Compartilhar via

Trabalhar com resultados de investigação avançados que contêm dados de Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Explorar os resultados

Captura de ecrã dos resultados avançados da investigação com opções para expandir as linhas de resultados no portal do Microsoft Defender

Também pode explorar os resultados em linha com as seguintes funcionalidades:

  • Expanda um resultado ao selecionar a seta pendente à esquerda de cada resultado.
  • Quando aplicável, expanda os detalhes dos resultados que estão no formato JSON ou matriz ao selecionar a seta pendente à esquerda da linha de resultados aplicável para maior legibilidade.
  • Abra o painel lateral para ver os detalhes de um registo (em simultâneo com linhas expandidas).

Também pode clicar com o botão direito do rato em qualquer valor de resultado numa linha para que possa utilizá-lo para:

  • Adicionar mais filtros à consulta existente
  • Copiar o valor para utilização numa investigação mais aprofundada
  • Atualizar a consulta para expandir um campo JSON para uma nova coluna

Para Microsoft Defender XDR dados, pode tomar medidas adicionais ao selecionar as caixas de verificação à esquerda de cada linha de resultados. Selecione Ligar ao incidente para ligar os resultados selecionados a um incidente (leia Ligar os resultados da consulta a um incidente) ou Tomar medidas para abrir o assistente Tomar ações (leia Tomar medidas sobre os resultados avançados da consulta de investigação).

Pode utilizar a ligação para a funcionalidade incidente para adicionar resultados de consultas de investigação avançadas a um incidente novo ou existente sob investigação. Esta funcionalidade ajuda-o a capturar facilmente registos de atividades de investigação avançadas, o que lhe permite criar um linha do tempo ou contexto mais avançado de eventos relativos a um incidente.

  1. No painel de consulta de investigação avançada, introduza a consulta no campo de consulta fornecido e, em seguida, selecione Executar consulta para obter os resultados. Captura de ecrã da página de investigação avançada no portal do Microsoft Defender

  2. Na página Resultados, selecione os eventos ou registos relacionados com uma investigação nova ou atual em que está a trabalhar e, em seguida, selecione Ligar ao incidente. Captura de ecrã da ligação para a funcionalidade incidente na investigação avançada no portal do Microsoft Defender

  3. Na secção Detalhes do alerta no painel Ligar ao incidente, selecione Criar novo incidente para converter os eventos em alertas e agrupá-los num novo incidente:

    Também pode selecionar Ligar a um incidente existente para adicionar os registos selecionados a um incidente existente. Escolha o incidente relacionado na lista pendente de incidentes existentes. Também pode introduzir os primeiros carateres do nome ou ID do incidente para encontrar o incidente pretendido.
    Captura de ecrã das opções disponíveis em consultas guardadas no portal do Microsoft Defender

  4. Para qualquer uma das seleções, forneça os seguintes detalhes e, em seguida, selecione Seguinte:

    • Título do alerta – um título descritivo para os resultados que os participantes do incidente podem compreender; este título descritivo torna-se o título do alerta
    • Gravidade – escolha a gravidade aplicável ao grupo de alertas
    • Categoria – escolha a categoria de ameaça adequada para os alertas
    • Descrição – forneça uma descrição útil dos alertas agrupados
    • Ações recomendadas – liste as ações de remediação recomendadas para os analistas de segurança que estão a investigar o incidente

  5. Na secção Entidades , selecione as entidades envolvidas nos eventos suspeitos. Essas entidades são utilizadas para correlacionar outros alertas com o incidente ligado e são visíveis a partir da página do incidente.

    Para Microsoft Defender XDR dados, as entidades são selecionadas automaticamente. Se os dados forem de Microsoft Sentinel, tem de selecionar as entidades manualmente.

    Existem duas secções para as quais pode selecionar entidades:

    a. Recursos afetados – os recursos afetados que aparecem nos eventos selecionados devem ser adicionados aqui. Podem ser adicionados os seguintes tipos de recursos:

    • Conta
    • Dispositivo
    • Mailbox
    • Aplicação na cloud
    • Recurso do Azure
    • Recurso amazon Web Services
    • Recurso do Google Cloud Platform

    b. Provas relacionadas – os não recursos que aparecem nos eventos selecionados podem ser adicionados nesta secção. Os tipos de entidade suportados são:

    • Processo
    • Arquivo
    • Valor do Registro
    • IP
    • Aplicação OAuth
    • DNS
    • Grupo de segurança
    • URL
    • Cluster de correio
    • Mensagem de correio

Observação

Para consultas que contenham apenas dados XDR, são apresentados apenas os tipos de entidade que estão disponíveis em tabelas XDR.

  1. Depois de selecionar um tipo de entidade, selecione um tipo de identificador que exista nos registos selecionados para que possa ser utilizado para identificar esta entidade. Cada tipo de entidade tem uma lista de identificadores suportados, como pode ver no menu pendente relevante. Leia a descrição apresentada ao pairar o cursor sobre cada identificador para melhor compreendê-la.

  2. Depois de selecionar o identificador, selecione uma coluna a partir dos resultados da consulta que contêm o identificador selecionado. Pode selecionar Explorar consulta e resultados para abrir o painel de contexto de investigação avançado. Isto permite-lhe explorar a consulta e os resultados para se certificar de que escolheu a coluna certa para o identificador selecionado.
    Captura de ecrã da ligação para o ramo de entidades do assistente de incidentes no portal do Microsoft Defender
    No nosso exemplo, utilizámos uma consulta para localizar eventos relacionados com um possível incidente de exfiltração de e-mail, pelo que a caixa de correio do destinatário e a conta do destinatário são as entidades afetadas e o IP do remetente, bem como a mensagem de e-mail, são provas relacionadas.

    Captura de ecrã da ligação para o ramo de entidades completa do assistente de incidentes no portal do Microsoft Defender

    É criado um alerta diferente para cada registo com uma combinação exclusiva de entidades afetadas. No nosso exemplo, se existirem três caixas de correio de destinatários diferentes e combinações de ID de objeto de destinatário, por exemplo, são criados três alertas e ligados ao incidente escolhido.

  3. Selecione Avançar.

  4. Reveja os detalhes que forneceu na secção Resumo.

  5. Selecione Concluído.

Ver registos ligados no incidente

Pode selecionar a ligação gerada no passo de resumo do assistente ou selecionar o nome do incidente na fila de incidentes para ver o incidente ao qual os eventos estão ligados.

Captura de ecrã do passo de resumo na ligação para o assistente de incidentes no portal do Microsoft Defender

No nosso exemplo, os três alertas, que representam os três eventos selecionados, foram ligados com êxito a um novo incidente. Em cada uma das páginas de alerta, pode encontrar as informações completas sobre o evento ou eventos na vista linha do tempo (se disponível) e na vista de resultados da consulta.

Também pode selecionar o evento na vista de linha do tempo ou na vista de resultados da consulta para abrir o painel Inspecionar registo.

Captura de ecrã da página do incidente no portal do Microsoft Defender

Filtrar eventos adicionados com investigação avançada

Pode ver que alertas foram gerados a partir da investigação avançada ao filtrar incidentes e alertas por Origem de deteção manual.

Captura de ecrã a mostrar a lista pendente de filtros na investigação avançada no portal do Microsoft Defender