Incidentbevis och entiteter

Slutförd

Microsoft Sentinel använder olika säkerhetsinformationskällor för att skapa incidenter. Du måste förstå dessa källor för att kunna använda incidenthantering på bästa sätt i Microsoft Sentinel.

Incidentbevis

Incidentbevis består av säkerhetshändelseinformation och relaterade Microsoft Sentinel-tillgångar som identifierar hot i Microsoft Sentinel-miljön. Bevis visar hur Microsoft Sentinel har identifierat ett hot och länkar tillbaka till specifika resurser som kan öka din medvetenhet om incidentinformation.

Event

Händelser länkar dig tillbaka till en eller flera specifika händelser från Log Analytics-arbetsytan som är associerad med Microsoft Sentinel. Dessa arbetsytor innehåller normalt tusentals händelser, som är för många för att kunna tolkas manuellt.

Om en fråga som är kopplad till en Microsoft Sentinel-analysregel returnerar händelser bifogas händelserna till den genererade incidenten för eventuell ytterligare granskning. Du kan använda dessa händelser för att förstå omfånget och frekvensen för incidenten innan du undersöker vidare.

Aviseringar

De flesta incidenter genereras på grund av en analysregelavisering. Exempel på aviseringar är:

• Identifiering av misstänkta filer.
• Identifiering av misstänkta användaraktiviteter.
• Försök till behörighetshöjning.

Analysregler genererar aviseringar baserat antingen på Kusto-frågespråk (KQL) frågor eller direkt anslutning till Microsoft Security-lösningar som Microsoft Defender för molnet eller Microsoft Defender XDR. Om du aktiverar aviseringsgruppering innehåller Microsoft Sentinel eventuella relaterade aviseringsbevis för incidenten.

Bokmärken

När du undersöker en incident kan det hända att du identifierar händelser som du vill spåra eller markera för senare undersökning. Du kan spara frågorna som körs i Log Analytics genom att välja en eller flera händelser och ange dem som bokmärken. Du kan också registrera anteckningar och taggar för att bättre informera framtida hotjaktsprocesser. Det finns bokmärken för dig och dina arbetskamrater.

Incidententiteter

En incidententitet refererar till ett nätverk eller en användarresurs som är involverad i en händelse. Du kan använda entiteter som utgångspunkter för att utforska alla aviseringar och korrelationer associerade med den entiteten.

Entitetsrelationer är användbara när du undersöker incidenter. I stället för att analysera identitets-, nätverks- och dataåtkomstaviseringar separat kan du använda entiteter för att observera aviseringar associerade med en viss användare, värd eller adress i din miljö.

Några entitetstyper är:

• Konto
• Host
• IP
• webbadress
• FileHash

Entiteter kan till exempel hjälpa dig att identifiera alla aviseringar som är associerade med en specifik användare på Contoso, användarens värddator och andra värdar som användaren har anslutit till. Du kan avgöra vilka IP-adresser som är associerade med den användaren och visa vilka händelser och aviseringar som kan ingå i samma attack.

Testa dina kunskaper

1.

Vilket av följande är bevis i en Microsoft Sentinel-incident?

IP-adress.

Användarnamn.

Händelse.

Värdnamn.

Du måste svara på alla frågor innan du kontrollerar ditt arbete.

Fortsätt