Управление инцидентами

Завершено

После того как вы начнете использовать Microsoft Sentinel для создания инцидентов, ит-специалисты компании Contoso могут изучить инциденты. Microsoft Sentinel имеет расширенные средства исследования и анализа, которые можно использовать для сбора информации и определения шагов по исправлению.

Изучение инцидентов

Чтобы выявить и устранить проблемы безопасности, сначала изучите все инциденты. На странице обзора Microsoft Sentinel представлен список последних инцидентов для быстрого получения справки. Дополнительные сведения и полный обзор инцидентов см . на странице "Инциденты ", где отображаются все инциденты в текущей рабочей области и подробные сведения об этих инцидентах.

На странице Инциденты содержится полный список инцидентов в Microsoft Sentinel. На странице также содержатся основные сведения об инциденте. Сведения включают серьезность, идентификатор, название, оповещения, имена продуктов, время создания, время последнего обновления, владелец и состояние. Можно выполнить сортировку по любому столбцу инцидента и отфильтровать список инцидентов по имени, уровню серьезности, состоянию, названию продукта или владельцу.

На этой странице можно выполнить различные действия для исследования инцидентов.

Внимание

Пользователи Microsoft Entra, которые расследуют инциденты, должны быть членами роли читателя каталогов.

Просмотр сведений об инциденте

Выберите любой инцидент на странице "Инциденты" , чтобы отобразить дополнительные сведения об инциденте на правой панели. В этой области представлено описание инцидента и перечислены связанные доказательства, сущности и тактика. В области также содержатся ссылки на связанные книги и правило аналитики, создавшее инцидент. Эта информация поможет вам уточнить характер, контекст и ход действий по инциденту.

В области сведений об инциденте выберите "Просмотреть полные сведения ", чтобы открыть страницу "Инцидент " и просмотреть дополнительные сведения об инциденте. Эти сведения можно использовать для лучшего понимания контекста инцидента. Например, в инциденте атаки методом подбора можно перейти к запросу Log Analytics для оповещения, чтобы определить количество атак.

Управление владением, состоянием и уровнем серьезности инцидента

Каждый инцидент Microsoft Sentinel создает вложенные метаданные, которые можно просматривать и управлять ими. Эти сведения позволяют:

• Назначение и отслеживание владения инцидентами.
• настроить состояние инцидента от создания до устранения и отслеживать его;
• настроить уровень серьезности и просматривать сведения о нем;

Тип собственности

В обычной среде каждый инцидент должен быть назначен владельцу команды безопасности. Владелец инцидента отвечает за общее управление инцидентами, включая исследования и обновления состояния. Вы можете в любое время изменить владельца, чтобы назначить инцидент другому члену группы безопасности для дальнейшего исследования или эскалации.

Состояние

Каждому инциденту, создаваемому в Microsoft Sentinel, назначается состояние Новый. При проверке и реагировании на инциденты вручную измените состояние, чтобы отразить текущее состояние инцидента. Для исследуемых инцидентов установите состояние Активный. Когда инцидент будет полностью устранен, установите для него состояние Закрыт.

При установке состояния "Закрыто" вам будет предложено выбрать одно из следующих разрешений:

• Истинное положительное — подозрительное действие
• Доброкачественный положительный - подозрительный, но ожидаемый
• Ложное срабатывание — неправильная логика оповещений
• Ложный положительный результат — неточные данные
• Неидентифицированный

Важность

Правило или источник безопасности Майкрософт, создавшего инцидент, изначально задает серьезность. В большинстве случаев серьезность инцидентов остается неизменной, но вы можете изменить серьезность, если вы решите, что инцидент более или менее серьезный, чем первоначально классифицирован. Параметры серьезности: информационные, низкие, средние и высокие.

использование графа изучения;

Чтобы продолжить расследование инцидента, выберите "Исследовать" на странице "Инцидент". При выборе этого действия открывается аналитический граф — визуальное средство, которое помогает определить сущности, участвующие в атаке, и связи между этими сущностями. Если инцидент включает несколько оповещений, возникших с течением времени, можно также просматривать временную шкалу оповещений и связи между ними.

Просмотр сведений о сущности

Вы можете выбрать каждую сущность на графе, чтобы просмотреть дополнительные сведения об этой сущности. Эта информация включает связи с другими сущностями, а также сведения об использовании учетной записи и потоке данных. Для каждой области сведений можно перейти к связанным событиям в Log Analytics и добавить связанные данные оповещений на граф.

Просмотр сведений об инциденте

Вы можете выбрать элемент инцидента на графе, чтобы наблюдать за метаданными инцидентов, связанными с контекстом безопасности и среды инцидента.

Проверьте свои знания

1.

Чтобы передать инцидент в следующую группу безопасности уровня, какой параметр инцидента следует изменить?

Уровень серьезности.

Состояние

Владелец.

Имя пользователя.

2.

Какой интерфейс Microsoft Sentinel позволяет просматривать временные шкалы и связи между ресурсами инцидентов?

График исследования.

Страница сведений об инциденте.

Страница связей ресурсов.

Состояние инцидента.

Вы должны ответить на все вопросы перед проверкой.