Undersöka Microsoft Sentinel-incidenter på djupet i Azure Portal
Microsoft Sentinel-incidenter är filer som innehåller en aggregering av alla relevanta bevis för specifika undersökningar. Varje incident skapas (eller läggs till) baserat på bevis (aviseringar) som antingen genererades av analysregler eller importerades från säkerhetsprodukter från tredje part som producerar sina egna aviseringar. Incidenter ärver entiteterna i aviseringarna, samt aviseringars egenskaper, till exempel allvarlighetsgrad, status och MITRE ATT&CK-taktik och -tekniker.
Microsoft Sentinel ger dig en komplett, komplett plattform för ärendehantering i Azure Portal för att undersöka säkerhetsincidenter. Sidan Incidentinformation är din centrala plats där du kan köra din undersökning och samla in all relevant information och alla tillämpliga verktyg och uppgifter på en skärm.
Den här artikeln beskriver hur du undersöker en incident på djupet, hjälper dig att navigera och undersöka dina incidenter snabbare, effektivare och effektivare och minska tiden för att lösa problemet (MTTR).
Förutsättningar
Rolltilldelningen Microsoft Sentinel Responder krävs för att undersöka incidenter.
Läs mer om roller i Microsoft Sentinel.
Om du har en gästanvändare som behöver tilldela incidenter måste användaren tilldelas rollen Katalogläsare i din Microsoft Entra-klientorganisation. Vanliga (icke-användare) har den här rollen tilldelad som standard.
Om du för närvarande visar den äldre upplevelsen av incidentinformationssidan kan du växla till den nya upplevelsen längst upp till höger på sidan för att fortsätta med procedurerna i den här artikeln för den nya upplevelsen.
Förbered marken korrekt
När du konfigurerar för att undersöka en incident ska du sammanställa de saker du behöver för att dirigera arbetsflödet. Du hittar följande verktyg i ett knappfält överst på incidentsidan, precis under rubriken.
Välj Uppgifter om du vill se de aktiviteter som tilldelats för den här incidenten eller för att lägga till egna uppgifter. Uppgifter kan förbättra processstandardiseringen i din SOC. Mer information finns i Använda uppgifter för att hantera incidenter i Microsoft Sentinel.
Välj Aktivitetslogg för att se om några åtgärder redan har vidtagits för den här incidenten, till exempel av automatiseringsregler, och eventuella kommentarer som har gjorts. Du kan också lägga till egna kommentarer här. Mer information finns i Granska incidenthändelser och lägg till kommentarer.
Välj Loggar när som helst för att öppna ett fullständigt, tomt Log Analytics-frågefönster på incidentsidan. Skriv och kör en fråga, relaterad eller inte, utan att lämna incidenten. Så när du drabbas av plötslig inspiration att jaga en tanke, oroa dig inte för att avbryta ditt flöde - loggarna finns där för dig. Mer information finns i Fördjupa dig i dina data i Loggar.
Knappen Incidentåtgärder finns också mittemot flikarna Översikt och Entiteter . Här har du samma åtgärder som beskrevs tidigare som tillgängliga från knappen Åtgärder i informationsfönstret på rutnätssidan Incidenter . Den enda som saknas är Undersök, som är tillgänglig på den vänstra informationspanelen i stället.
De tillgängliga åtgärderna under knappen Incidentåtgärder är:
| Åtgärd | Beskrivning |
|---|---|
| Kör spelbok | Kör en spelbok om den här incidenten för att vidta särskilda beriknings-, samarbets- eller svarsåtgärder. |
| Skapa automatiseringsregel | Skapa en automatiseringsregel som endast körs på incidenter som den här (som genereras av samma analysregel) i framtiden. |
| Skapa team (förhandsversion) | Skapa ett team i Microsoft Teams för att samarbeta med andra personer eller team på olika avdelningar om att hantera incidenten. Om ett team redan har skapats för den här incidenten visas det här menyalternativet som Öppna Teams. |
Hämta hela bilden på sidan med incidentinformation
Den vänstra panelen på sidan incidentinformation innehåller samma information om incidenter som du såg på sidan Incidenter till höger om rutnätet. Den här panelen visas alltid, oavsett vilken flik som visas på resten av sidan. Därifrån kan du se incidentens grundläggande information och öka detaljnivån på följande sätt:
Under Bevis väljer du Händelser, aviseringar eller bokmärken för att öppna en loggpanel på incidentsidan. Panelen Loggar visas med frågan om vilken av de tre du har valt, och du kan gå igenom frågeresultatet på djupet, utan att pivotera bort från incidenten. Välj Klar för att stänga fönstret och återgå till din incident. Mer information finns i Fördjupa dig i dina data i Loggar.
Välj någon av posterna under Entiteter för att visa den på fliken Entiteter. Endast de första fyra entiteterna i incidenten visas här. Se resten av dem genom att välja Visa alla, eller i widgeten Entiteter på fliken Översikt eller på fliken Entiteter. Mer information finns på fliken Entiteter.
Välj Undersök för att öppna incidenten i det grafiska undersökningsverktyget som visar relationer mellan alla element i incidenten.
Den här panelen kan också komprimeras till vänstermarginalen på skärmen genom att välja den lilla, vänsterriktade dubbelpilen bredvid listrutan Ägare . Även i det här minimerade tillståndet kan du dock fortfarande ändra ägare, status och allvarlighetsgrad.
Resten av sidan med incidentinformation är uppdelad i två flikar, Översikt och Entiteter.
Fliken Översikt innehåller följande widgetar, som var och en representerar ett viktigt mål för din undersökning.
| Manick | Beskrivning |
|---|---|
| Tidslinje för incidenter | Widgeten Incidenttidslinje visar tidslinjen för aviseringar och bokmärken i incidenten, vilket kan hjälpa dig att rekonstruera tidslinjen för angriparens aktivitet. Välj ett enskilt objekt om du vill visa all information om det, så att du kan öka detaljnivån ytterligare. Mer information finns i Rekonstruera tidslinjen för attackberättelsen. |
| Liknande incidenter | I widgeten Liknande incidenter ser du en samling med upp till 20 andra incidenter som mest liknar den aktuella incidenten. På så sätt kan du visa incidenten i en större kontext och hjälpa dig att dirigera din undersökning. Mer information finns i Söka efter liknande incidenter i din miljö. |
| Entiteter | Widgeten Entiteter visar alla entiteter som har identifierats i aviseringarna. Det här är de objekt som spelade en roll i incidenten, oavsett om de var användare, enheter, adresser, filer eller andra typer. Välj en entitet om du vill se fullständig information som visas på fliken Entiteter. Mer information finns i Utforska incidentens entiteter. |
| De viktigaste insikterna | I widgeten Top insights ser du en samling resultat av frågor som definierats av Microsofts säkerhetsforskare som ger värdefull och sammanhangsberoende säkerhetsinformation om alla entiteter i incidenten, baserat på data från en samling källor. Mer information finns i Få de viktigaste insikterna om din incident. |
På fliken Entiteter visas en fullständig lista över entiteter i incidenten, som också visas i widgeten Entiteter på sidan Översikt . När du väljer en entitet i widgeten dirigeras du hit för att se entitetens fullständiga dokumentation – dess identifierande information, en tidslinje för dess aktivitet (både inom och utanför incidenten) och den fullständiga uppsättningen insikter om entiteten, precis som du skulle se på dess fullständiga entitetssida, men begränsad till den tidsram som är lämplig för incidenten.
Rekonstruera tidslinjen för attackberättelsen
Widgeten Incidenttidslinje visar tidslinjen för aviseringar och bokmärken i incidenten, vilket kan hjälpa dig att rekonstruera tidslinjen för angriparens aktivitet.
Hovra över valfri ikon eller ofullständigt textelement för att se en knappbeskrivning med den fullständiga texten i ikonen eller textelementet. Dessa knappbeskrivningar är praktiska när den text som visas trunkeras på grund av widgetens begränsade bredd. Se exemplet i den här skärmbilden:
Välj en enskild avisering eller ett bokmärke för att se fullständig information.
Aviseringsinformationen omfattar varningens allvarlighetsgrad och status, analysreglerna som genererade den, produkten som producerade aviseringen, de entiteter som nämns i aviseringen, tillhörande MITRE ATT&CK-taktik och -tekniker samt det interna systemaviserings-ID:t.
Välj länken Systemaviserings-ID för att öka detaljnivån ytterligare i aviseringen, öppna panelen Loggar och visa frågan som genererade resultatet och de händelser som utlöste aviseringen.
Bokmärkesinformation är inte exakt samma som aviseringsinformation. Även om de även innehåller entiteter, MITRE ATT&CK-taktiker och -tekniker samt bokmärkes-ID:t innehåller de även råresultatet och informationen om bokmärkets skapare.
Välj länken Visa bokmärkesloggar för att öppna panelen Loggar och visa frågan som genererade resultatet som sparades som bokmärke.
Från widgeten för incidenttidslinjen kan du också vidta följande åtgärder för aviseringar och bokmärken:
Kör en spelbok i aviseringen för att vidta omedelbara åtgärder för att minimera ett hot. Ibland måste du blockera eller isolera ett hot innan du fortsätter att undersöka. Läs mer om att köra spelböcker på aviseringar.
Ta bort en avisering från en incident. Du kan ta bort aviseringar som har lagts till i incidenter när de har skapats om du bedömer att de inte är relevanta. Läs mer om att ta bort aviseringar från incidenter.
Ta bort ett bokmärke från en incident eller redigera fälten i bokmärket som kan redigeras (visas inte).
Sök efter liknande incidenter i din miljö
När du undersöker en incident som säkerhetsanalytiker vill du vara uppmärksam på dess större kontext.
Precis som med widgeten för incidenttidslinjen kan du hovra över all text som visas ofullständigt på grund av kolumnbredden för att visa den fullständiga texten.
Orsakerna till att en incident visas i listan över liknande incidenter visas i kolumnen Likhetsorsak . Hovra över informationsikonen för att visa vanliga objekt (entiteter, regelnamn eller information).
Få de bästa insikterna om din incident
Microsoft Sentinels säkerhetsexperter har inbyggda frågor som automatiskt ställer viktiga frågor om entiteterna i din incident. Du kan se de vanligaste svaren i widgeten Top insights ( De viktigaste insikterna ) som visas till höger på sidan med incidentinformation. Den här widgeten visar en samling insikter baserat på både maskininlärningsanalys och kuration av toppteam av säkerhetsexperter.
Det här är några av de insikter som visas på entitetssidor, särskilt valda för att hjälpa dig att snabbt sortera och förstå omfattningen av hotet. Av samma anledning visas insikter för alla entiteter i incidenten tillsammans för att ge dig en mer fullständig bild av vad som händer.
De viktigaste insikterna kan komma att ändras och kan omfatta:
- Åtgärder per konto.
- Åtgärder för kontot.
- UEBA-insikter.
- Hotindikatorer relaterade till användaren.
- Titta på insikter (förhandsversion).
- Avvikande stort antal säkerhetshändelser.
- Windows-inloggningsaktivitet.
- Fjärranslutningar till IP-adresser.
- Fjärranslutningar för IP-adresser med TI-matchning.
Var och en av dessa insikter (förutom de som rör bevakningslistor för tillfället) har en länk som du kan välja för att öppna den underliggande frågan i panelen Loggar som öppnas på incidentsidan. Du kan sedan öka detaljnivån i frågans resultat.
Tidsramen för widgeten Top insights är från 24 timmar före den tidigaste aviseringen i incidenten fram till tidpunkten för den senaste aviseringen.
Utforska incidentens entiteter
Widgeten Entiteter visar alla entiteter som har identifierats i aviseringarna i incidenten. Det här är de objekt som spelade en roll i incidenten, oavsett om de var användare, enheter, adresser, filer eller andra typer.
Du kan söka i listan över entiteter i entitetswidgeten eller filtrera listan efter entitetstyp för att hitta en entitet.
Om du redan vet att en viss entitet är en känd indikator på kompromiss väljer du de tre punkterna på entitetens rad och väljer Lägg till i TI för att lägga till entiteten i hotinformationen. (Det här alternativet är tillgängligt för entitetstyper som stöds.)
Om du vill utlösa en automatisk svarssekvens för en viss entitet väljer du de tre punkterna och väljer Kör spelbok (förhandsversion). (Det här alternativet är tillgängligt för entitetstyper som stöds.)
Välj en entitet för att se dess fullständiga information. När du väljer en entitet flyttar du från fliken Översikt till fliken Entiteter, en annan del av sidan incidentinformation.
Fliken Entiteter
Fliken Entiteter visar en lista över alla entiteter i incidenten.
Precis som entitetswidgeten kan den här listan också sökas igenom och filtreras efter entitetstyp. Sökningar och filter som används i en lista gäller inte för den andra.
Välj en rad i listan för den entitetens information som ska visas i en sidopanel till höger.
Om entitetsnamnet visas som en länk omdirigeras du till den fullständiga entitetssidan om du väljer entitetens namn utanför sidan för incidentundersökning. Om du bara vill visa sidopanelen utan att lämna incidenten väljer du raden i listan där entiteten visas, men väljer inte dess namn.
Du kan utföra samma åtgärder här som du kan utföra från widgeten på översiktssidan. Välj de tre punkterna på raden i entiteten för att antingen köra en spelbok eller lägga till entiteten i din hotinformation.
Du kan också vidta dessa åtgärder genom att välja knappen bredvid Visa fullständig information längst ned på sidopanelen. Knappen läser antingen Lägg till i TI, Kör spelbok (förhandsversion) eller Entitetsåtgärder – i så fall visas en meny med de andra två alternativen.
Knappen Visa fullständig information omdirigerar dig till entitetens fullständiga entitetssida.
Fliksidan entiteter
Välj en entitet på fliken Entiteter för att visa en sidoruta med följande kort:
Informationen innehåller identifierande information om entiteten. För en användarkontoentitet kan det till exempel vara saker som användarnamn, domännamn, säkerhetsidentifierare (SID), organisationsinformation, säkerhetsinformation med mera, och för en IP-adress skulle det till exempel omfatta geoplats.
Tidslinjen innehåller en lista över aviseringar, bokmärken och avvikelser som innehåller den här entiteten, och även aktiviteter som entiteten har utfört, som samlas in från loggar där entiteten visas. Alla aviseringar med den här entiteten finns i den här listan, oavsett om aviseringarna tillhör den här incidenten eller inte .
Aviseringar som inte är en del av incidenten visas på ett annat sätt: sköldikonen är nedtonad, allvarlighetsgradsfärgsbandet är prickat i stället för en heldragen linje och det finns en knapp med ett plustecken till höger om aviseringens rad.
Välj plustecknet för att lägga till aviseringen i den här incidenten. När aviseringen läggs till i incidenten läggs även alla aviserings andra entiteter (som inte redan var en del av incidenten) till i den. Nu kan du utöka undersökningen ytterligare genom att titta på entiteternas tidslinjer för relaterade aviseringar.
Den här tidslinjen är begränsad till aviseringar och aktiviteter under de senaste sju dagarna. Om du vill gå längre tillbaka, pivotera till tidslinjen på den fullständiga entitetssidan, vars tidsram är anpassningsbar.
Insikter innehåller resultat av frågor som definierats av Microsofts säkerhetsforskare som tillhandahåller värdefull och kontextuell säkerhetsinformation om entiteter, baserat på data från en samling källor. De här insikterna inkluderar de från widgeten Top insights och många fler. De är samma som visas på den fullständiga entitetssidan, men över en begränsad tidsram: från 24 timmar före den tidigaste aviseringen i incidenten och slutar med tiden för den senaste aviseringen.
De flesta insikter innehåller länkar som, när de väljs, öppnar panelen Loggar och visar frågan som genererade insikten tillsammans med dess resultat.
Fördjupa dig i dina data i loggar
Från nästan var som helst i undersökningsmiljön kan du välja en länk som öppnar en underliggande fråga i panelen Loggar i samband med undersökningen. Om du kommer till panelen Loggar från någon av dessa länkar visas motsvarande fråga i frågefönstret, och frågan körs automatiskt och genererar lämpliga resultat som du kan utforska.
Du kan också anropa en tom loggpanel på sidan med incidentinformation när som helst, om du tänker på en fråga som du vill prova när du undersöker, medan du är kvar i kontexten. Det gör du genom att välja Loggar överst på sidan.
Men om du hamnar på panelen Loggar kan du använda följande procedur om du har kört en fråga vars resultat du vill spara:
Markera kryssrutan bredvid den rad som du vill spara bland resultaten. Om du vill spara alla resultat markerar du kryssrutan överst i kolumnen.
Spara de markerade resultaten som ett bokmärke. Du har två alternativ för att göra detta:
Välj Lägg till bokmärke i den aktuella incidenten för att skapa ett bokmärke och lägga till det i den öppna incidenten. Slutför processen genom att följa bokmärkesinstruktionerna. När det är klart visas bokmärket i tidslinjen för incidenten.
Välj Lägg till bokmärke för att skapa ett bokmärke utan att lägga till det i någon incident. Slutför processen genom att följa bokmärkesinstruktionerna. Du kan hitta det här bokmärket tillsammans med andra som du har skapat på sidan Jakt under fliken Bokmärken . Därifrån kan du lägga till den i den här eller någon annan incident.
När du har skapat bokmärket (eller om du väljer att inte göra det) väljer du Klar för att stänga panelen Loggar.
Till exempel:
Expandera eller fokusera din undersökning
Lägg till aviseringar till dina incidenter för att utöka eller bredda undersökningens omfattning. Du kan också ta bort aviseringar från dina incidenter för att begränsa eller fokusera undersökningens omfattning.
Mer information finns i Relatera aviseringar till incidenter i Microsoft Sentinel i Azure Portal.
Undersöka incidenter visuellt med hjälp av undersökningsdiagrammet
Om du föredrar en visuell, grafisk representation av aviseringar, entiteter och anslutningarna mellan dem i din undersökning kan du även utföra många av de saker som diskuterades tidigare med det klassiska undersökningsdiagrammet. Nackdelen med grafen är att du i slutändan måste byta kontext mycket mer.
Undersökningsdiagrammet ger dig följande:
| Undersökningsinnehåll | Beskrivning |
|---|---|
| Visuell kontext från rådata | Det visuella diagrammet live visar entitetsrelationer som extraheras automatiskt från rådata. På så sätt kan du enkelt se anslutningar mellan olika datakällor. |
| Fullständig identifiering av undersökningsomfång | Utöka undersökningsomfånget med hjälp av inbyggda utforskningsfrågor för att visa hela omfattningen av ett intrång. |
| Inbyggda undersökningssteg | Använd fördefinierade utforskningsalternativ för att se till att du ställer rätt frågor inför ett hot. |
Så här använder du undersökningsdiagrammet:
Välj en incident och välj sedan Undersök. Detta tar dig till undersökningsdiagrammet. Diagrammet innehåller en illustrativ karta över de entiteter som är direkt anslutna till aviseringen och varje resurs som är ansluten ytterligare.
Viktigt!
Du kan bara undersöka incidenten om analysregeln eller bokmärket som genererade den innehåller entitetsmappningar. Undersökningsdiagrammet förutsätter att den ursprungliga incidenten har entiteter.
Undersökningsdiagrammet stöder för närvarande undersökning av incidenter som är upp till 30 dagar gamla.
Välj en entitet för att öppna fönstret Entiteter så att du kan granska information om den entiteten.
Expandera din undersökning genom att hovra över varje entitet för att visa en lista med frågor som har utformats av våra säkerhetsexperter och analytiker per entitetstyp för att fördjupa din undersökning. Vi kallar dessa alternativ för utforskningsfrågor.
Du kan till exempel begära relaterade aviseringar. Om du väljer en utforskningsfråga läggs de resulterande berättigandena tillbaka till diagrammet. I det här exemplet returnerade valet av relaterade aviseringar följande aviseringar till diagrammet:
Se till att de relaterade aviseringarna verkar vara anslutna till entiteten med streckade linjer.
För varje utforskningsfråga kan du välja alternativet för att öppna råhändelseresultatet och frågan som används i Log Analytics genom att välja Händelser>.
För att förstå incidenten ger diagrammet dig en parallell tidslinje.
Hovra över tidslinjen för att se vilka saker i diagrammet som inträffade vid vilken tidpunkt.
Granska incidenthändelser och lägg till kommentarer
När du undersöker en incident vill du noggrant dokumentera de steg du vidtar, både för att säkerställa korrekt rapportering till ledningen och för att möjliggöra sömlöst samarbete mellan medarbetare. Du vill också tydligt se poster för alla åtgärder som andra vidtar på incidenten, bland annat av automatiserade processer. Microsoft Sentinel ger dig aktivitetsloggen, en omfattande gransknings- och kommentarsmiljö, som hjälper dig att åstadkomma detta.
Du kan också utöka dina incidenter automatiskt med kommentarer. När du till exempel kör en spelbok på en incident som hämtar relevant information från externa källor (t.ex. kontrollerar en fil efter skadlig kod på VirusTotal) kan du låta spelboken placera den externa källans svar – tillsammans med annan information som du definierar – i incidentens kommentarer.
Aktivitetsloggen återskapas automatiskt, även när den är öppen, så att du alltid kan se ändringar i realtid. Du får också ett meddelande om eventuella ändringar som gjorts i aktivitetsloggen när du har den öppen.
Förutsättningar
Redigering: Endast författaren till en kommentar har behörighet att redigera den.
Ta bort: Endast användare med rollen Microsoft Sentinel-deltagare har behörighet att ta bort kommentarer. Även kommentarens författare måste ha den här rollen för att kunna ta bort den.
Så här visar du loggen över aktiviteter och kommentarer eller lägger till egna kommentarer:
- Välj Aktivitetslogg överst på sidan med incidentinformation.
- Om du vill filtrera loggen så att den endast visar aktiviteter eller bara kommentarer väljer du filterkontrollen överst i loggen.
- Om du vill lägga till en kommentar anger du den i RTF-redigeraren längst ned i panelen Incidentaktivitetslogg .
- Välj Kommentar för att skicka kommentaren. Din kommentar läggs till överst i loggen.
Indata som stöds för kommentarer
I följande tabell visas begränsningar för indata som stöds i kommentarer:
| Typ | Beskrivning |
|---|---|
| Text | Kommentarer i Microsoft Sentinel stöder textinmatningar i oformaterad text, grundläggande HTML och Markdown. Du kan också klistra in kopierad text, HTML och Markdown i kommentarsfönstret. |
| Länkar | Länkar måste vara i form av HTML-fästpunkter och de måste ha parametern target="_blank". Till exempel::html<br><a href="https://www.url.com" target="_blank">link text</a><br>Om du har spelböcker som skapar kommentarer i incidenter måste länkarna i dessa kommentarer också överensstämma med den här mallen. |
| Bilder | Bilder kan inte laddas upp direkt till kommentarer. Infoga i stället länkar till bilder i kommentarer för att visa bilder infogade. Länkade bilder måste redan finnas på en offentligt tillgänglig plats som Dropbox, OneDrive, Google Drive och så vidare. |
| Storleksgräns | Per kommentar: En enskild kommentar kan innehålla upp till 30 000 tecken. Per incident: En enskild incident kan innehålla upp till 100 kommentarer. Storleksgränsen för en enskild incidentpost i tabellen SecurityIncident i Log Analytics är 64 KB. Om den här gränsen överskrids trunkeras kommentarer (från och med de tidigaste) vilket kan påverka de kommentarer som visas i avancerade sökresultat . De faktiska incidentposterna i incidentdatabasen påverkas inte. |
Gå vidare
Undersöka incidenter med UEBA-data
Relaterat innehåll
I den här artikeln har du lärt dig hur du kommer igång med att undersöka incidenter med Hjälp av Microsoft Sentinel. Mer information finns i: