共用方式為

在 Azure 入口網站 中巡覽、分級及管理Microsoft Sentinel 事件

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal

本文說明如何在 Azure 入口網站 中巡覽和執行事件的基本分級。

必要條件

  • 需要 Microsoft Sentinel 回應者 角色指派,才能調查事件。

    深入瞭解 Sentinel 中的角色Microsoft。

  • 如果您有需要指派事件的來賓使用者,則必須將Microsoft Entra 租使用者中的目錄讀取者角色指派給使用者。 一般 (非規範) 用戶預設會指派此角色。

  1. 從 [Microsoft Sentinel 導覽功能表的 [威脅管理] 底下,選取 [事件]。

    [ 事件] 頁面提供您所有開啟事件的基本資訊。 例如:

    事件嚴重性檢視的螢幕快照。

    • 在畫面頂端,您有一個工具列,其中包含可在特定事件之外採取的動作,無論是整體方格上,還是多個選取的事件。 您也有開啟事件的計數,無論是新的或作用中,以及依嚴重性開啟事件的計數。

    • 在中央窗格中,您有事件方格,這是事件清單頂端的篩選控件所篩選的事件清單,以及搜尋列來尋找特定事件。

    • 在側邊,您有一個詳細數據窗格,其中顯示中央清單中醒目提示之事件的重要資訊,以及針對該事件採取特定動作的按鈕。

  2. 您的安全性作業小組可能會有 自動化規則 ,以針對新事件執行基本分級,並將其指派給適當的人員。

    在此情況下,依 擁有者 篩選事件清單,將清單限制為您或小組指派的事件。 此篩選集代表您的個人工作負載。

    否則,您可以自行執行基本分級。 從篩選事件清單開始,依可用的篩選準則、狀態、嚴重性或產品名稱。 如需詳細資訊,請參閱 搜尋事件

  3. 從 [事件] 頁面上的詳細數據窗格中,立即對特定事件進行分級並立即採取初始動作,而不必輸入事件的完整詳細數據頁面。 例如:

    • 調查 Microsoft Defender 全面偵測回應 中的 Microsoft Defender 全面偵測回應 事件:請遵循 [在 Microsoft Defender 全面偵測回應 調查] 連結,以樞紐至 Defender 入口網站中的平行事件。 您在 Microsoft Defender 全面偵測回應 中對事件所做的任何變更,會同步至 Sentinel 中的相同事件Microsoft。

    • 開啟指派的任務清單: 已指派工作的事件會顯示已完成和總任務計數,以及 [ 檢視完整詳細數據] 連結。 請遵循連結來開啟 [事件工作 ] 頁面,以查看此事件的工作清單。

    • [擁有者] 下拉式清單中選取 ,將事件的擁有權指派給使用者或群組。

      將事件指派給用戶的螢幕快照。

      最近選取的使用者和群組會出現在圖片下拉式清單頂端。

    • 從 [狀態] 下拉式清單中選取 ,以更新事件的狀態(例如從 [新增] 更新為 [作用] 或 [已關閉]。 關閉事件時,您必須指定原因。 如需詳細資訊,請參閱 關閉事件

    • [嚴重性] 下拉式清單中選取 ,以變更事件的嚴重

    • 新增標籤 以分類您的事件。 您可能需要向下捲動至詳細數據窗格底部,以查看要新增卷標的位置。

    • 新增批註 以記錄您的動作、想法、問題等等。 您可能需要向下捲動至詳細數據窗格底部,以查看新增批注的位置。

  4. 如果詳細資料窗格中的資訊足以提示進一步補救或緩和動作,請選取 底部的 [動作 ] 按鈕以執行下列其中一項動作:

    動作 描述
    調查 使用圖形化調查工具來探索此事件內警示、實體和活動之間的關聯性,以及跨其他事件。
    執行劇本 在此事件上執行劇本,以採取特定的擴充、共同作業或回應動作,例如您的SOC工程師可能已提供。
    建立自動化規則 建立自動化規則,只針對這類事件執行(未來由相同分析規則產生),以減少您未來的工作負載,或考慮需求暫時變更(例如滲透測試)。
    建立小組 (預覽) 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。

    例如:

    可從詳細數據窗格對事件執行的動作功能表螢幕快照。

  5. 如果需要事件的詳細資訊,請選取 [詳細數據] 窗格中的 [檢視完整詳細數據] 以開啟並查看事件的完整詳細 數據,包括事件中的警示和實體、類似事件的清單,以及選取的最上層深入解析。

搜尋事件

若要快速尋找特定事件,請在事件方格上方的搜尋方塊中輸入搜尋字串,然後按 Enter 以修改據此顯示的事件清單。 如果您的事件未包含在結果中,您可能想要使用 進階搜尋選項縮小搜尋 範圍。

若要修改搜尋參數,請選取 [ 搜尋 ] 按鈕,然後選取您要在其中執行搜尋的參數。

例如:

事件搜尋方塊和按鈕的螢幕快照,可選取基本和/或進階搜尋選項。

根據預設,事件搜尋只會在事件標識碼、標題、標籤、擁有者和產品名稱值之間執行。 在搜尋窗格中,向下捲動清單以選取一或多個要搜尋的其他參數,然後選取 [ 套用 ] 以更新搜尋參數。 選取 [設定為預設 ] 會將選取的參數重設為預設選項。

注意

[擁有者] 欄位中的搜尋同時支援名稱和電子郵件位址。

使用進階搜尋選項會變更搜尋行為,如下所示:

搜尋行為 描述
搜尋按鈕色彩 搜尋按鈕的色彩會根據目前在搜尋中使用的參數類型而變更。
  • 只要只選取預設參數,按鈕就會呈現灰色。
  • 只要選取不同的參數,例如進階搜尋參數,按鈕就會變成藍色。
自動重新整理 使用進階搜尋參數可防止您選取以自動重新整理結果。
實體參數 進階搜尋支援所有實體參數。 在任何實體參數中搜尋時,搜尋會在所有實體參數中執行。
搜尋字串 搜尋單字字串包含搜尋查詢中的所有單字。 搜尋字串會區分大小寫。
跨工作區支援 跨工作區檢視不支援進階搜尋。
顯示的搜尋結果數目 當您使用進階搜尋參數時,一次只會顯示 50 個結果。

提示

如果您找不到您要尋找的事件,請移除搜尋參數以展開您的搜尋。 如果您的搜尋結果太多,請新增更多篩選以縮小結果範圍。

關閉事件

解決特定事件之後(例如,當您的調查得出結論時),請將事件的狀態設定為 [已關閉]。 當您這樣做時,系統會要求您指定關閉事件的原因來分類事件。 此步驟為必要步驟。

選取 [ 選取分類 ],然後從下拉式清單中選擇下列其中一項:

  • True Positive – 可疑活動
  • 良性正面 – 可疑但預期
  • 誤判 – 不正確的警示邏輯
  • 誤判 – 不正確的數據
  • 未決定

醒目提示 [選取分類] 列表中可用分類的螢幕快照。

如需誤判和良性正數的詳細資訊,請參閱 處理 Sentinel 中Microsoft誤判。

選擇適當的分類之後,請在 [ 批注 ] 字段中新增一些描述性文字。 這在您需要參考此事件的事件中很有用。 當您完成時,請選取 [套用 ],並關閉事件。

關閉事件的螢幕快照。

後續步驟

如需詳細資訊,請參閱 Azure 入口網站 深入調查Microsoft Sentinel 事件