Gestão de incidentes

  • 5 minutos

Depois de começar a usar o Microsoft Sentinel para gerar incidentes, você e a equipe de TI da Contoso podem investigar os incidentes. O Microsoft Sentinel tem ferramentas avançadas de investigação e análise que você pode usar para coletar informações e determinar etapas de correção.

Avaliar incidentes

Para identificar e resolver problemas de segurança, primeiro investigue quaisquer incidentes. A página Visão geral do Microsoft Sentinel fornece uma lista dos incidentes mais recentes para referência rápida. Para obter mais detalhes e uma visão geral completa dos incidentes, use a página Incidentes , que exibe todos os incidentes no espaço de trabalho atual e detalhes sobre esses incidentes.

A página Incidentes fornece uma lista completa de incidentes no Microsoft Sentinel. A página também fornece informações básicas sobre incidentes. As informações incluem gravidade, ID, título, alertas, nomes de produtos, hora de criação, hora da última atualização, proprietário e status. Pode ordenar por qualquer coluna de incidentes e filtrar a lista de incidentes por nome, gravidade, estado, nome do produto ou proprietário.

Captura de ecrã de uma lista de incidentes no Microsoft Sentinel.

A partir desta página, pode seguir vários passos para investigar os incidentes.

Importante

Os usuários do Microsoft Entra que investigam incidentes devem ser membros da função Leitor de Diretório.

Examinar os detalhes do incidente

Selecione qualquer incidente na página Incidentes para exibir mais informações sobre o incidente no painel direito. Este painel fornece uma descrição do incidente e lista as evidências, entidades e táticas relacionadas. O painel também contém links para pastas de trabalho associadas e a regra de análise que gerou o incidente. Essas informações podem ajudá-lo a esclarecer a natureza, o contexto e o curso de ação para o incidente.

Captura de ecrã do painel de detalhes do incidente.

No painel de detalhes do incidente, selecione Exibir detalhes completos para abrir a página Incidente e ver mais detalhes sobre o incidente. Você pode usar esses detalhes para entender melhor o contexto do incidente. Por exemplo, em um incidente de ataque de força bruta, você pode ir para a consulta do Log Analytics para o alerta para determinar o número de ataques.

Gerir a propriedade, o estado e a gravidade do incidente

Cada incidente criado pelo Microsoft Sentinel tem metadados anexados que você pode exibir e gerenciar. Esta informação permite-lhe:

  • Atribua e rastreie a propriedade do incidente.
  • Definir e controlar o estado de um incidente, desde a criação à resolução.
  • Definir e avaliar a gravidade.

A captura de ecrã mostra a secção da página Incidentes onde pode atribuir propriedade, estado e gravidade.

Propriedade

Em um ambiente típico, cada incidente deve receber um proprietário da equipe de segurança. O proprietário do incidente é responsável pelo gerenciamento geral do incidente, incluindo investigação e atualizações de status. Pode alterar a propriedade a qualquer momento para atribuir o incidente a outro membro da equipa de segurança para uma investigação mais detalhada ou escalamento.

Status

A cada novo incidente criado no Microsoft Sentinel é atribuído um status de Novo. À medida que analisa e responde a incidentes, altere manualmente o estado para refletir o estado atual do incidente. Para incidentes sob investigação, defina o estado para Ativo. Quando um acidente estiver totalmente resolvido, defina o estado para Fechado.

Ao definir o status como Fechado, você será solicitado a escolher uma das seguintes resoluções:

  • True Positive - Atividade suspeita
  • Benigno Positivo - Suspeito, mas esperado
  • Falso positivo - Lógica de alerta incorreta
  • Falso positivo - Dados imprecisos
  • Indeterminado

Gravidade

A regra ou a fonte de segurança da Microsoft que gerou o incidente define inicialmente a gravidade. Na maioria dos casos, a gravidade do incidente permanece inalterada, mas você pode alterar a gravidade se decidir que o incidente é mais ou menos grave do que o inicialmente classificado. As opções de gravidade são Informativa, Baixa, Média e Alta.

Use o gráfico de investigação

Você pode investigar ainda mais um incidente selecionando Investigar na página Incidente . Esta ação abre o gráfico de investigação, uma ferramenta visual que ajuda a identificar as entidades envolvidas no ataque e as relações entre essas entidades. Se o incidente envolver múltiplos alertas ao longo do tempo, também pode avaliar a linha cronológica do alerta e as correlações entre alertas.

A captura de ecrã mostra o gráfico de investigação.

Avaliar os detalhes da entidade

Pode selecionar cada entidade no gráfico para observar mais informações sobre a entidade. Estas incluem informações sobre as relações com outras entidades, a utilização da conta e o fluxo de dados. Para cada área de informações, pode aceder a eventos relacionados no Log Analytics e adicionar os dados do alerta relacionados ao gráfico.

Avaliar os detalhes do incidente

Você pode selecionar o item de incidente no gráfico para observar os metadados do incidente relacionados ao contexto de segurança e ambiente do incidente.

Verifique o seu conhecimento

1.

Para escalar um incidente para a próxima equipe de segurança de nível, qual parâmetro de incidente você deve alterar?

2.

Qual interface do Microsoft Sentinel permite visualizar cronogramas e relacionamentos entre recursos de incidentes?