkie wyrazy w zapytaniu wyszukiwania. W ciągach wyszukiwania jest rozróżniana wielkość liter.
Obsługa między obszarami roboczymi Wyszukiwanie zaawansowane nie jest obsługiwane w przypadku widoków między obszarami roboczymi.
Liczba wyświetlonych wyników wyszukiwania W przypadku korzystania z zaawansowanych parametrów wyszukiwania wyświetlane są jednocześnie tylko 50 wyników.

Napiwek

Jeśli nie możesz znaleźć szukanych zdarzeń, usuń parametry wyszukiwania, aby rozwinąć wyszukiwanie. Jeśli wyniki wyszukiwania będą zawierać zbyt wiele elementów, dodaj więcej filtrów, aby zawęzić wyniki.

Zamykanie zdarzenia

Po rozwiązaniu określonego zdarzenia (na przykład po zakończeniu badania ustaw stan zdarzenia na Zamknięty. Gdy to zrobisz, zostanie wyświetlony monit o sklasyfikowanie zdarzenia, określając przyczynę jego zamknięcia. Ten krok jest obowiązkowy.

Wybierz pozycję Wybierz klasyfikację i wybierz jedną z następujących pozycji z listy rozwijanej:

  • Prawdziwie dodatnie — podejrzane działanie
  • Łagodny pozytywny — podejrzany, ale oczekiwany
  • Wynik fałszywie dodatni — nieprawidłowa logika alertu
  • Wynik fałszywie dodatni — nieprawidłowe dane
  • Nieokreślony

Zrzut ekranu przedstawiający klasyfikacje dostępne na liście Wybierz klasyfikację.

Aby uzyskać więcej informacji na temat wyników fałszywie dodatnich i łagodnych wyników dodatnich, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Po wybraniu odpowiedniej klasyfikacji dodaj tekst opisowy w polu Komentarz . Jest to przydatne w przypadku, gdy musisz odwołać się z powrotem do tego zdarzenia. Po zakończeniu wybierz pozycję Zastosuj , a zdarzenie zostanie zamknięte.

Zrzut ekranu przedstawiający zamykanie zdarzenia.

Następny krok

Aby uzyskać więcej informacji, zobacz Szczegółowe badanie zdarzeń usługi Microsoft Sentinel w witrynie Azure Portal