Azure 入口網站 Microsoft Sentinel 事件調查
Microsoft Sentinel 提供完整的功能案例管理平台,以調查和管理安全性事件。 事件是Microsoft Sentinel 檔案的名稱,其中包含安全性威脅的完整且不斷更新的時序表,無論是個別的證據片段(警示)、嫌疑人和感興趣的各方(實體)、安全性專家和 AI/機器學習模型所收集及策劃的見解,或調查過程中採取之所有動作的批註和記錄。
Microsoft Sentinel 中的事件調查體驗從 [事件 ] 頁面開始,這是一種體驗,旨在讓您在一個地方提供調查所需的一切。 此體驗的主要目標是提高SOC的效率與有效性,減少其平均解決時間(MTTR)。
本文說明Microsoft Sentinel 事件調查和 Azure 入口網站 中的案例管理功能和功能,帶您完成一般事件調查的階段,同時呈現可供您協助您進行的所有顯示和工具。
必要條件
需要 Microsoft Sentinel 回應者 角色指派,才能調查事件。
深入瞭解 Sentinel 中的角色Microsoft。
如果您有需要指派事件的來賓使用者,則必須將Microsoft Entra 租使用者中的目錄讀取者角色指派給使用者。 一般 (非規範) 用戶預設會指派此角色。
增加 SOC 的成熟度
Microsoft Sentinel 事件可讓您藉由標準化程式並稽核事件管理,協助您提升安全性作業 (SecOps) 成熟度。
標準化您的程式
事件工作 是分析人員要遵循的工作工作流程清單,以確保統一的護理標準,並防止遺漏重要步驟:
SOC 經理 和工程師可以開發這些工作清單,並讓它們自動套用至不同的事件群組,或全面套用。
SOC 分析師 接著可以存取每個事件內指派的工作,並在完成時將其標示為關閉。
分析師也可以手動將工作新增至其開啟的事件,無論是自我提醒,還是其他可能共同作業事件分析師的利益 (例如,因為班次變更或升級)。
如需詳細資訊,請參閱使用工作來管理 Azure 入口網站 中 sentinel Microsoft事件。
稽核您的事件管理
事件活動記錄會追蹤由人類或自動化流程起始的事件所採取的動作,並顯示事件的所有註解。
您也可以在這裡新增自己的註解。 如需詳細資訊,請參閱調查Microsoft Azure 入口網站 中的 Sentinel 事件。
有成效且有效率地調查
首先: 作為分析師,您想要回答的最基本問題是,為什麼這一事件引起我的注意? 輸入事件的詳細資料頁面將會回答這個問題: 就在畫面中央,您會看到 [事件時間軸] 小工具。
使用Microsoft Sentinel 事件,以有效且有效率地使用事件時間軸調查安全性事件、從類似事件中學習、檢查最深入解析、檢視實體,以及探索記錄。
事件時程表
事件時程表是所有警示的日記,這些警示代表與調查相關的所有記錄事件,其發生順序。 時間軸也會顯示書籤、搜捕時收集的辨識項快照集,並新增至事件。
搜尋警示和書籤清單,或依嚴重性、策略或內容類型篩選清單(警示或書籤),以協助您尋找您想要追求的專案。 時間軸的初始顯示會立即告訴您其中每個項目的相關幾個重要事項,無論是警示還是書籤:
- 建立 警示或書籤的日期和時間 。
- 在圖示上暫留時,圖示和工具提示所指出的項目類型、警示或書籤。
- 警示或書籤的名稱,以粗體類型在專案的第一行。
- 警示的嚴重性,由左邊緣的色帶表示,並以文字形式表示於警示的三部分「副標題」開頭。
- 警示 提供者,位於子標題的第二個部分。 針對書籤,書籤 的建立者 。
- 與警示相關聯的 MITRE ATT&CK 策略 ,以圖示和工具提示表示,在子標題的第三部分中。
如需詳細資訊,請參閱 重新建構攻擊故事的時間軸。
類似事件的清單
如果您到目前為止在事件中看到的任何項目看起來都很熟悉,則可能有充分的理由。 Microsoft Sentinel 會顯示與開啟事件最相似的事件,讓您領先一步。
[類似事件] 小工具會顯示被視為類似事件的最相關資訊,包括其上次更新的日期和時間、上次擁有者、上次狀態 (包括關閉時、關閉原因),以及相似性的原因。
這可透過數種方式為您的調查帶來好處:
- 找出可能屬於較大攻擊策略一部分的並行事件。
- 使用類似事件作為您目前調查的參考點,查看其處理方式。
- 識別過去類似事件的擁有者,以受益於其知識。
例如,您想要查看這類其他事件是否發生在之前或現在發生。
- 您可能會想要識別可能屬於相同較大攻擊策略的並行事件。
- 您可能想要識別過去類似的事件,以將它們作為您目前調查的參考點。
- 您可能想要識別過去類似事件的擁有者、尋找SOC中可以提供更多內容的人員,或向誰呈報調查。
小工具會顯示 20 個最類似的事件。 Microsoft Sentinel 會根據常見的元素來決定哪些事件類似,包括實體、來源分析規則和警示詳細資料。 從這個小工具,您可以直接跳至這些事件的完整詳細資料頁面,同時保持與目前事件的連線不變。
相似性是根據下列準則來決定:
| 準則 | 描述 |
|---|---|
| 類似的實體 | 如果事件包含相同的 實體,就會被視為類似另一個事件。 兩個事件的共同實體越多,它們就越類似。 |
| 類似的規則 | 如果事件都是由相同的 分析規則所建立,就會被視為類似另一個事件。 |
| 類似的警示詳細數據 | 如果事件共用相同的標題、產品名稱和/或 [自定義詳細數據(surface-custom-details-in-alerts.md),就會被視為類似另一個事件。 |
事件相似性是根據事件中最後一個活動前 14 天的數據計算,這是事件中最近警示的結束時間。 每次您輸入事件詳細數據頁面時,事件相似度也會重新計算,因此,如果已建立或更新新事件,會話間的結果可能會有所不同。
如需詳細資訊,請參閱 檢查環境中的類似事件。
熱門事件深入解析
接下來,有所發生的事情 (或仍在發生) 的廣泛大綱,並更好地了解內容,您會好奇 Microsoft Sentinel 為您找到了哪些有趣的資訊。
Microsoft Sentinel 會自動詢問事件中實體的相關重大問題,並在事件詳細數據頁面右側顯示 Top Insights 小工具中最上方的解答。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。
這些是實體頁面上所顯示之深入解析的特別選取子集,但在此內容中,事件中所有實體的深入解析都會一起呈現,讓您更完整地了解所發生的情況。 每個實體的 [實體] 索引標籤上會顯示一組完整的深入解析,如下所示。
[頂層深入解析] 小工具會回答與其同儕和自己的歷程記錄、在關注清單上或威脅情報中存在,或與它相關的任何其他異常事件相關的實體相關問題。
這些深入解析大多包含詳細資訊的連結。 這些連結會在內容中開啟 [記錄] 面板,您可以在其中看到該深入解析的來源查詢及其結果。
相關實體清單
既然您已回答一些內容和一些基本問題,您會想要更深入地了解此故事中的主要玩家。
您的調查中,使用者名稱、主機名稱、IP 位址、檔案名稱和其他類型的實體都可以是「相關的人士」。 Microsoft Sentinel 會為您尋找所有項目,並在 [實體] 小工具的前面和中央沿著時間軸加以顯示。
從這個小工具中選取實體,以將您樞紐至相同事件頁面上 [實體] 索引卷標的實體清單,其中包含事件中所有實體的清單。
選取清單中的實體,以根據 實體頁面的信息開啟側邊面板,包括下列詳細數據:
資訊包含實體的基本資訊。 對於使用者帳戶實體,這可能是像是使用者名稱、網域名稱、安全性標識碼 (SID)、組織資訊、安全性資訊等等。
時間軸包含一份警示清單,其中包含此實體和實體已執行的活動,如從實體出現所在的記錄中收集。
深入解析包含與其行為相關之實體與其同儕和其歷史、其存在於關注清單或威脅情報中的存在,或與其相關的任何其他異常事件相關問題的解答。
這些答案是 Microsoft 安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的資料,針對實體提供寶貴的內容安全性資訊。
視實體類型而定,您可以從這個側邊面板採取一些進一步的動作,包括:
樞紐至實體的完整 實體頁面 ,以取得較長時間範圍的詳細數據,或啟動以該實體為中心的圖形調查工具。
執行劇本,在實體上採取特定回應或補救動作(預覽版)。
將實體分類為 入侵指標(IOC), 並將其新增至威脅情報清單。
某些實體類型目前支援上述每個動作,而不是針對其他實體類型。 下表顯示每個實體類型支援哪些動作:
| 可用動作 ▶ 實體類型 ▼ |
查看完整詳情 (在實體頁面中) |
新增至 TI * | 執行劇本* (預覽) |
|---|---|---|---|
| 使用者帳戶 | ✔ | ✔ | |
| 主機 | ✔ | ✔ | |
| IP 位址 | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| 網域名稱 | ✔ | ✔ | |
| 檔案 (雜湊) | ✔ | ✔ | |
| Azure 資源 | ✔ | ||
| IoT 裝置 | ✔ |
* 對於可供使用 [新增至 TI] 或 [執行劇本] 動作的實體 ,您可以從 [概觀] 索引標籤的 [實體] 小工具立即採取這些動作,絕不離開事件頁面。
事件記錄檔
探索事件記錄檔,以 深入瞭解確切發生什麼事?
從事件中幾乎任何區域,您可以向下切入事件中包含的個別警示、實體、深入解析和其他項目,檢視原始查詢及其結果。
這些結果會顯示在 [記錄檔] (記錄分析) 畫面中,此畫面會顯示為事件詳細資料頁面的面板延伸模組,因此您不會離開調查的內容。
具有事件的已組織記錄
為了透明度、責任和持續性,您會想要記錄事件上已採取的所有動作,無論是由自動化程式或人員所採取。 事件活動記錄會顯示所有這些活動。 您也可以看到任何已建立的註解,並新增您自己的註解。
活動記錄會持續自動重新整理,即使開啟,您也可以即時查看其變更。
相關內容
在本檔中,您已瞭解 Azure 入口網站 中Microsoft Sentinel 事件調查體驗如何協助您在單一內容中進行調查。 如需管理及調查事件的詳細資訊,請參閱下列文章:
- 在 Microsoft Sentinel 中使用實體頁面調查實體。
- 在 Microsoft Sentinel 中使用工作來管理事件
- 使用自動化規則將 Microsoft Sentinel 中的事件處理自動化。
- 使用 Microsoft Sentinel 中的使用者與實體行為分析 (UEBA) 識別進階威脅
- 搜捕安全性威脅。