Подробное изучение инцидентов Microsoft Sentinel в портал Azure
Инциденты Microsoft Sentinel — это файлы, содержащие агрегирование всех соответствующих доказательств для конкретных расследований. Каждый инцидент создается (или добавляется в) на основе фрагментов доказательств (оповещений), которые были созданы правилами аналитики или импортированы из сторонних продуктов безопасности, которые создают свои собственные оповещения. Инциденты наследуют сущности , содержащиеся в оповещениях, а также свойства оповещений, такие как серьезность, состояние и тактика и методы MITRE ATT&CK.
Microsoft Sentinel предоставляет полную полнофункциональный платформу управления делами в портал Azure для расследования инцидентов безопасности. Страница сведений об инциденте — это центральное расположение, из которого выполняется расследование, сбор всех соответствующих сведений и всех применимых средств и задач на одном экране.
В этой статье описывается, как подробно исследовать инцидент, помогая вам перемещаться и исследовать инциденты быстрее, эффективно и эффективно, а также сократить среднее время для разрешения (MTTR).
Необходимые компоненты
Для расследования инцидентов требуется назначение роли реагирования Microsoft Sentinel.
Дополнительные сведения о ролях в Microsoft Sentinel.
Если у вас есть гостевой пользователь, которому необходимо назначить инциденты, пользователю необходимо назначить роль читателя каталогов в клиенте Microsoft Entra. Обычные пользователи (не могут) назначать эту роль по умолчанию.
Если в настоящее время вы просматриваете устаревший интерфейс страницы сведений об инциденте, переключитесь на новый интерфейс в правом верхнем углу страницы, чтобы продолжить процедуру в этой статье для нового интерфейса.
Правильно подготовьте землю
Когда вы настраиваете расследование инцидента, соберите все, что необходимо для управления рабочим процессом. В верхней части страницы инцидента в верхней части заголовка отображаются следующие средства.
Выберите "Задачи", чтобы просмотреть задачи, назначенные для этого инцидента, или добавить собственные задачи. Задачи могут улучшить стандартизацию процессов в SOC. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel".
Выберите журнал действий, чтобы узнать, были ли приняты какие-либо действия по этому инциденту (например, правилами автоматизации) и любыми комментариями, которые были сделаны. Вы также можете добавить собственные комментарии здесь. Дополнительные сведения см. в разделе "Аудит событий инцидентов" и добавление комментариев.
Выберите журналы в любое время, чтобы открыть полное пустое окно запроса Log Analytics на странице инцидента. Создайте и запустите запрос, связанный или нет, не покидая инцидент. Таким образом, всякий раз, когда вы поражены внезапным вдохновением, чтобы погонять мысль, не беспокойтесь о прерывании вашего потока - журналы есть для вас. Дополнительные сведения см. в разделе "Подробные сведения о данных в журналах".
Кнопка "Действия инцидента" также находится напротив вкладок "Обзор " и "Сущности ". Здесь вы можете выполнить те же действия, которые описаны ранее, как и в кнопке "Действия " на странице сведений на странице сетки "Инциденты ". Единственным отсутствующим является исследование, которое доступно на панели сведений слева.
Доступные действия в кнопке " Действия инцидента":
| Действие | Description |
|---|---|
| Сборник схем run | Запустите сборник схем для этого инцидента, чтобы выполнить определенные действия обогащения, совместной работы или реагирования. |
| Создание правила автоматизации | Создайте правило автоматизации, которое выполняется только в таких инцидентах (созданных тем же правилом аналитики) в будущем. |
| Создание команды (предварительная версия) | Создайте команду в Microsoft Teams для совместной работы с другими лицами или командами в разных отделах по обработке инцидента. Если команда уже создана для этого инцидента, этот пункт меню отображается как Open Teams. |
Получение всего изображения на странице сведений об инциденте
На левой панели страницы сведений об инциденте содержатся те же сведения об инциденте, что и на странице "Инциденты " справа от сетки. Эта панель всегда отображается, независимо от того, какая вкладка отображается на остальной части страницы. Оттуда можно просмотреть основные сведения об инциденте и выполнить детализацию следующим образом:
В разделе "Доказательства" выберите "События", "Оповещения" или "Закладки", чтобы открыть панель журналов на странице инцидента. Панель "Журналы" отображается с запросом, из которого вы выбрали три, и вы можете пройти по результатам запроса в глубине, не перевернув из инцидента. Нажмите кнопку "Готово", чтобы закрыть область и вернуться к инциденту. Дополнительные сведения см. в разделе "Подробные сведения о данных в журналах".
Выберите любой из записей в разделе "Сущности", чтобы отобразить его на вкладке "Сущности". Здесь показаны только первые четыре сущности в инциденте. Просмотрите остальные элементы, выбрав "Просмотреть все" или в мини-приложении "Сущности" на вкладке "Обзор" или на вкладке "Сущности". Дополнительные сведения см. на вкладке "Сущности".
Выберите "Исследовать", чтобы открыть инцидент в графическом средстве исследования, которое схемаирует связи между всеми элементами инцидента.
Эта панель также может быть свернута в левое поле экрана, выбрав небольшую стрелку влево рядом с раскрывающимся списком "Владелец ". Даже в этом свернутом состоянии, однако вы по-прежнему сможете изменить владельца, состояние и серьезность.
Остальная часть страницы сведений об инциденте разделена на две вкладки, обзор и сущности.
Вкладка "Обзор" содержит следующие мини-приложения, каждый из которых представляет важную цель исследования.
| Виджет | Description |
|---|---|
| Временная шкала инцидентов | Мини-приложение временной шкалы инцидентов показывает временную шкалу оповещений и закладок в инциденте, что поможет вам восстановить временную шкалу действия злоумышленника. Выберите отдельный элемент, чтобы просмотреть все его сведения, что позволяет детализировать более подробно. Дополнительные сведения см. в разделе "Восстановление временной шкалы истории атаки". |
| Аналогичные инциденты | В мини-приложении "Аналогичные инциденты" вы увидите коллекцию до 20 других инцидентов, которые наиболее похожи на текущий инцидент. Это позволяет просматривать инцидент в более широком контексте и направлять расследование. Дополнительные сведения см. в статье "Проверка аналогичных инцидентов в вашей среде". |
| Сущности | Мини-приложение "Сущности" показывает все сущности , которые были определены в оповещениях. Это объекты, которые сыграли роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы. Выберите сущность, чтобы просмотреть подробные сведения, отображаемые на вкладке "Сущности". Дополнительные сведения см. в разделе "Изучение сущностей инцидента". |
| Основные сведения | В мини-приложении Top Insights вы увидите коллекцию результатов запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности всех сущностей в инциденте на основе данных из коллекции источников. Дополнительные сведения см. в статье "Получение основных сведений об инциденте". |
На вкладке "Сущности" отображается полный список сущностей в инциденте, который также отображается в мини-приложении "Сущности " на странице обзора . При выборе сущности в мини-приложении вы будете перенаправлены здесь, чтобы увидеть полный досье сущности — ее идентификацию, временную шкалу его действия (как внутри, так и за пределами инцидента), а также полный набор аналитических сведений об сущности, как и на полной странице сущности, но ограничен временем, соответствующим инциденту.
Восстановление временной шкалы истории атаки
Мини-приложение временной шкалы инцидентов показывает временную шкалу оповещений и закладок в инциденте, что поможет вам восстановить временную шкалу действия злоумышленника.
Наведите указатель мыши на любой значок или неполный текстовый элемент, чтобы увидеть подсказку с полным текстом этого значка или текстового элемента. Эти подсказки пригодятся, когда отображаемый текст усечен из-за ограниченной ширины мини-приложения. См. пример на этом снимке экрана:
Выберите отдельное оповещение или закладку, чтобы просмотреть полные сведения.
Сведения об оповещении включают серьезность и состояние оповещения, правила аналитики, создающие его, продукт, созданный оповещение, сущности, упомянутые в оповещении, связанные тактики и методы MITRE ATT&CK, а также внутренний идентификатор оповещения системы.
Выберите ссылку "Идентификатор оповещения системы", чтобы еще больше перейти к оповещению, открыть панель журналов и отобразить запрос, создающий результаты и события, которые активировали оповещение.
Сведения о закладках не совпадают с сведениями о предупреждении; в то время как они также включают сущности, тактику и методы MITRE ATT&CK, а также идентификатор закладки, они также включают необработанный результат и сведения о создателе закладки.
Выберите ссылку "Просмотр журналов закладок", чтобы открыть панель журналов и отобразить запрос, создающий результаты, сохраненные в качестве закладки.
В мини-приложении временной шкалы инцидентов также можно выполнить следующие действия по оповещениям и закладкам:
Запустите сборник схем в оповещении, чтобы принять немедленные меры для устранения угрозы. Иногда необходимо заблокировать или изолировать угрозу, прежде чем продолжить исследование. Дополнительные сведения о запуске сборников схем для оповещений.
Удалите оповещение из инцидента. Вы можете удалить оповещения, которые были добавлены в инциденты после их создания, если вы судите их о том, что они не относятся. Дополнительные сведения об удалении оповещений из инцидентов.
Удалите закладку из инцидента или измените эти поля в закладке, которую можно изменить (не отображается).
Проверка аналогичных инцидентов в вашей среде
Как аналитик по операциям безопасности при расследовании инцидента, который вы хотите обратить внимание на его более крупный контекст.
Как и в мини-приложении временной шкалы инцидента, вы можете навести указатель мыши на любой текст, который не полностью отображается из-за ширины столбца, чтобы отобразить полный текст.
Причины появления инцидента в аналогичном списке инцидентов отображаются в столбце причин подобия . Наведите указатель мыши на значок сведений, чтобы отобразить общие элементы (сущности, имя правила или сведения).
Получение основных сведений об инциденте
Специалисты по безопасности Microsoft Sentinel имеют встроенные запросы, которые автоматически задают важные вопросы о сущностях в вашем инциденте. В мини-приложении Top Insights отображаются верхние ответы на правой части страницы сведений об инциденте. В этом мини-приложении показана коллекция аналитических сведений на основе анализа машинного обучения и курирования ведущих групп экспертов по безопасности.
Это некоторые из таких же аналитических сведений, которые отображаются на страницах сущностей, специально выбранных для быстрого анализа и понимания области угрозы. По той же причине аналитические сведения обо всех сущностях в инциденте представлены вместе, чтобы дать вам более полную картину того, что происходит.
Основные аналитические сведения могут быть изменены и могут включать:
- Действия по учетной записи.
- Действия в учетной записи.
- Аналитика UEBA.
- Индикаторы угроз, связанные с пользователем.
- Аналитика списка наблюдения (предварительная версия).
- Аномально большое количество события безопасности.
- Действие входа в Windows.
- Удаленные подключения по IP-адресу.
- Удаленные подключения IP-адреса с сопоставлением TI.
Каждая из этих аналитических сведений (за исключением тех, которые относятся к спискам наблюдения, на данный момент) содержит ссылку, которую можно выбрать, чтобы открыть базовый запрос на панели журналов , открываемой на странице инцидента. Затем можно получить подробные сведения о результатах запроса.
Интервал времени для мини-приложения Top Insights составляет от 24 часов до самого раннего оповещения в инциденте до момента последнего оповещения.
Изучение сущностей инцидента
Мини-приложение "Сущности" показывает все сущности , которые были определены в оповещениях в инциденте. Это объекты, которые сыграли роль в инциденте, будь то пользователи, устройства, адреса, файлы или любые другие типы.
Вы можете искать список сущностей в мини-приложении сущностей или фильтровать список по типу сущности, чтобы помочь вам найти сущность.
Если вы уже знаете, что определенная сущность является известным индикатором компрометации, выберите три точки в строке сущности и нажмите кнопку "Добавить в TI ", чтобы добавить сущность в аналитику угроз. (Этот параметр доступен для поддерживаемых типов сущностей.)
Если вы хотите активировать последовательность автоматических ответов для определенной сущности, выберите три точки и выберите run playbook (предварительная версия). (Этот параметр доступен для поддерживаемых типов сущностей.)
Выберите сущность, чтобы просмотреть ее полные сведения. При выборе сущности перейдите на вкладку "Обзор" на вкладку "Сущности", другая часть страницы сведений об инциденте.
Вкладка "Сущности"
На вкладке "Сущности" отображается список всех сущностей в инциденте.
Как и мини-приложение сущностей, этот список также можно искать и фильтровать по типу сущности. Поиски и фильтры, примененные в одном списке, не применяются к другому.
Выберите строку в списке, чтобы данные этой сущности отображались на боковой панели справа.
Если имя сущности отображается как ссылка, при выборе имени сущности вы перейдете на полную страницу сущности за пределами страницы исследования инцидентов. Чтобы отобразить только боковую панель без выхода из инцидента, выберите строку в списке, где отображается сущность, но не выбирайте его имя.
Вы можете выполнить те же действия, что и в мини-приложении на странице обзора. Выберите три точки в строке сущности, чтобы запустить сборник схем или добавить сущность в аналитику угроз.
Вы также можете выполнить эти действия, нажав кнопку рядом с представлением полных сведений в нижней части боковой панели. Кнопка считывает действие "Добавить в TI", "Запустить сборник схем( предварительная версия)" или "Действия сущности", в этом случае меню отображается с другими двумя вариантами.
Кнопка "Просмотр полных сведений" перенаправляет вас на полную страницу сущности сущности сущности.
Панель вкладок сущностей
Выберите сущность на вкладке "Сущности" , чтобы отобразить боковую панель со следующими карточками:
Сведения содержат сведения об сущности. Например, для сущности учетной записи пользователя это может быть имя пользователя, доменное имя, идентификатор безопасности (SID), сведения о организации, сведения о безопасности и многое другое, а также IP-адрес, например геолокация.
Временная шкала содержит список оповещений, закладок и аномалий , которые содержат эту сущность, а также действия, выполненные сущностью, как было собрано из журналов, в которых отображается сущность. Все оповещения с этой сущностью находятся в этом списке, независимо от того, относятся ли оповещения к этому инциденту.
Оповещения, которые не являются частью инцидента, отображаются по-разному: значок щита серый, цветовая полоса серьезности пунктирная линия вместо сплошной линии, и есть кнопка с знаком плюса справа от строки оповещения.
Выберите знак плюса, чтобы добавить оповещение в этот инцидент. Когда оповещение добавляется в инцидент, в него также добавляются все другие сущности оповещения (которые еще не были частью инцидента). Теперь вы можете расширить исследование, просмотрев временную шкалу этих сущностей для связанных оповещений.
Эта временная шкала ограничена оповещениями и действиями за предыдущие семь дней. Чтобы вернуться дальше, перейдите к временной шкале на полной странице сущности, чей интервал времени настраивается.
Аналитика содержит результаты запросов, определенных исследователями по безопасности Майкрософт, которые предоставляют ценную и контекстную информацию о безопасности сущностей на основе данных из коллекции источников. Эти аналитические сведения включают те из мини-приложения Top Insights и многое другое; они те же, которые отображаются на полной странице сущности, но с течением ограниченного интервала времени: начиная с 24 часов до самого раннего оповещения в инциденте и заканчивая временем последнего оповещения.
Большинство аналитических сведений содержат ссылки, которые при выборе откройте панель журналов, отображающую запрос, который создал аналитические сведения вместе с результатами.
Более подробное представление о данных в журналах
Практически в любом месте в процессе исследования вы можете выбрать ссылку, которая открывает базовый запрос на панели журналов в контексте исследования. Если вы попали на панель журналов из одной из этих ссылок, соответствующий запрос отображается в окне запроса, а запрос выполняется автоматически и создает соответствующие результаты для изучения.
Вы также можете вызвать пустую панель журналов на странице сведений об инциденте в любое время, если вы думаете о запросе, который вы хотите попробовать при расследовании, при этом оставаясь в контексте. Для этого выберите "Журналы" в верхней части страницы .
Однако вы в конечном итоге на панели журналов , если вы выполнили запрос, результаты которого вы хотите сохранить, используйте следующую процедуру:
Пометьте флажок рядом с строкой, из которой вы хотите сохранить результаты. Чтобы сохранить все результаты, установите флажок в верхней части столбца.
Сохраните помеченные результаты в виде закладки. Это можно сделать одним из двух способов:
Выберите " Добавить закладку в текущий инцидент ", чтобы создать закладку и добавить ее в открытый инцидент. Следуйте инструкциям по закладке, чтобы завершить процесс. После завершения закладка появится на временной шкале инцидента.
Нажмите кнопку "Добавить закладку", чтобы создать закладку , не добавляя ее в любой инцидент. Следуйте инструкциям по закладке, чтобы завершить процесс. Вы можете найти эту закладку вместе с любыми другими пользователями, созданными на странице "Охота ", на вкладке "Закладки ". Там вы можете добавить его в этот или любой другой инцидент.
После создания закладки (или если вы решили не), нажмите кнопку "Готово ", чтобы закрыть панель журналов .
Например:
Развернуть или сосредоточиться на расследовании
Добавьте оповещения в инциденты для расширения или расширения области исследования. Кроме того, удалите оповещения из инцидентов, чтобы сузить или сосредоточиться на области исследования.
Дополнительные сведения см. в статье "Связь оповещений с инцидентами в Microsoft Sentinel" в портал Azure.
Визуальное изучение инцидентов с помощью графа исследования
Если вы предпочитаете визуальное, графическое представление оповещений, сущностей и соединений между ними в исследовании, вы можете выполнить многие из рассмотренных ранее действий с классическим графиком исследования. Недостатком графа является то, что вам приходится переключать контексты значительно больше.
На графе изучения представлены:
| Содержимое исследования | Description |
|---|---|
| Визуальный контекст из необработанных данных | Динамический визуальный граф отображает связи сущностей, извлеченные автоматически из необработанных данных. Это позволяет легко просматривать связи между разными источниками данных. |
| Полное обнаружение области исследования | Разверните область исследования с помощью встроенных запросов исследования, чтобы получить полную область нарушения. |
| Встроенные действия по расследованию | Используйте стандартные варианты изучения, чтобы убедиться, что вы задаете правильные вопросы перед лицом угрозы. |
Чтобы использовать граф исследования, выполните следующие действия.
Выберите инцидент, а затем щелкните Сведения. Откроется граф изучения. Граф предоставляет наглядную карту сущностей, непосредственно связанных с оповещением, и каждый ресурс, связанный дополнительно.
Внимание
Вы сможете исследовать инцидент только в том случае, если правило аналитики или закладка, созданная в ней, содержит сопоставления сущностей. Для работы с графом исследования требуется, чтобы исходный инцидент включал в себя сущности.
График расследования в настоящее время поддерживает расследование инцидентов до 30 дней.
Выберите сущность, чтобы открыть область Сущности, чтобы можно было просматривать сведения об этой сущности.
Разверните исследование, наведя указатель мыши на каждую сущность, чтобы выявить список вопросов, разработанных нашими экспертами по безопасности и аналитиками для каждого типа сущности, чтобы углубить расследование. Мы называем их запросами на изучение.
Например, можно запросить связанные оповещения. Если выбрать запрос на изучение, полученные в результате сущности будут добавлены в граф. В этом примере при выборе связанных оповещений в граф возвращаются следующие оповещения:
Связанные оповещения будут отображаться подключенными к сущности пунктирными линиями.
Для каждого запроса на изучение можно выбрать параметр, чтобы открыть необработанные результаты события и запрос, используемый в Log Analytics, выбрав События>.
Чтобы помочь вам понять инцидент, граф предоставляет параллельную временную шкалу.
Наведите указатель мыши на временную шкалу, чтобы увидеть, какие события на графе произошли в тот или иной момент времени.
Аудит событий инцидентов и добавление комментариев
При расследовании инцидента необходимо тщательно задокументировать принятые действия, как обеспечить точный отчет об управлении, так и обеспечить простое сотрудничество и совместную работу между коллегами. Вы также хотите четко просмотреть записи о любых действиях, принятых в отношении инцидента другими пользователями, в том числе автоматизированными процессами. Microsoft Sentinel предоставляет журнал действий, многофункциональную среду аудита и комментариев, чтобы помочь вам сделать это.
Вы также можете автоматически дополнить инциденты комментариями. Например, при запуске сборника схем по инциденту, который получает соответствующие сведения из внешних источников (например, проверка файла вредоносных программ в VirusTotal), вы можете разместить ответ внешнего источника ( а также любую другую информацию, которую вы определяете) в комментариях инцидента.
Журнал действий автоматически перекрашивается, даже при открытии, чтобы вы всегда могли видеть изменения в режиме реального времени. Вы также уведомляете о любых изменениях, внесенных в журнал действий при его открытии.
Необходимые условия
Редактирование: только автор комментария имеет разрешение на его изменение.
Удаление: только пользователи с ролью Участник Microsoft Sentinel имеют разрешение на удаление комментариев. Даже автору комментария необходима эта роль, чтобы удалить его.
Чтобы просмотреть журнал действий и комментариев, или добавить собственные комментарии:
- Выберите журнал действий в верхней части страницы сведений об инциденте.
- Чтобы отфильтровать журнал, чтобы отобразить только действия или только примечания, выберите элемент управления фильтра в верхней части журнала.
- Если вы хотите добавить комментарий, введите его в текстовом редакторе в нижней части панели журнала действий инцидента.
- Выберите "Комментарий ", чтобы отправить комментарий. Комментарий добавляется в верхней части журнала.
Поддерживаемые входные данные для комментариев
В следующей таблице перечислены ограничения для поддерживаемых входных данных в комментариях:
| Тип | Description |
|---|---|
| Текст | Комментарии в Microsoft Sentinel поддерживают текстовые входные данные в виде обычного текста, простой HTML и Markdown. Можно также вставить скопированный текст, HTML и Markdown в окно комментария. |
| Ссылки | Ссылки должны находиться в виде тегов привязки HTML, и они должны иметь параметр target="_blank". Вот несколько примеров.html<br><a href="https://www.url.com" target="_blank">link text</a><br>Если у вас есть сборники схем, которые создают комментарии в инцидентах, ссылки в этих комментариях также должны соответствовать этому шаблону. |
| Изображения | Изображения нельзя отправлять непосредственно в комментарии. Вместо этого вставьте ссылки на изображения в примечания для отображения встроенных изображений. Связанные изображения уже должны размещаться в общедоступном расположении, например Dropbox, OneDrive, Google Drive и т. д. |
| Ограничение размера |
Один комментарий может содержать до 30 000 символов. Один инцидент может содержать до 100 комментариев. Ограничение размера отдельной записи об инциденте в таблице SecurityIncident в Log Analytics составляет 64 КБ. Если это ограничение превышено, комментарии (начиная с самого раннего) усечены, что может повлиять на комментарии, которые отображаются в расширенных результатах поиска . Фактические записи инцидентов в базе данных инцидентов не затрагиваются. |
Следующий шаг
Исследование инцидентов с помощью данных UEBA
Связанный контент
Из этой статьи вы узнали, как приступить к изучению инцидентов с помощью Microsoft Sentinel. Дополнительные сведения см. в разделе: