Zarządzanie zdarzeniami

  • 5 min

Po rozpoczęciu korzystania z usługi Microsoft Sentinel do generowania zdarzeń ty i zespół IT firmy Contoso mogą badać zdarzenia. Usługa Microsoft Sentinel ma zaawansowane narzędzia do badania i analizy, których można użyć do zbierania informacji i określania kroków korygowania.

Przeglądanie incydentów

Aby zidentyfikować i rozwiązać problemy z zabezpieczeniami, najpierw zbadaj wszelkie zdarzenia. Strona Przegląd usługi Microsoft Sentinel zawiera listę najnowszych zdarzeń, które można szybko uzyskać. Aby uzyskać więcej szczegółów i pełne omówienie zdarzeń, użyj strony Incydenty , na której są wyświetlane wszystkie zdarzenia w bieżącym obszarze roboczym i szczegółowe informacje o tych zdarzeniach.

Strona Incydenty zawiera pełną listę zdarzeń w usłudze Microsoft Sentinel. Strona zawiera również podstawowe informacje o zdarzeniu. Informacje obejmują ważność, identyfikator, tytuł, alerty, nazwy produktów, czas utworzenia, czas ostatniej aktualizacji, właściciel i stan. Można sortować według dowolnej kolumny incydentów i filtrować listę incydentów według nazwy, ważności, stanu, nazwy produktu lub właściciela.

Zrzut ekranu przedstawiający listę zdarzeń w usłudze Microsoft Sentinel.

Z poziomu tej strony możesz wykonać różne kroki, aby zbadać incydenty.

Ważne

Użytkownicy firmy Microsoft Entra, którzy badają zdarzenia, muszą być członkami roli Czytelnik katalogu.

Sprawdzanie szczegółów incydentu

Wybierz dowolne zdarzenie na stronie Incydenty , aby wyświetlić więcej informacji o zdarzeniu w okienku po prawej stronie. W tym okienku przedstawiono opis zdarzenia i wymieniono powiązane dowody, jednostki i taktykę. Okienko zawiera również linki do skojarzonych skoroszytów i reguły analizy, która wygenerowała zdarzenie. Te informacje mogą pomóc w wyjaśnieniu charakteru, kontekstu i akcji dla zdarzenia.

Zrzut ekranu przedstawiający okienko szczegółów zdarzenia.

W okienku szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę Incydent i wyświetlić więcej szczegółów dotyczących zdarzenia. Możesz użyć tych szczegółów, aby lepiej zrozumieć kontekst zdarzenia. Na przykład w przypadku zdarzenia ataku siłowego możesz przejść do zapytania usługi Log Analytics dla alertu, aby określić liczbę ataków.

Zarządzanie własnością, stanem i ważnością incydentu

Każde zdarzenie tworzone przez usługę Microsoft Sentinel zawiera dołączone metadane, którymi można wyświetlać i zarządzać. Te informacje umożliwiają:

  • Przypisywanie i śledzenie własności zdarzeń.
  • Ustawianie i śledzenie stanu zdarzenia od utworzenia do rozwiązania.
  • Ustawianie i przeglądanie ważności.

Zrzut ekranu przedstawiający sekcję strony incydentów, gdzie można przypisać własność, stan i ważność.

Własność

W typowym środowisku każdy incydent powinien być przypisany do właściciela zespołu ds. zabezpieczeń. Właściciel zdarzenia jest odpowiedzialny za ogólne zarządzanie zdarzeniami, w tym aktualizacje badania i stanu. Własność można zmienić w dowolnym momencie, aby przypisać incydent do innego członka zespołu zabezpieczeń w celu dalszej analizy lub eskalacji.

Stan

Każde nowe zdarzenie utworzone w usłudze Microsoft Sentinel ma przypisany stan Nowy. Podczas przeglądania zdarzeń i reagowania na nie ręcznie zmień stan, aby odzwierciedlał bieżący stan zdarzenia. W przypadku aktualnie badanych zdarzeń należy ustawić stan Aktywne. Gdy zdarzenie zostanie w pełni rozwiązane, należy ustawić stan Zamknięte.

Po ustawieniu stanu na Zamknięty zostanie wyświetlony monit o wybranie jednej z następujących rozwiązań:

  • Prawdziwie dodatnie — podejrzane działanie
  • Łagodny pozytywny — podejrzany, ale oczekiwany
  • Wynik fałszywie dodatni — nieprawidłowa logika alertu
  • Wynik fałszywie dodatni — niedokładne dane
  • Nieokreślony

Ważność

Reguła lub źródło zabezpieczeń firmy Microsoft, które wygenerowało zdarzenie, początkowo określa ważność. W większości przypadków ważność zdarzenia pozostaje niezmieniona, ale możesz zmienić ważność, jeśli zdecydujesz, że zdarzenie jest mniej lub bardziej poważne niż początkowo sklasyfikowane. Opcje ważności to Informacje, Niski, Średni i Wysoki.

Korzystanie z grafu badania

Możesz dokładniej zbadać zdarzenie, wybierając pozycję Zbadaj na stronie Incydent . Ta akcja powoduje otworzenie wykresu badania, czyli narzędzia wizualnego, które pomaga identyfikować jednostki związane z atakiem oraz relacje między tymi jednostkami. Jeśli zdarzenie obejmuje wiele alertów w czasie, można także przejrzeć oś czasu alertów i korelacje między alertami.

Zrzut ekranu przedstawiający wykres badania.

Przeglądanie szczegółów jednostki

Możesz wybrać poszczególne jednostki na wykresie, aby wyświetlić więcej informacji o danej jednostce. Te informacje dotyczą relacji z innymi jednostkami, użycia konta i przepływu danych. W przypadku każdego obszaru informacji można przejść do powiązanych zdarzeń w usłudze Log Analytics i dodać powiązane dane alertu do wykresu.

Przeglądanie szczegółów incydentu

Możesz wybrać element zdarzenia na grafie, aby obserwować metadane zdarzeń związane z zabezpieczeniami i kontekstem środowiska zdarzenia.

Sprawdź swoją wiedzę

1.

Aby eskalować zdarzenie do zespołu ds. zabezpieczeń w następnej warstwie, który parametr zdarzenia należy zmienić?

2.

Który interfejs usługi Microsoft Sentinel umożliwia wyświetlanie osi czasu i relacji między zasobami zdarzenia?