事件证据和实体
Microsoft Sentinel 使用各种安全信息源来创建事件。 你需要了解这些资源,以最好地利用 Microsoft Sentinel 中的事件管理。
事件证据
事件证据包括安全事件信息和相关的 Microsoft Sentinel 资产,这些资产可识别 Microsoft Sentinel 环境中的威胁。 证据显示 Microsoft Sentinel 如何识别威胁,并链接回可提高你对事件详细信息的认识的特定资源。
事件
事件会将你链接回与 Microsoft Sentinel 关联的 Log Analytics 工作区中的一个或多个特定事件。 这些工作区本身通常包含数千个事件,这些事件太多,无法手动解析。
如果附加到 Microsoft Sentinel 分析规则的查询返回事件,则它会将这些事件附加到生成的事件以供进一步检查。 在进一步调查之前,可以通过这些事件来了解事件的范围和频率。
警报
大多数事件都是由于分析规则警报而生成的。 警报示例包括:
- 检测可疑文件。
- 检测可疑用户活动。
- 尝试特权提升。
分析规则会基于 Kusto 查询语言 (KQL) 查询或与 Microsoft 安全解决方案(例如 Microsoft Defender for Cloud 或 Microsoft Defender XDR)的直接连接来生成警报。 如果启用警报分组,Microsoft Sentinel 会包含事件的任何相关警报证据。
书签
在调查事件时,可能会标识要跟踪或标记以供以后调查的事件。 可以通过选择一个或多个事件并将其指定为书签来保留在 Log Analytics 中运行过的查询。 还可以记录注释和标签,从而更好地为以后的威胁搜寻过程提供信息。 你和团队成员都可以使用书签。
事件实体
事件实体是指事件所涉及的网络或用户资源。 可以将实体用作切入点,来了解与实体关联的所有警报和关系。
实体关系在调查事件时很有用。 可以使用实体来观察和发现与环境中特定用户、主机或地址相关的任何警报,而不必分别分析标识警报、网络警报和数据访问警报。
一些实体类型包括:
- 帐户
- 主机
- IP
- URL
- FileHash
例如,实体可帮助识别与 Contoso 的特定用户、该用户的主机以及该用户已连接的其他主机相关的所有警报。 可以确定哪些 IP 地址与该用户相关联,从而确定涉及同一攻击的事件和警报。