Investigar incidentes do Microsoft Sentinel detalhadamente no portal do Azure
Incidentes do Microsoft Sentinel são arquivos que contêm uma agregação de todas as evidências relevantes para investigações específicas. Cada incidente é criado (ou adicionado) com base em evidências (alertas) que foram geradas por regras de análise ou importadas de produtos de segurança de terceiros que produzem seus próprios alertas. Os incidentes herdam as entidades contidas nos alertas, bem como as propriedades dos alertas, como gravidade, status e táticas e técnicas de MITRE ATT&CK.
O Microsoft Sentinel oferece uma plataforma de gerenciamento de casos completa e com todos os recursos no portal do Azure para investigar incidentes de segurança. A página Detalhes do incidente é o lugar centralizado no qual você pode executar sua investigação, coletando todas as informações relevantes e todas as ferramentas e tarefas aplicáveis em uma mesma tela.
Este artigo descreve como investigar um incidente detalhadamente, ajudando você a navegar e investigar seus incidentes de forma mais rápida, maneira efetiva, eficiente e reduzindo seu tempo médio para resolver (MTTR).
Pré-requisitos
A atribuição de função do Respondente do Microsoft Sentinel é obrigatória para a investigação de incidentes.
Saiba mais sobre as funções do Azure no Microsoft Sentinel.
Se você tiver um usuário convidado que precisa atribuir incidentes, a função de Leitor de Diretório deverá ser atribuída ao usuário em seu locatário do Microsoft Entra. Usuários regulares (não convidados) têm essa função atribuída por padrão.
Caso esteja exibindo a experiência herdada da página de detalhes do incidente, alterne a nova experiência no canto superior direito da página para continuar com os procedimentos neste artigo para a nova experiência.
Preparar a base corretamente
Ao configurar para investigar um incidente, reúna os itens necessários para direcionar seu fluxo de trabalho. Você encontra as ferramentas a seguir em uma barra de botões na parte superior da página de incidentes, logo abaixo do título.
Selecione Tarefas para ver as tarefas atribuídas a esse incidenteou para adicionar suas próprias tarefas. As tarefas podem melhorar a padronização do processo em seu SOC. Para obter mais informações, confira Usar tarefas para gerenciar incidentes no Microsoft Sentinel.
Selecione Log de atividades para ver se alguma ação já foi realizada nesse incidente (por regras de automação, por exemplo) e seu algum comentário já foi feito. Você também pode adicionar seus próprios comentários aqui. Para obter mais informações, consulte Auditar eventos de incidentes e adicionar comentários.
Selecione Logs a qualquer momento para abrir uma janela de consulta completa e em branco do Log Analytics dentro da página de incidentes. Redigir e executar uma consulta, relacionada ou não, sem sair do incidente. Então, sempre que você sentir uma inspiração súbita para ir atrás de um pensamento, não se preocupe em interromper seu fluxo--os logs estão lá para você. Para obter mais informações, consulte Aprofundar-se nos dados nos Logs.
O botão Ações de incidente também está localizado em frente aos guias Visão geral e Entidades. Aqui, você tem as mesmas ações descritas anteriormente, conforme disponibilizadas no botão Ações no painel de detalhes na página Grade de incidentes. O único ausente é Investigar, que está disponível no painel de detalhes à esquerda.
As ações disponíveis no botão Ações de incidente incluem:
| Ação | Descrição |
|---|---|
| Executar guia estratégico | Execute um guia estratégico sobre esse incidente para executar ações específicas de enriquecimento, colaboração ou resposta. |
| Criar regra de automação | Crie uma regra de automação que seja executada somente em incidentes como este (gerado pela mesma regra de análise) no futuro. |
| Criar equipe (Versão prévia) | Crie uma equipe no Microsoft Teams para colaborar com outras pessoas ou equipes entre departamentos no tratamento do incidente. Se uma equipe já tiver sido criada para esse incidente, esse item de menu será exibido como Abrir Teams. |
Ver todo o panorama na página de detalhes do incidente
O painel esquerdo da página de detalhes do incidente contém as mesmas informações de detalhes do incidente que você viu na página Incidentes à direita da grade. Esse painel está sempre em exibição, independentemente de qual guia seja mostrada no restante da página. A partir daí, você pode ver as informações básicas do incidente e fazer uma busca detalhada das seguintes maneiras:
Em Evidência, selecione Eventos, Alertas ou Indicadores para abrir um painel Logs na página de incidentes. O painel Logs é exibido com a consulta de qualquer um dos três selecionados, e você poderá percorrer os resultados da consulta em profundidade, sem sair do incidente. Selecione Concluído para fechar o painel e retornar ao incidente. Para obter mais informações, consulte Aprofundar-se nos dados nos Logs.
Selecione qualquer uma das entradas em Entidades para exibi-la no guia Entidades. Somente as quatro primeiras entidades do incidente são mostradas aqui. Consulte o restante deles selecionando Exibir tudo ou no widget Entidades no guia Visão Geral ou no guia Entidades. Para obter mais informações, confira o guia Entidades.
Selecionar Investigar para abrir o incidente na ferramenta de investigação gráfica que diagrama relações entre todos os elementos do incidente.
Esse painel também pode ser recolhido na margem esquerda da tela com a escolha da pequena seta dupla apontando para a esquerda ao lado da lista suspensa Proprietário. Mesmo nesse estado minimizado, no entanto, você ainda poderá alterar o proprietário, o status e a gravidade.
O restante da página de detalhes do incidente é dividido em duas guias, Visão geral e Entidades.
A guia Visão geral contém os widgets a seguir; cada um deles representa um objetivo essencial da investigação.
| Widget | Descrição |
|---|---|
| Linha do tempo do incidente | No widget Linha do tempo do incidente, revise a linha do tempo de alertas e indicadores no incidente, o que pode ajudar você a reconstruir a linha do tempo da atividade do invasor. Selecione um item individual para ver todos os seus detalhes, o que permite que você faça uma busca detalhada. Para obter mais informações, consulte Reconstruir a linha do tempo da história do ataque. |
| Incidentes semelhantes | No widget Incidentes semelhantes, você visualiza uma coleção de até 20 outros incidentes que mais se assemelham ao incidente atual. Isso permite que você exiba o incidente em um contexto maior e ajuda a direcionar sua investigação. Para obter mais informações, consulte Verificar se há incidentes semelhantes em seu ambiente. |
| Entidades | O widget Entidades mostra todas as entidades que foram identificadas nos alertas. Esses são os objetos que executam uma função no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou qualquer outro tipo. Selecione uma entidade para ver seus detalhes completos que são exibidos no guia Entidades. Para obter mais informações, consulte Explorar as entidades do incidente. |
| Principais insights | No widget Principais insights, você visualiza uma coleção de resultados de consultas definidos por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre todas as entidades no incidente, com base em dados de uma coleção de fontes. Para obter mais informações, consulte Obter as principais informações sobre o incidente. |
O guia Entidades mostra a lista completa de entidades no incidente, que também são mostradas no widget Entidades na página Visão Geral. Quando você seleciona uma entidade no widget, é direcionado aqui para ver o dossiê completo da entidade: suas informações de identificação, uma linha do tempo da atividade (tanto dentro quanto fora do incidente) e o conjunto completo de insights sobre a entidade, como veria na página completa da entidade, mas limitado ao período adequado ao incidente.
Reconstruir a linha do tempo da história do ataque
No widget Linha do tempo do incidente, revise a linha do tempo de alertas e indicadores no incidente, o que pode ajudar você a reconstruir a linha do tempo da atividade do invasor.
Passe o mouse sobre um ícone ou elemento de texto incompleto para ver uma Dica de Ferramenta com o texto completo desse ícone ou elemento de texto. Essas Dicas de Ferramenta são úteis quando o texto exibido é truncado devido à largura limitada do widget. Veja o exemplo nesta captura de tela:
Selecione um alerta ou indicador individual para ver seus detalhes completos.
Os detalhes do alerta incluem a gravidade e o status do alerta, as regras de análise que o geraram, o produto que produziu o alerta, as entidades mencionadas no alerta, as táticas e técnicas associadas do MITRE ATT&CK e a ID do alerta do sistema.
Selecione o link ID de alerta do sistema para fazer uma busca ainda mais detalhada no alerta, abrindo o painel Logs e exibindo a consulta que gerou os resultados e os eventos que dispararam o alerta.
Os detalhes do indicador não são exatamente iguais aos detalhes do alerta; embora eles também incluam entidades, táticas e técnicas do MITRE ATT&CK e a ID do indicador, eles também incluem o resultado bruto e as informações do criador do indicador.
Selecione o link Exibir logs de indicadores para abrir o painel Logs e exibir a consulta que gerou os resultados que foram salvos como o indicador.
No widget de linha do tempo do incidente, você também pode executar as seguintes ações em relação a alertas e indicadores:
Execute um guia estratégico no alerta a fim de tomar medidas imediatas para atenuar uma ameaça. Às vezes, você precisa bloquear ou isolar uma ameaça antes de continuar investigando. Saiba mais sobre como executar guias estratégicos em alertas.
Remova um alerta de um incidente. Você pode remover alertas que foram adicionados a incidentes após sua criação se julgá-los como não relevantes. Saiba mais sobre como remover alertas de incidentes.
Remova um indicador de um incidente ou edite esses campos no indicador que pode ser editado (não mostrado).
Verificar se há incidentes semelhantes em seu ambiente
Como analista de operações de segurança, ao investigar um incidente, você deseja prestar atenção ao seu contexto maior.
Assim como acontece com o widget de linha do tempo do incidente, você pode passar o mouse sobre qualquer texto que seja exibido incompletamente devido à largura da coluna para mostrar o texto completo.
Os motivos pelos quais um incidente aparece na lista de incidentes semelhantes são exibidos na coluna Motivo da similaridade. Passe o mouse sobre o ícone de informações para mostrar os itens comuns (entidades, nome da regra ou detalhes).
Obter os principais insights sobre o incidente
Os especialistas em segurança do Microsoft Sentinel criaram consultas que fazem automaticamente as perguntas significativas sobre as entidades em seu incidente. Você pode ver as respostas principais no widget Principais insights, visível no lado direito da página de detalhes do incidente. Esse widget mostra uma coleção de insights com base na análise de machine learning e na curadoria das principais equipes de especialistas em segurança.
Esses são alguns dos mesmos insights que aparecem nas páginas da entidade, especialmente selecionados para ajudar você a fazer a triagem rapidamente e entender o escopo da ameaça. Pelo mesmo motivo, insights para todas as entidades do incidente são apresentados juntos para fornecer uma visão mais completa do que está acontecendo.
Os principais insights estão sujeitos a alterações e podem incluir:
- Ações por conta.
- Ações na conta.
- Insights do UEBA.
- Indicadores de ameaça relacionados ao usuário.
- Insights da watchlist (versão prévia).
- Número anormalmente alto de um evento de segurança.
- Atividade de entrada do Windows.
- Conexões remotas de endereço IP.
- Conexões remotas de endereço IP com correspondência de TI.
Cada um desses insights (exceto os relacionados às watchlists, por enquanto) tem um link que você pode selecionar para abrir a consulta subjacente no painel Logs que é aberto na página do incidente. Em seguida, você pode fazer detalhar os resultados da consulta.
O período de tempo do widget Principais insights é de 24 horas antes do alerta mais antigo no incidente até o momento do alerta mais recente.
Explorar as entidades do incidente
O widget Entidades mostra todas as entidades que foram identificadas nos alertas do incidente. Esses são os objetos que executam uma função no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou qualquer outro tipo.
Você pode pesquisar a lista de entidades no widget de entidades ou filtrar a lista por tipo de entidade para encontrar uma entidade.
Se você já soube que uma entidade é um indicador conhecido de comprometimento, selecione os três pontos na linha de entidade e escolha Adicionar à TI para adicionar a entidade à sua inteligência contra ameaças. (Essa opção está disponível para tipos de entidade com suporte.)
Se você quiser disparar uma sequência de resposta automática para determinada entidade, selecione os três pontos e escolha Executar guia estratégico (versão prévia). (Essa opção está disponível para tipos de entidade com suporte.)
Selecione uma entidade para ver seus detalhes completos. Ao selecionar uma entidade, você passa do guia Visão geral para a guia Entidades, outra parte da página de detalhes do incidente.
Guia Entidades
A guia Entidades mostra uma lista de todas as entidades no incidente.
Assim como o widget de entidades, essa lista também pode ser pesquisada e filtrada por tipo de entidade. Pesquisas e filtros aplicados em uma lista não se aplicarão a outra.
Selecione uma linha na lista para que as informações dessa entidade sejam exibidas em um painel lateral à direita.
Se o nome da entidade aparecer como um link, a seleção do nome da entidade redireciona você para a página da entidade completa, fora da página de investigação de incidentes. Para exibir apenas o painel lateral sem sair do incidente, selecione a linha na lista em que a entidade aparece, mas não selecione seu nome.
Você pode executar as mesmas ações aqui que pode executar no widget na página de visão geral. Selecione os três pontos na linha da entidade para executar um guia estratégico ou adicionar a entidade à inteligência contra ameaças.
Você também pode executar essas ações selecionando o botão ao lado de Exibir detalhes completos na parte inferior do painel lateral. O botão indica Adicionar à TI, Executar guia estratégico (Versão preliminar), ou Ações de entidade - nesse caso, é exibido um menu com as outras duas opções.
O próprio botão Exibir detalhes completos redireciona você para a página completa da entidade.
Painel lateral do guia Entidades
Selecione uma entidade no guia Entidades para mostrar um painel lateral, com os seguintes cartões:
O cartão Informações contém informações de identificação da entidade. Por exemplo, para uma entidade de conta de usuário, isso pode ser nome de usuário, nome de domínio, SID (identificador de segurança), informações organizacionais, informações de segurança e muito mais, e, para um endereço IP, incluiria, por exemplo, geolocalização.
A linha do tempo contém uma lista dos alertas, indicadores e anomalias que apresentam essa entidade e também atividades que a entidade realizou, conforme coletado dos logs nos quais a entidade aparece. Todos os alertas com essa entidade estão nessa lista, independentemente de os alertas pertencerem ou não a esse incidente.
Os alertas que não fazem parte do incidente são exibidos de forma diferente: o ícone de escudo fica esmaecido, a faixa de cor de gravidade é uma linha pontilhada em vez de uma linha sólida e há um botão com um sinal de adição no lado direito da linha do alerta.
Selecione o sinal de adição para adicionar o alerta a esse incidente. Quando o alerta é adicionado ao incidente, todas as outras entidades do alerta (que ainda não fizeram parte do incidente) também são adicionadas a ele. Agora você pode expandir ainda mais sua investigação examinando essas linhas do tempo das entidades para obter alertas relacionados.
Essa linha do tempo é limitada a alertas e atividades nos sete dias anteriores. Para voltar mais, vá para a linha do tempo na página de entidade completa, cujo período de tempo é personalizável.
O cartão Insights contém resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades com base em dados de uma coleção de fontes. Esses insights incluem os do widget Principais insights e muito mais; eles são os mesmos que aparecem na página de entidade completa, mas em um período limitado: começando 24 horas antes do alerta mais antigo do incidente e terminando com o tempo do alerta mais recente.
A maioria dos insights contém links que, quando selecionados, abrem o painelLogs e exibem a consulta que gerou o insight junto com seus resultados.
Aprofundar-se nos seus dados em Logs
De quase qualquer lugar da experiência de investigação, é possível selecionar um link que abre uma consulta subjacente no painel Logs, no contexto da investigação. Se você acessar o painel Logs de um desses links, a consulta correspondente aparece na janela de consulta e a consulta é executada automaticamente e gera os resultados apropriados para você explorar.
Você também pode chamar um painel Logs vazio dentro da página de detalhes do incidente a qualquer momento, no caso de uma consulta que deseja experimentar durante a investigação enquanto permanece no contexto. Para isso, selecione Logs no início da página.
No entanto, você acabará no painel Logs, caso tenha executado uma consulta cujos resultados deseja salvar, use o seguinte procedimento:
Marque a caixa de seleção ao lado da linha da qual você deseja salvar entre os resultados. Para salvar todos os resultados, marque a caixa de seleção na parte superior da coluna.
Salve os resultados marcados como um indicador. Você tem duas opções para fazer isso:
Selecione Adicionar indicador ao incidente atual para criar um indicador e adicioná-lo ao incidente aberto. Siga as instruções do indicador para concluir o processo. Após concluir, o indicador aparece na linha do tempo do incidente.
Selecione Adicionar indicador para criar um indicador sem adicioná-lo a nenhum incidente. Siga as instruções do indicador para concluir o processo. Encontre esse indicador junto com qualquer outra pessoa que tenha criado na página Busca, no guia Indicadores. A partir daí, você pode adicioná-lo a este ou a qualquer outro incidente.
Depois de criar o indicador (ou se você optar por não fazer isso), selecione Concluído para fechar o painel Logs.
Por exemplo:
Expandir ou concentrar sua investigação
Adicione alertas aos incidentes para expandir ou ampliar o escopo da investigação. Como alternativa, remova alertas de seus incidentes para restringir ou concentre o escopo da investigação.
Para obter mais informações, consulte Relacionar alertas a incidentes no Microsoft Sentinel no portal do Azure.
Investigar incidentes visualmente usando o grafo de investigação
Se você preferir uma representação visual gráfica de alertas, entidades e conexões entre elas em sua investigação, poderá realizar muitas das coisas discutidas anteriormente também com o grafo de investigação clássico. A desvantagem do grafo é que você acaba tendo que alternar muito mais os contextos.
O gráfico de investigação fornece:
| Conteúdo da investigação | Descrição |
|---|---|
| Contexto visual de dados brutos | O gráfico visual dinâmico exibe as relações de entidade extraídas automaticamente dos dados brutos. Isso permite que você veja facilmente as conexões entre diferentes fontes de dados. |
| Descobrir o escopo de investigação completo | Expanda seu escopo de investigação usando consultas de exploração internas para revelar o escopo completo de uma violação. |
| Etapas de investigação internas | Use opções de exploração predefinidas para garantir que você esteja fazendo as perguntas certas diante de uma ameaça. |
Para usar o gráfico de investigação:
Selecione um incidente e, em seguida, selecione Investigar. Isso levará você ao gráfico de investigação. O gráfico fornece um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.
Importante
Você só poderá investigar o incidente se a regra de análise ou o indicador que o gerou contiver mapeamentos de entidade. O grafo de investigação exige que o incidente original inclua as entidades.
O grafo de investigação atualmente dá suporte à investigação de incidentes ocorridos em até 30 dias.
Selecione uma entidade para abrir o painel Entidades para que você possa examinar as informações sobre essa entidade.
Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas que são projetadas por nossos especialistas em segurança e analistas por tipo de entidade para aprofundar sua investigação. Chamamos essas opções de consultas de exploração.
Por exemplo, você pode solicitar alertas relacionados. Se você selecionar uma consulta de exploração, as entidades resultantes serão adicionadas de volta ao gráfico. Neste exemplo, a seleção de Alertas relacionados retornou os seguintes alertas para o gráfico:
Veja se os alertas relacionados aparecem conectados à entidade por linhas pontilhadas.
Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados do evento bruto e a consulta usada no Log Analytics, selecionando Eventos> .
Para entender o incidente, o gráfico fornece uma linha do tempo paralela.
Passe o mouse sobre a linha do tempo para ver quais eventos no gráfico ocorreram em que ponto no tempo.
Auditar eventos de incidentes e adicionar comentários
Ao investigar um incidente, é melhor documentar detalhadamente as etapas que segue, tanto para garantir relatórios precisos para o gerenciamento quanto para facilitar a cooperação e colaboração entre colegas de trabalho. Você também quer visualizar claramente os registros de todas as ações executadas no incidente por outras pessoas, inclusive por processos automatizados. O Microsoft Sentinel oferece o Log de atividades, um ambiente avançado de auditoria e comentários, para ajudar você nisso.
Você também pode enriquecer seus incidentes automaticamente com comentários. Por exemplo, quando você executa um guia estratégico em um incidente que busca informações relevantes de fontes externas (por exemplo, verificando um arquivo para malware no VirusTotal), você pode fazer com que o guia estratégico coloque a resposta da fonte externa, juntamente com qualquer outra informação que você definir, nos comentários do incidente.
O log de atividades é atualizado automaticamente, mesmo quando aberto, para que você sempre possa ver as alterações em tempo real. Você também é notificado de quaisquer alterações feitas no log de atividades enquanto ele estiver aberto.
Pré-requisitos
Edição: somente o autor de um comentário tem permissão para editá-lo.
Exclusão: somente usuários com a função de Colaborador do Microsoft Sentinel têm permissão para excluir comentários. Até mesmo o autor do comentário precisa ter essa função para excluí-lo.
Para exibir o log de atividades e comentários ou para adicionar seus próprios comentários:
- Selecione Log de atividades na parte superior da página de detalhes do incidente.
- Para filtrar o log e mostrar apenas atividades ou apenas comentários, selecione o controle de filtro na parte superior do log.
- Se você quiser adicionar um comentário, insira-o no editor de rich text na parte inferior do painel Log de atividades de incidentes.
- Selecione Comentário para enviar o comentário. Seu comentário é adicionado na parte superior do log.
Entrada com suporte para comentários
A tabela a seguir lista os limites de entradas com suporte nos comentários:
| Tipo | Descrição |
|---|---|
| Text | Os comentários no Microsoft Sentinel dão suporte a entradas de texto em texto sem formatação, HTML básico e Markdown. Você também pode colar texto copiado, HTML e Markdown na janela de comentários. |
| Links | Os links precisam estar na forma de marcas de âncora HTML e precisam ter o parâmetro target="_blank". Por exemplo:html<br><a href="https://www.url.com" target="_blank">link text</a><br>Caso tenha guias estratégicos que criam comentários em incidentes, os links nesses comentários também deverão estar em conformidade com esse modelo. |
| Imagens | As imagens não podem ser carregadas diretamente nos comentários. Em vez disso, insira links para imagens em comentários para exibir imagens embutidas. As imagens vinculadas já devem estar hospedadas em um local publicamente acessível, como Dropbox, OneDrive, Google Drive e assim por diante. |
| Limite de tamanho | Por comentário: cada comentário pode conter até 30.000 caracteres. Por incidente: cada incidente pode conter até 100 comentários. O limite de tamanho de um registro de incidente na tabela SecurityIncident no Log Analytics é de 64 KB. Se esse limite for excedido, os comentários (começando com o mais antigo) serão truncados, o que pode afetar os comentários que aparecerão nos resultados da pesquisa avançada. Os registros de incidentes no banco de dados de incidentes não são afetados. |
Próxima etapa
Investigar incidentes com dados do UEBA
Conteúdo relacionado
Neste artigo, você aprendeu como começar a investigar incidentes usando o Microsoft Sentinel. Para obter mais informações, consulte: