通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 门户中浏览、会审和管理 Microsoft Sentinel 事件

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal

本文介绍了如何在 Azure 门户中浏览事件以及对它们运行基本会审。

先决条件

  1. 在 Microsoft Sentinel 导航菜单的“威胁管理”下,选择“事件”。

    “事件”页提供了所有待解决事件的基本信息。 例如:

    事件严重性视图的屏幕截图。

    • 在屏幕顶部,还有一个工具栏,上面列出了可在特定事件外部执行的操作(无论是作为整体在网格上还是在多个选定事件上执行)。 还可看到待解决事件的计数(无论是新事件还是活动事件),以及按严重性排列的待解决事件的计数。

    • 在中间的窗格中,有事件网格、一个事件列表(按列表顶部的筛选控件进行筛选)和一个用于查找特定事件的搜索栏。

    • 侧面有一个细节窗格,其中显示中间列表中突出显示的事件的重要信息,还显示用于针对该事件执行某些特定操作的按钮。

  2. 你的安全运营团队可能已经制定自动化规则,用于对新事件执行基本会审并将其分配给适当的人员。

    在这种情况下,按所有者筛选事件列表可将列表限制为分配给你或你的团队的事件。 筛选得到的此集合表示你的个人工作负载。

    否则,可自行执行基本会审。 首先,按可用的筛选条件(状态、严重性或产品名称)筛选事件列表。 有关详细信息,请参阅搜索事件

  3. 会审特定事件并直接通过“事件”页上的细节窗格立即对其执行初步操作,而无需转到事件的完整详细信息页。 例如:

    • 在 Microsoft Defender XDR 中调查 Microsoft Defender XDR 事件:按照在 Microsoft Defender XDR 中调查链接,透视到 Defender 门户中的并行事件。 你在 Microsoft Defender XDR 中对事件所做的任何更改将会同步到 Microsoft Sentinel 中的同一事件。

    • 打开已分配的任务列表:已为其分配任务的事件将显示已完成的任务计数和任务总数,还将显示一个“查看完整详细信息”链接。 按照链接打开“事件任务”页,查看此事件的任务列表。

    • 通过从“所有者”下拉列表中进行选择,将事件的所有权分配给用户或组。

      将事件分配给用户的屏幕截图。

      最近选择的用户和组将显示在所示下拉列表的顶部。

    • 通过从“状态”下拉列表中进行选择,更新事件的状态(例如,从“新”更新为“活动”或“已关闭”)。 关闭事件时,需要指定原因。 有关详细信息,请参阅关闭事件

    • 通过从“严重性”下拉列表中进行选择来更改事件的严重性。

    • 添加标记来对事件进行分类。 可能需要向下滚动到细节窗格的底部,查看在哪里添加标记。

    • 添加注释来记录操作、想法、问题等。 可能需要向下滚动到细节窗格的底部,查看在哪里添加注释。

  4. 如果细节窗格中的信息已足够提示进一步修正或缓解操作,请选择底部的“操作”按钮,执行以下操作之一:

    操作 说明
    调查 使用图形调查工具发现警报、实体和活动之间的关系,无论是在此事件中还是跨其他事件。
    运行 playbook 对此事件运行 playbook,来执行特定的扩充、协作或响应操作,例如 SOC 工程师可能已提供的操作。
    创建自动化规则 创建一个自动化规则,该规则在将来仅对此类事件(由同一分析规则生成的事件)运行,以减少未来的工作负载或考虑到需求的临时变化(例如,用于渗透测试)。
    创建团队(预览版) 在 Microsoft Teams 中创建团队,以便跨部门与其他个人或团队协作处理事件。

    例如:

    可在细节窗格中对事件执行的操作菜单的屏幕截图。

  5. 如需有关事件的详细信息,请在细节窗格中选择“查看完整详细信息”来打开并查看事件的全部详细信息,包括事件中的警报和实体、类似事件的列表以及选定的热门见解。

搜索事件

若要快速查找特定的事件,请在事件网格上方的搜索框中输入搜索字符串,然后按 Enter 修改相应显示的事件列表。 如果结果中未包含你的事件,可能需要使用“高级搜索”选项来缩小搜索范围。

若要修改搜索参数,请选择“搜索”按钮,然后选择要在其中运行搜索的参数。

例如:

事件搜索框以及用于选择基本和/或高级搜索选项的按钮的屏幕截图。

默认情况下,事件搜索只会针对“事件 ID”、“标题”、“标记”、“所有者”和“产品名称”值运行 。 在搜索窗格中向下滚动列表,以选择要搜索的一个或多个其他参数,然后选择“应用”更新搜索参数。 选择“设为默认选项”会将所选参数重置为默认选项。

注意

“所有者”字段中的搜索支持姓名和电子邮件地址。

使用高级搜索选项会使搜索行为发生以下变化:

搜索行为 说明
搜索按钮颜色 搜索按钮的颜色会根据搜索中当前使用的参数类型发生变化。
  • 只要选择默认参数,按钮就会变成灰色。
  • 一旦选择不同的参数(例如高级搜索参数),按钮就会变成蓝色。
自动刷新 使用高级搜索参数会阻止选择自动刷新结果。
实体参数 高级搜索支持所有实体参数。 在任何实体参数中进行搜索时,搜索将在所有实体参数中运行。
搜索字符串 搜索单词字符串会在搜索查询中包括所有单词。 搜索字符串区分大小写。
跨工作区支持 跨工作区视图不支持高级搜索。
显示的搜索结果数 使用高级搜索参数时,一次只会显示 50 条结果。

提示

如果找不到要查找的事件,请删除搜索参数以扩大搜索范围。 如果搜索结果包含过多的项,请添加更多筛选器以缩小结果范围。

关闭事件

解决了特定事件(例如调查已得出结论)之后,请将事件的状态设置为“已关闭”。 执行此操作时,系统将要求你指定关闭事件的原因来对事件进行分类。 此步骤是必需的。

单击“选择分类”,然后从下拉列表中选择下列其中一个:

  • 真正 - 可疑活动
  • 良正 - 可疑但符合预期
  • 假正 - 错误的警报逻辑
  • 假正 - 错误的数据
  • 未确定

突出显示“选择分类”列表中可用分类的屏幕截图。

有关假正和良性的详细信息,请参阅在 Microsoft Sentinel 中处理假正情况

选择相应分类后,在“注释”字段中添加一些说明性文本。 当需要参考此事件时,这将非常有用。 完成后选择“应用”,事件将关闭。

关闭事件的屏幕截图。

下一步

有关详细信息,请参阅在 Azure 门户中深入调查 Microsoft Sentinel 事件