Provas de incidentes e entidades

  • 5 minutos

O Microsoft Sentinel usa várias fontes de informações de segurança para criar incidentes. Você precisa entender essas fontes para melhor utilizar o gerenciamento de incidentes no Microsoft Sentinel.

Provas de incidentes

As evidências de incidentes consistem nas informações de eventos de segurança e nos ativos relacionados do Microsoft Sentinel que identificam ameaças no ambiente do Microsoft Sentinel. As evidências mostram como o Microsoft Sentinel identificou uma ameaça e retornam a recursos específicos que podem aumentar sua conscientização sobre os detalhes do incidente.

evento

Os eventos vinculam você a um ou mais eventos específicos do espaço de trabalho do Log Analytics associado ao Microsoft Sentinel. Sozinhas, estas áreas de trabalho contêm normalmente milhares de eventos. Demasiados para analisar manualmente.

Se uma consulta anexada a uma regra de análise do Microsoft Sentinel retornar eventos, ela anexará os eventos ao incidente gerado para possível revisão adicional. Você pode usar esses eventos para entender o escopo e a frequência do incidente antes de investigar mais.

Alertas

A maioria dos incidentes é gerada devido ao alerta de uma regra de análise. Exemplos de alertas incluem:

  • A deteção de ficheiros suspeitos.
  • A deteção de atividades de utilizador suspeitas.
  • A tentativa de elevação de privilégios.

As regras de análise geram alertas com base em consultas KQL (Kusto Query Language) ou conexão direta com soluções de segurança da Microsoft, como o Microsoft Defender for Cloud ou o Microsoft Defender XDR. Se você habilitar o agrupamento de alertas, o Microsoft Sentinel incluirá qualquer evidência de alerta relacionada para o incidente.

Marcadores

Ao investigar um incidente, poderá identificar eventos que pretende controlar ou marcar para investigar posteriormente. Pode preservar as consultas executadas no Log Analytics ao escolher um ou mais eventos e designá-los como marcadores. Você também pode gravar anotações e tags para informar melhor futuros processos de caça a ameaças. Os marcadores estão disponíveis para si e para os membros da sua equipa.

Entidades de incidentes

Uma entidade incidente refere-se a uma rede ou recurso de usuário que está envolvido com um evento. Pode utilizar as entidades como pontos de entrada para explorar todos os alertas e as correlações associadas a essa entidade.

As relações de entidades são úteis quando estiver a investigar incidentes. Em vez de analisar os alertas de identidade, os alertas de rede e os alertas de acesso aos dados individualmente, pode utilizar as entidades para observar quaisquer alertas associados a um determinado utilizador, anfitrião ou endereço no seu ambiente.

Alguns tipos de entidades incluem:

  • Account
  • Host
  • IP
  • URL
  • Hash de Ficheiro

Por exemplo, as entidades podem ajudá-lo a identificar todos os alertas associados a um usuário específico na Contoso, a máquina host do usuário e outros hosts aos quais o usuário se conectou. Você pode determinar quais endereços IP estão associados a esse usuário, expondo quais eventos e alertas podem fazer parte do mesmo ataque.

Verifique o seu conhecimento

1.

Qual dos seguintes itens é evidência em um incidente do Microsoft Sentinel?