Доказательства инцидентов и сущности

Завершено

Microsoft Sentinel использует различные источники сведений о безопасности, чтобы создавать инциденты. Эти источники необходимо понять, чтобы лучше всего использовать управление инцидентами в Microsoft Sentinel.

Свидетельство об инциденте

Доказательства инцидентов состоят из сведений о событиях безопасности и связанных ресурсов Microsoft Sentinel, которые определяют угрозы в среде Microsoft Sentinel. Доказательства показывают, как Microsoft Sentinel определил угрозу и ссылается на определенные ресурсы, которые могут повысить осведомленность о инциденте.

События

События связывают вас с одним или несколькими конкретными событиями из рабочей области Log Analytics, связанной с Microsoft Sentinel. Обычно в этих рабочих областях содержатся тысячи событий, которых слишком много для анализа вручную.

Если запрос, присоединенный к правилу аналитики Microsoft Sentinel, возвращает события, он присоединяет события к созданному инциденту для дальнейшего просмотра. Эти события можно использовать для понимания области и частоты инцидента перед дальнейшим расследованием.

видны узлы

Большинство инцидентов создается на основе предупреждений правил анализа. Ниже приведены примеры оповещений.

• Обнаружение подозрительных файлов.
• Обнаружение подозрительных действий пользователя.
• Попытки несанкционированного получения привилегий.

Правила аналитики создают оповещения на основе запросов язык запросов Kusto (KQL) или прямого подключения к решениям безопасности Майкрософт, таким как Microsoft Defender для облака или XDR в Microsoft Defender. Если вы включили группирование оповещений, Microsoft Sentinel будет включать все связанные оповестительные свидетельства для инцидента.

Закладки

При исследовании инцидента вы можете определить события, которые необходимо отслеживать или пометить для изучения в дальнейшем. Можно сохранить запросы, выполненные в Log Analytics, выбрав одно или несколько событий и указав их в качестве закладок. Вы также можете записывать заметки и теги, чтобы лучше информировать будущие процессы охоты на угрозы. Закладки доступны как вам, так и вашим коллегам.

Сущности инцидента

Сущность инцидента относится к сетевому или пользовательскому ресурсу, связанному с событием. Сущности можно использовать в качестве точек входа для просмотра всех предупреждений и корреляций, связанных с той или иной сущностью.

Связи между сущностями полезно изучать при исследовании инцидентов. Вместо анализа оповещений об удостоверениях, сетевых оповещений и оповещений о доступе к данным можно использовать сущности для наблюдения за всеми оповещениями, связанными с конкретным пользователем, узлом или адресом в вашей среде.

Некоторые типы сущностей включают:

• Учетная запись
• Хост
• IP-адрес
• URL
• FileHash

Например, сущности могут помочь определить все оповещения, связанные с конкретным пользователем в Contoso, хост-компьютере пользователя и других узлах, к которым подключен пользователь. Вы можете определить, какие IP-адреса связаны с этим пользователем, предоставляя сведения о событиях и оповещениях, которые могут быть частью одной атаки.

Проверьте свои знания

1.

Какие из следующих элементов являются доказательствами в инциденте Microsoft Sentinel?

IP-адрес .

Имя пользователя.

Событие.

Имя узла.

Вы должны ответить на все вопросы перед проверкой.