事件管理
开始使用 Microsoft Sentinel 生成事件后,你和 Contoso 的 IT 团队就可以调查这些事件。 Microsoft Sentinel 具有高级调查和分析工具,可用于收集信息并确定修正步骤。
查看事件
若要确定和解决安全问题,首先对任意事件展开调查。 Microsoft Sentinel“概述”页面提供了最新事件的列表,以供快速参考。 有关事件的更多详细信息和完整概述,可使用“事件”页面,该页面显示当前工作区中的所有事件以及有关这些事件的详细信息。
“事件”页面提供 Microsoft Sentinel 中事件的完整列表。 该页还提供基本事件信息。 信息包括严重性、ID、标题、警报、产品名称、创建时间、上次更新时间、所有者和状态。 可以按任何事件列进行排序,并按名称、严重性、状态、产品名称或所有者筛选事件列表。
在此页面上,可以采取各种步骤来调查事件。
重要
调查事件的 Microsoft Entra 用户必须是目录读者角色的成员。
检查事件详细信息
在“事件”页上选择任意事件,可在右窗格中显示有关该事件的详细信息。 该窗格提供了事件描述,列出了相关证据、实体和策略。 它还包含相关工作簿和生成事件的分析规则的链接。 此信息可以帮助确定事件的性质、背景信息和行动步骤。
在“事件详细信息”窗格中,选择“查看完整详细信息”以打开“事件”页,然后查看有关该事件的更多详细信息。 可以使用这些详细信息,更好地了解事件的背景信息。 例如,在暴力攻击事件中,可以转到警报对应的 Log Analytics 查询,确定攻击次数。
管理事件所有者、状态和严重性
Microsoft Sentinel 创建的每个事件都有可查看和管理的附加元数据。 了解这些信息后,你能够:
- 分配和跟踪事件所有权。
- 设置并跟踪事件从创建到解决的状态。
- 设置并检查严重性。
所有权
在典型的环境中,应该为每个事件分配一个来自安全团队的事件所有者。 事件所有者负责整体事件管理,包括调查和状态更新。 可以随时更改所有者,以将事件分配给其他安全团队成员,以进行进一步调查或升级。
状态
在 Microsoft Sentinel 中创建的每个新事件都被分配了“新建”状态。 查看和响应事件时,需要手动更改状态以反映事件的当前状态。 对于正在调查的事件,将状态设置为“活动”。 完全解决事件后,将状态设置为“关闭”。
将状态设置为“关闭”时,系统将提示选择以下解决方法之一:
- 真正 - 可疑活动
- 良性 - 可疑但符合预期
- 假正 - 错误警报逻辑
- 假正 - 不准确数据
- 未确定
严重性
最初由生成事件的规则或 Microsoft 安全源设置严重性。 在大多数情况下,事件的严重性将保持不变,但是如果确定事件的严重性比最初确定的严重性高或低,可以更改严重性。 严重性选项有信息性、低、中和高。
使用调查图
可以通过在“事件”页面中选择“调查”来对事件进行进一步调查。 此操作将打开调查关系图,这是一个视觉工具,可帮助你识别攻击涉及的实体以及这些实体之间的关系。 如果事件在一段时间内涉及多个警报,还可以查看警报时间线以及警报之间的相关性。
查看实体详细信息
可以选择图上的每个实体来发现有关该实体的更多信息。 此信息提供与其他实体的关系、帐户使用情况和数据流信息。 对于每个信息区域,可以转到 Log Analytics 中的相关事件,并将相关警报数据添加到图中。
查看事件详细信息
可以在图形上选择事件项,以观察与事件的安全性和环境相关的事件元数据。