Dowody i jednostki incydentu

Ukończone

Usługa Microsoft Sentinel używa różnych źródeł informacji zabezpieczających do tworzenia zdarzeń. Musisz poznać te źródła, aby najlepiej wykorzystać zarządzanie zdarzeniami w usłudze Microsoft Sentinel.

Dowód incydentu

Dowody zdarzenia składają się z informacji o zdarzeniach zabezpieczeń i powiązanych zasobów usługi Microsoft Sentinel, które identyfikują zagrożenia w środowisku usługi Microsoft Sentinel. Dowody pokazują, w jaki sposób usługa Microsoft Sentinel zidentyfikowała zagrożenie i łączy się z konkretnymi zasobami, które mogą zwiększyć świadomość szczegółów zdarzenia.

Zdarzenia

Zdarzenia łączą Cię z co najmniej jednym konkretnym zdarzeniem z obszaru roboczego usługi Log Analytics skojarzonego z usługą Microsoft Sentinel. Te obszary robocze zwykle zawierają tysiące zdarzeń, które są zbyt liczne, aby można je było przeanalizować ręcznie.

Jeśli zapytanie dołączone do reguły analizy usługi Microsoft Sentinel zwraca zdarzenia, dołącza zdarzenia do wygenerowanego zdarzenia w celu uzyskania potencjalnego dalszego przeglądu. Możesz użyć tych zdarzeń, aby zrozumieć zakres i częstotliwość zdarzenia przed dalszym badaniem.

Alerty

Większość incydentów jest generowanych z powodu alertu reguły analizy. Przykłady alertów obejmują:

• Wykrycie podejrzanych plików.
• Wykrycie podejrzanych działań użytkowników.
• Podjęcie próby podniesienia uprawnień.

Reguły analizy generują alerty na podstawie zapytań język zapytań Kusto (KQL) lub bezpośredniego połączenia z rozwiązaniami zabezpieczeń firmy Microsoft, takimi jak Microsoft Defender dla Chmury lub Microsoft Defender XDR. Jeśli włączysz grupowanie alertów, usługa Microsoft Sentinel zawiera wszelkie powiązane dowody alertów dla zdarzenia.

Zakładki

Podczas badania incydentu możesz napotkać zdarzenia, które zechcesz prześledzić lub oznaczyć w celu późniejszego zbadania. Zapytania uruchamiane w usłudze Log Analytics można zachować, wybierając jedno lub więcej zdarzeń i wyznaczając je jako zakładki. Możesz również rejestrować notatki i tagi, aby lepiej informować przyszłe procesy wyszukiwania zagrożeń. Zakładki są dostępne dla Ciebie i członków zespołu.

Jednostki incydentów

Jednostka zdarzenia odnosi się do zasobu sieciowego lub użytkownika, który jest związany z zdarzeniem. Możesz używać jednostek jako punktów wejściowych do eksplorowania wszystkich alertów i korelacji skojarzonych z daną jednostką.

Relacje jednostek są przydatne w trakcie badania zdarzeń. Zamiast osobno analizować alerty tożsamości, alerty sieciowe i alerty dostępu do danych, można użyć jednostek w celu obserwowania wszelkich alertów skojarzonych z określonym użytkownikiem, hostem lub adresem w Twoim środowisku.

Niektóre typy jednostek to:

• Klient
• Gospodarz
• Adres IP
• URL
• Skrót pliku

Na przykład jednostki mogą ułatwić zidentyfikowanie wszystkich alertów skojarzonych z określonym użytkownikiem w firmie Contoso, maszynie hosta użytkownika i innych hostach, z którymi użytkownik nawiązał połączenie. Możesz określić, które adresy IP są skojarzone z tym użytkownikiem, ujawniając, które zdarzenia i alerty mogą być częścią tego samego ataku.

Sprawdź swoją wiedzę

1.

Które z poniższych elementów jest dowodem w zdarzeniu usługi Microsoft Sentinel?

Adres IP.

Nazwa użytkownika.

Zdarzenie.

Nazwa hosta.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.