Förstå incidenter

Slutförd

Teknikrelaterade hot mot en organisation kallas incidenter. Incidenthantering är den fullständiga processen för incidentutredning, från incidentskapande till djupgående undersökning och lösning. Microsoft Sentinel kan hjälpa IT-teamet att organisera, undersöka och spåra incidenter från skapande till lösning.

Du kan använda Microsoft Sentinel för att granska detaljerad incidentinformation, tilldela en incidentägare, ange och underhålla incidentens allvarlighetsgrad och hantera incidentstatus. Microsoft Sentinel tillhandahåller en fullständig miljö för incidenthantering för att hantera de här stegen.

Nyckelbegrepp

Det är viktigt att förstå följande viktiga begrepp för incidenthantering i Microsoft Sentinel:

  • Dataanslutningar. Du kan använda Microsoft Sentinel-dataanslutningar för att mata in och samla in data från säkerhetsrelaterade tjänster. Dataanslutningar kan samla in händelser från Linux- eller Windows-datorer som kör Log Analytics-agenten, från en Linux-syslog-server för enheter som brandväggar eller proxyservrar eller direkt från Microsoft Azure-tjänster. Dessa händelser vidarebefordras till en Log Analytics-arbetsyta som är associerad med Microsoft Sentinel.
  • Händelser. Microsoft Sentinel lagrar händelser på en Log Analytics-arbetsyta. Dessa händelser innehåller information om säkerhetsrelaterad aktivitet som du vill att Microsoft Sentinel ska övervaka.
  • Analysregler. Analysregler identifierar viktiga säkerhetshändelser och genererar aviseringar. Du kan skapa analysregler med hjälp av inbyggda mallar eller med hjälp av anpassade KQL-frågor (Kusto-frågespråk) mot Log Analytics-arbetsytor i Microsoft Sentinel.
  • Aviseringar. Analysregler genererar aviseringar när de identifierare viktiga säkerhetshändelser. Du kan konfigurera aviseringar för att generera incidenter.
  • Incidenter. Microsoft Sentinel skapar incidenter från analysregelaviseringar. Incidenter kan innehålla flera relaterade aviseringar. Du kan använda varje incident som en utgångspunkt och spårningsmekanism för undersökningar av säkerhetsproblem i din miljö.

Översiktssida för Microsoft Sentinel

Incidenthantering i Microsoft Sentinel börjar på sidan Översikt , där du kan granska den aktuella Microsoft Sentinel-miljön. Sidan Översikt visar en lista över de senaste incidenterna, tillsammans med annan viktig Microsoft Sentinel-information. Du kan använda den här sidan för att förstå den allmänna säkerhetssituationen innan du undersöker incidenter.

A screen capture of the Microsoft Sentinel Overview page.

Testa dina kunskaper

1.

Vilken Microsoft Sentinel-komponent genererar aviseringar?

2.

Vad är det primära målet med incidenthantering i Microsoft Sentinel?