你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 门户中的 Microsoft Sentinel 事件调查
Microsoft Sentinel 提供了功能齐备的整套案例管理平台用于调查和管理安全事件。 事件是 Microsoft Sentinel 文件的名称,这些文件包含完整且不断更新的安全威胁年表,包括单个证据片段(警报)、嫌疑人和利益相关方(实体)、安全专家和 AI /机器学习模型收集和特选的见解,以及调查过程中采取的所有操作的注释和日志等。
Microsoft Sentinel 中的事件调查体验始于“事件”页 - 这是一个全新的体验,旨在提供调查所需的一切信息。 此体验的主要目标是提高 SOC 的效率和有效性,并减少其平均解决时间 (MTTR)。
本文介绍 Microsoft Sentinel 的事件调查和案例管理功能,以及 Azure 门户的特性,讲解了典型事件调查的阶段,并展示了所有显示画面和有用的工具。
先决条件
需要分配 Microsoft Sentinel 响应者角色才能调查事件。
详细了解 Microsoft Sentinel 中的角色。
如果你的来宾用户需要分配事件,则必须在 Microsoft Entra 租户中为该用户分配目录读取者角色。 默认情况下,常规(非来宾)用户分配有此角色。
提高 SOC 的成熟度
Microsoft Sentinel 事件通过标准化流程和审核事件管理来帮助提高安全运营 (SecOps) 成熟度。
标准化流程
事件任务是供分析师遵循的任务工作流列表,以确保实施统一的管护标准来防止遗漏关键步骤:
SOC 经理和工程师可以制作这些任务列表,并使其适当地自动应用于不同的事件组或全局应用。
然后,SOC 分析师可以访问每个事件中分配的任务,并在任务完成时将其标记为关闭。
分析师还可以手动将任务添加到其未完成事件中,以提供自我提醒或者为其他可能就事件展开协作的分析师提供便利(例如,由于工作轮班或事务升级)。
有关详细信息,请参阅在 Azure 门户中使用任务管理 Microsoft Sentinel 中的事件。
审核事件管理
事件活动日志跟踪对事件采取的操作(无论是由用户还是自动化过程发起),并将这些操作与所有事件注释一起显示。
你也可以在此处添加自己的注释。 有关详细信息,请参阅在 Azure 门户中深入调查 Microsoft Sentinel 事件。
有效且高效地调查
首要工作:作为分析师,你要回答的最基本问题是,为何此事件会引起我的注意? 进入事件的详细信息页即可回答该问题:在屏幕中心,可以看到“事件时间线”小组件。
使用 Microsoft Sentinel 事件来有效高效地使用事件时间线调查安全事件,从相似事件中学习、研究重要见解、查看实体、浏览日志。
事件时间线
事件时间线是所有警报的日记,代表与调查相关的所有已记录事件(按事件发生顺序排列)。 时间线还显示书签,即在搜寻过程中收集并添加到事件的证据的快照。
搜索警报和书签列表,或者按严重性、策略或内容类型(警报或书签)筛选列表,以帮助你找到要查找的项。 无论是警报还是书签,最初显示时间线都会立即告诉你关于其中每个项的几项重要信息:
- 创建警报或书签的日期和时间。
- 将鼠标悬停在图标上时由图标和工具提示指示的项目类型(警报或书签)。
- 警报或书签的名称,在项的第一行上以粗体形式显示。
- 警报的严重性,由沿着左边缘的一个颜色带表示,并以文字形式显示在警报由三部分组成的“副标题”的开头。
- 警报提供者,位于副标题的第二部分。 对于书签,则显示书签的创建者。
- MITRE ATT&CK 策略与副标题的第三部分中图标和工具提示指示的警报关联。
有关详细信息,请参阅重新构建攻击情景的时间线。
相似事件的列表
如果到目前为止你在事件中看到的任何信息比较相似,那么可能会获得充分的理由。 Microsoft Sentinel 会显示与未处理事件最类似的事件,从而让你先行一步采取措施。
“相似事件”小组件显示被视为相似事件的最相关信息,包括上次更新日期和时间、上一所有者、上一状态(如果事件已关闭,则包括关闭原因),以及为何相似。
这可以在多个方面为调查提供便利:
- 辨识可能是属于更大攻击策略的并发事件。
- 使用相似事件作为当前调查的参考点 – 看看它们是如何处理的。
- 确定过去相似事件的所有者以从他们了解到的信息中受益。
例如,需要查看以前或现在是否发生过其他相似事件。
- 你可能想要识别属于同一种更大攻击策略的并发事件。
- 你可能想要识别过去发生的相似事件,将其用作当前调查的参照点。
- 你可能想要识别过去发生的相似事件的所有者,以查找 SOC 中可以提供更多上下文或者可以向其升级调查的人员。
该小组件显示 20 个最相似的事件。 Microsoft Sentinel 根据常用元素(包括实体、源分析规则和警报详细信息)来确定哪些事件是相似的。 从此小组件中,可以直接跳转到其中任一事件的完整详细信息页,同时与当前事件保持连接。
相似度根据以下条件确定:
| 条件 | 说明 |
|---|---|
| 相似实体 | 如果一个事件与另一个事件都包含相同的实体,则认为它们相似。 两个事件的共同实体越多,它们就越相似。 |
| 相似规则 | 如果一个事件与另一个事件都由同一分析规则创建,则认为它们相似。 |
| 相似的警报详细信息 | 如果一个事件与另一个事件具有相同的标题、产品名称和/或[自定义详细信息 (surface-custom-details-in-alerts.md)],则认为它们相似。 |
事件相似度是根据事件中发生最后一个活动前 14 天(事件中最近警报的结束时间)的数据计算的。 每次进入事件详细信息页时,事件相似度也会重新计算,因此如果创建或更新了新事件,则结果可能会因会话的不同而异。
有关详细信息,请参阅检查环境中的相似事件。
主要事件见解
接下来,在大致了解发生(或仍在发生)的问题并对上下文有更好的理解后,你会好奇 Microsoft Sentinel 已经为你找到了哪些有用的信息。
Microsoft Sentinel 会自动询问有关事件中实体的重要问题,并在事件详细信息页右侧的“主要见解”小组件中显示最相关的答案。 此小组件根据机器学习分析和顶级安全专家团队的特选信息显示一系列见解。
这些信息是显示在实体页上的见解的一个特选子集,但在此上下文中,事件中所有实体的见解会一起显示,让你更全面地了解正在发生的问题。 整套见解显示在每个独立实体的“实体”选项卡上 - 参阅下文。
“最相关见解”小组件回答有关实体的问题,包括与其对等方相比的行为及其自己的历史记录、它在监视列表或威胁情报中的存在状态,或与它相关的任何其他类型的异常事件。
其中的大多数见解都包含详细信息链接。 这些链接根据上下文打开“日志”面板,可在其中看到该见解的源查询及其结果。
相关实体列表
了解一些上下文并回答一些基本问题后,接下来可以更深入地了解事件的主要参与者。
用户名、主机名、IP 地址、文件名和其他类型的实体都可以成为调查中的“相关方”。 Microsoft Sentinel 会为你查找所有相关方,并将其显示在“实体”小组件前面和中间的时间线上。
从此小组件中选择一个实体,以将你转到该实体在同一事件页上的“实体”选项卡中的列表,其中包含该事件中的所有实体的列表。
在列表中选择一个实体以打开一个侧面板,其中包含基于实体页的信息,包括以下详细信息:
“信息”包含有关实体的基本信息。 对于用户帐户实体,这可能是用户名、域名、安全标识符 (SID)、组织信息、安全信息等。
“时间线”包含一个警报列表,其中显示了该实体以及该实体已完成的活动,这些信息是从出现该实体的日志中收集的。
“见解”包含有关实体的问题的答案,包括与其对等方相比的行为及其自己的历史记录、它在监视列表或威胁情报中的存在状态,或与它相关的任何其他类型的异常事件。
这些答案是 Microsoft 安全研究人员定义的查询的结果,它们根据源集合中的数据提供有关实体的有价值且区分上下文的安全信息。
在此侧面板中,可以根据实体类型进一步执行一些操作,包括:
转到实体的完整实体页以获取更长时间内的更多详细信息,或启动以该实体为中心的图形调查工具。
运行 playbook 以便对该实体采取特定的响应或修正操作(预览版)。
将实体分类为入侵指标 (IOC),并将其添加到威胁情报列表。
目前,某些实体类型支持其中的每个操作,而其他实体类型则不支持。 下表显示了哪些实体类型支持哪些操作:
| 可用操作 ▶ 实体类型 ▼ |
查看完整详细信息 (在实体页中) |
添加到 TI * | 运行 playbook * (预览版) |
|---|---|---|---|
| 用户帐户 | ✔ | ✔ | |
| 主机 | ✔ | ✔ | |
| IP 地址 | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| 域名 | ✔ | ✔ | |
| 文件(哈希) | ✔ | ✔ | |
| Azure 资源 | ✔ | ||
| IoT 设备 | ✔ |
* 对于支持“添加到 TI”或“运行 playbook”操作的实体,你可以直接从“概述”选项卡中的“实体”小组件执行这些操作,而无需退出事件页。
事件日志
浏览事件日志以深入获得详细信息,从而了解到底发生了什么?
从事件中几乎任何区域,可以向下钻取事件中包含的单个警报、实体、见解和其他项,查看原始查询及其结果。
这些结果显示在作为事件详细信息页的面板扩展的“日志”(日志分析)屏幕中,因此你不必离开调查上下文。
有序的事件记录
为实现透明度、问责制和连续性,需要记录对事件采取的所有操作 – 无论是自动化过程还是人工采取的操作。 事件活动日志会显示所有这些活动。 你还可以查看他人提供的任何注释并添加自己的注释。
即使活动日志处于打开状态,它也会不断自动刷新,因此你可以实时查看其更改。
相关内容
在本文档中,你已了解 Azure 门户中的 Microsoft Sentinel 事件调查体验如何帮助你在单个上下文中开展调查。 有关管理和调查事件的详细信息,请参阅以下文章:
- 在 Microsoft Sentinel 中使用实体页调查实体。
- 使用任务管理 Microsoft Sentinel 中的事件
- 在 Microsoft Sentinel 中使用自动化规则自动处理事件。
- 在 Microsoft Sentinel 中通过用户和实体行为分析 (UEBA) 来识别高级威胁
- 搜寻安全威胁。