在 Azure 入口網站 深入調查Microsoft Sentinel 事件
Microsoft Sentinel 事件是包含特定調查所有相關證據匯總的檔案。 每個事件都會根據分析規則所產生的證據(警示)或從產生自己警示的第三方安全性產品匯入而建立(或新增至事件)。 事件會繼承 警示中包含的實體 ,以及警示的屬性,例如嚴重性、狀態和 MITRE ATT&CK 策略和技術。
Microsoft Sentinel 可讓您在 Azure 入口網站 中提供完整的功能案例管理平臺,以調查安全性事件。 [ 事件詳細數據 ] 頁面是您執行調查的中央位置,收集所有相關信息,以及一個畫面中所有適用的工具和工作。
本文說明如何深入調查事件,協助您更快速、有效地、有效率地巡覽和調查事件,並減少平均解決時間(MTTR)。
![事件詳細數據頁面的螢幕快照,其中包含 [概觀] 索引標籤。](media/investigate-incidents/incident-details-overview.png#lightbox)
必要條件
需要 Microsoft Sentinel 回應者 角色指派,才能調查事件。
深入瞭解 Sentinel 中的角色Microsoft。
如果您有需要指派事件的來賓使用者,則必須將Microsoft Entra 租使用者中的目錄讀取者角色指派給使用者。 一般 (非規範) 用戶預設會指派此角色。
如果您目前正在檢視 事件詳細數據頁面的舊版體驗 ,請切換頁面右上方的新體驗,以繼續進行本文中新體驗的程式。
正確準備地面
當您設定以調查事件時,請組合您需要引導工作流程的專案。 您可以在事件頁面頂端的按鈕列上找到下列工具,位於標題下方。
選取 [工作] 以查看為此事件指派的工作,或新增您自己的工作。 工作可以改善SOC中的程序標準化。 如需詳細資訊,請參閱使用工作來管理 Microsoft Sentinel 中的事件。
選取 [活動記錄檔 ],以查看此事件上是否已採取任何動作,例如自動化規則,以及已做出的任何批注。 您也可以在這裡新增自己的註解。 如需詳細資訊,請參閱 稽核事件事件和新增批注。
選取 [記錄],隨時開啟事件頁面內的完整空白 Log Analytics 查詢視窗。 撰寫並執行查詢,無論是否相關,而不離開事件。 因此,每當你突然被靈感擊中去追逐一個想法,不要擔心中斷你的流程 -- 記錄在那裡給你。 如需詳細資訊,請參閱 深入了解記錄中的數據。
[ 事件動作] 按鈕也位於 [ 概觀 ] 和 [實體] 索引 卷標對面。 在這裡,您在 [事件] 方格頁面上的 [詳細數據] 窗格上的 [動作] 按鈕中,有先前所述的相同動作。 唯一遺漏 的是 [調查],這是在左側詳細數據面板上提供。
![事件詳細資料頁面上可用的 [事件動作] 按鈕螢幕快照。](media/investigate-incidents/incident-actions-button.png)
[事件動作] 按鈕下的可用動作包括:
| 動作 | 說明 |
|---|---|
| 執行劇本 | 在此事件上執行劇本,以採取特定的擴充、共同作業或響應動作。 |
| 建立自動化規則 | 建立自動化規則,此規則只會在類似此事件的事件上執行(由相同的分析規則所產生)。 |
| 建立小組 (預覽) | 在 Microsoft Teams 中建立小組,以跨部門與其他個人或小組共同作業以處理事件。 如果已經為此事件建立小組,此功能表項會顯示為 OpenTeams。 |
取得事件詳細數據頁面上的完整圖片
事件詳細數據頁面的左側面板包含您在方格右側 [事件] 頁面上看到的相同事件詳細數據資訊。 無論頁面的其餘部分顯示哪一個索引標籤,此面板一律會顯示在顯示器上。 您可以從該處檢視事件的基本資訊,並透過下列方式向下切入:
在 [辨識項] 底下,選取 [事件]、[警示] 或 [書籤],以在事件頁面中開啟 [記錄] 面板。 [ 記錄 ] 面板會顯示您選取的三個查詢中的哪一個,而且您可以深入查看查詢結果,而不會偏離事件。 選取 [完成] 以關閉窗格並返回您的事件。 如需詳細資訊,請參閱 深入了解記錄中的數據。
選取 [實體] 底下的任何專案,以顯示在 [實體] 索引卷標中。此處只會顯示事件中的前四個實體。 選取 [概觀] 索引標籤上的 [實體] 小工具或 [實體] 索引標籤,以查看其餘部分。如需詳細資訊,請參閱 [實體] 索引標籤。
選取 [調查] 以在圖形化調查工具中開啟事件,以圖表顯示事件所有元素之間的關聯性。
此面板也可以藉由選取 [擁有者] 下拉式清單旁邊的小型左指雙箭號,折疊成畫面的左邊界。 不過,即使處於此最小化狀態,您仍然可以變更擁有者、狀態和嚴重性。
其餘的事件詳細數據頁面分成兩個索引標籤: 概觀 和 實體。
[概觀] 索引標籤包含下列小工具,每個小工具都代表您調查的基本目標。
| 控件 | 說明 |
|---|---|
| 事件時程表 | 事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。 選取個別專案以查看其所有詳細數據,讓您進一步向下切入。 如需詳細資訊,請參閱 重新建構攻擊故事的時間軸。 |
| 類似的事件 | 在 [類似事件] 小工具中 ,您會看到最多 20 個最類似目前事件的其他事件集合。 這可讓您在較大的內容中檢視事件,並協助引導您的調查。 如需詳細資訊,請參閱 檢查環境中的類似事件。 |
| 實體 | [實體] 小工具會顯示警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型。 選取實體以查看其完整詳細數據,這些詳細數據會顯示在 [ 實體] 索引標籤中。如需詳細資訊,請參閱 探索事件的實體。 |
| 熱門深入解析 | 在 Top Insights 小工具中 ,您會看到Microsoft安全性研究人員所定義的查詢結果集合,這些查詢會根據來源集合的數據,提供事件中所有實體的寶貴和內容安全性資訊。 如需詳細資訊,請參閱 取得事件的最佳見解。 |
[實體] 索引標籤會顯示事件中實體的完整清單,這些實體也會顯示在 [概觀] 頁面上的 [實體] 小工具中。 當您在小工具中選取實體時,您會在這裡看到實體的完整檔案—其識別資訊、其啟用時間軸(事件內外),以及實體的完整深入解析集,就像您在實體的完整實體頁面中所看到的一樣,但僅限於事件適用的時間範圍。
重新建構攻擊故事的時間軸
事件 時間軸 小工具會顯示事件中的警示和 書籤 時間軸,可協助您重建攻擊者活動的時程表。
將滑鼠停留在任何圖示或不完整的文字元素上,以查看具有該圖示或文字元素全文檢索的工具提示。 由於小工具的寬度有限,顯示文字被截斷時,這些工具提示會派上用場。 請參閱此螢幕快照中的範例:
選取個別警示或書籤以查看其完整詳細數據。
警示詳細數據 包括警示的嚴重性和狀態、產生的分析規則、產生警示的產品、警示中提及的實體、相關聯的 MITRE ATT&CK 策略和技術,以及內部 系統警示標識符。
選取 [ 系統警示標識符 ] 鏈接,進一步向下切入警示,開啟 [ 記錄 ] 面板,並顯示產生結果的查詢,以及觸發警示的事件。
書籤詳細數據與警示詳細數據 不完全相同;雖然它們也包含實體、MITRE ATT&CK 策略和技術,以及 書籤標識符,但也包含原始結果和書籤建立者資訊。
選取 [ 檢視書籤記錄 ] 連結以開啟 [ 記錄 ] 面板,並顯示產生儲存為書籤結果的查詢。
從事件時間軸小工具,您也可以對警示和書籤採取下列動作:
在警示上執行劇本,以立即採取行動以減輕威脅。 有時候您需要在繼續調查之前封鎖或隔離威脅。 深入瞭解在警示上執行劇本。
從事件中移除警示。 如果您判斷事件不相關,您可以移除在事件建立之後新增至事件的警示。 深入瞭解如何從事件中移除警示。
從事件中移除書籤,或編輯書籤中可以編輯的欄位(未顯示)。
檢查環境中是否有類似的事件
身為安全性作業分析師,在調查事件時,您想要注意其較大的內容。
如同事件時程表小工具,您可以將滑鼠停留在任何因數據行寬度而未完全顯示的文字上,以顯示全文。
事件出現在類似事件清單中的原因會顯示在 [相似度原因 ] 資料行中。 將滑鼠停留在資訊圖示上以顯示一般專案(實體、規則名稱或詳細數據)。
取得事件的最佳見解
Microsoft Sentinel 的安全性專家有內建查詢,可自動詢問事件中實體的重大問題。 您可以在 [熱門深入解析] 小工具中看到 最上方的 解答,該小工具會顯示在事件詳細數據頁面右側。 此小工具會根據機器學習分析和安全性專家小組的策展,顯示深入解析的集合。
這些是實體頁面上出現的一些相同深入解析,特別針對協助您快速分級並了解威脅範圍而特別選取。 基於相同原因,事件中所有實體的深入解析會一起呈現,讓您更完整地瞭解所發生的情況。
熱門深入解析可能會有所變更,可能包括:
- 依帳戶的動作。
- 帳戶上的動作。
- UEBA 深入解析。
- 與使用者相關的威脅指標。
- 關注清單深入解析 (預覽)。
- 安全性事件的異常高數目。
- Windows 登入活動。
- IP 位址遠端連線。
- 符合 TI 的 IP 位址遠端連線。
每個深入解析(除了與關注清單相關的見解,目前除外)都有連結,您可以選取在事件頁面中開啟的 [記錄] 面板中開啟基礎查詢。 然後,您可以向下切入查詢的結果。
Top Insights 小工具的時間範圍是從事件中最早警示的 24 小時到最新警示的時間。
探索事件的實體
[實體] 小工具會顯示事件警示中已識別的所有實體。 這些是事件中扮演角色的物件,無論是使用者、裝置、位址、檔案或任何其他 類型。
您可以在實體小工具中搜尋實體清單,或依實體類型篩選清單,以協助您尋找實體。
![您可以從 [概觀] 索引卷標對實體採取的動作螢幕快照。](media/investigate-incidents/entity-actions-from-overview.png)
如果您已經知道特定實體是已知的入侵指標,請選取實體數據列上的三個點,然後選擇 [新增至 TI ] 將 實體新增至威脅情報。 (此選項適用於 支援的實體類型。)
如果您想要觸發特定實體的自動響應順序,請選取三個點,然後選擇 [執行劇本](預覽)。 (此選項適用於 支援的實體類型。)
選取實體以查看其完整詳細數據。 當您選取實體時,您會從 [ 概觀] 索引卷標 移至 [實體] 索引卷標,這是事件詳細數據頁面的另一個部分。
[實體] 索引標籤
[實體] 索引標籤會顯示事件中所有實體的清單。
如同實體小工具,此清單也可以依實體類型來搜尋和篩選。 在一個清單中套用的搜尋和篩選不會套用至另一個清單。
選取清單中要顯示在右側側邊面板中該實體信息的數據列。
如果實體名稱顯示為連結,選取實體的名稱會將您重新導向至事件調查頁面以外的完整 實體頁面。 若要只顯示側邊面板而不離開事件,請選取實體出現所在清單中的數據列,但不選取其名稱。
您可以在這裏採取與概觀頁面上小工具相同的動作。 選取實體數據列中的三個點,以執行劇本或將實體新增至您的威脅情報。
您也可以選取側邊面板底部 [檢視完整詳細數據] 旁的按鈕,以採取這些動作。 按鈕會 讀取 [新增至 TI]、 [執行劇本]、[預覽] 或 [實體動作],在此情況下,功能表會出現其他兩個選項。
[ 檢視完整詳細數據] 按鈕本身會將您重新導向至實體的完整實體頁面。
實體索引卷標邊窗格
選取 [實體] 索引卷標上的實體以顯示側邊窗格,並顯示下列卡片:
資訊 包含實體的識別資訊。 例如,對於使用者帳戶實體,這可能是像是用戶名稱、功能變數名稱、安全性標識碼(SID)、組織資訊、安全性資訊等等,以及IP位址,例如地理位置。
時間軸 包含功能此實體的警示、 書籤和 異常 清單,以及實體已執行的活動,如從實體出現的記錄中收集。 此實體的所有警示都會在此清單中, 不論警示是否 屬於此事件。
不屬於事件的警示會以不同的方式顯示:盾牌圖示呈現灰色、嚴重性色彩帶是虛線而非實線,而且警示列右側有加號的按鈕。
選取加號,將 警示新增至此事件。 當警示新增至事件時,所有警示的其他實體(尚未屬於事件的一部分)也會新增至該事件。 現在,您可以查看 這些 實體的相關警示時程表,進一步展開調查。
此時程表僅限於過去七天內的警示和活動。 若要進一步返回,請樞紐至完整實體頁面中的時程表,其時間範圍是可自定義的。
深入解析 包含Microsoft安全性研究人員所定義的查詢結果,這些查詢會根據來源集合的數據,提供實體的寶貴和內容安全性資訊。 這些深入解析包括 Top Insights 小工具中的深入解析,以及更多深入解析;它們與出現在完整 實體頁面上的相同深入解析,但在有限的時間範圍內:從事件中最早警示之前的 24 小時開始,並結束於最新警示的時間。
大部分深入解析都包含連結,當選取時,開啟 [記錄 ] 面板 ,顯示產生深入解析的查詢及其結果。
深入了解記錄中的數據
從調查體驗的幾乎任何地方,您都可以在調查內容中 ,選取在 [記錄 ] 面板中開啟基礎查詢的連結。 如果您從其中一個鏈接進入 [記錄] 面板,對應的查詢會出現在查詢視窗中,而且查詢會自動執行,並產生適當的結果供您探索。
您也可以隨時在事件詳細數據頁面內呼叫空的 [記錄] 面板,如果您認為您想要在調查時嘗試的查詢,同時留在內容中。 若要這樣做,請選取頁面頂端的 [ 記錄 ]。
不過,如果您已執行想要儲存其結果的查詢,請使用下列程式:
標記您要從結果中儲存的數據列旁的複選框。 若要儲存所有結果,請標記數據行頂端的複選框。
將標示的結果儲存為書籤。 您有兩個選項可完成此動作:
建立書籤之後(或如果您選擇不這麼做),請選取 [完成 ] 以關閉 [ 記錄 ] 面板。
例如:
![[記錄] 面板在事件詳細數據頁面中開啟的螢幕快照。](media/investigate-incidents/logs-panel.png#lightbox)
展開或專注您的調查
將警示新增至您的事件,以擴充或擴大調查範圍。 或者,從事件中移除警示以縮小範圍,或將焦點放在調查範圍。
如需詳細資訊,請參閱將警示關聯至 Azure 入口網站 中Microsoft Sentinel 中的事件。
使用調查圖表以可視化方式調查事件
如果您偏好可視化、圖形表示警示、實體,以及調查中它們之間的連線,您也可以完成先前與傳統調查圖表討論的許多事項。 圖表的缺點是,您最終必須更進一步地切換內容。
調查圖表向您提供以下資訊:
| 調查內容 | 說明 |
|---|---|
| 原始數據的視覺內容 | 即時可視化圖表會顯示從原始數據自動擷取的實體關聯性。 這可讓您輕鬆地查看不同數據源之間的連線。 |
| 完整調查範圍探索 | 使用內建的探索查詢展開調查範圍,以呈現缺口的完整範圍。 |
| 內建調查步驟 | 使用預先定義的探索選項,確定您在面對威脅時詢問正確的問題。 |
若要使用調查圖表:
選取事件,然後選取 [調查]。 這會將您引導至調查圖表。 此圖表提供直接連線至警示的實體,以及每個進一步連線資源的說明對應。
重要
只有在產生的分析規則或書籤包含實體對應時,您才能調查事件。 您的原始事件中必須包含實體,才能使用調查圖表。
調查圖表目前支持調查 長達 30 天的事件。
選取實體以開啟 [ 實體 ] 窗格,以便檢閱該實體的相關信息。
將滑鼠暫留在每個實體上,以顯示每個實體類型的安全性專家和分析師所設計的問題清單,以加深調查。 我們會呼叫這些選項 探索查詢。
例如,您可以要求相關的警示。 如果您選取探索查詢,產生的授權會新增回圖形。 在此範例中,選取 [相關警示 ] 會將下列警示傳回圖表:
查看相關警示會依虛線顯示到實體。
針對每個探索查詢,您可以選取選項來開啟原始事件結果,以及Log Analytics中使用的查詢,方法是選取 [事件>]。
為了瞭解事件,圖表會提供平行時間軸。
將滑鼠停留在時間軸上,以查看圖形上發生的時間點。
稽核事件事件並新增批注
在調查事件時,您想要徹底記錄您採取的步驟,既要確保向管理提供準確的報告,又能夠讓同事之間順暢地合作和共同作業。 您也想要清楚地看到其他人對事件採取之任何動作的記錄,包括自動化程式。 Microsoft Sentinel 提供 活動記錄、豐富的稽核和批注環境,以協助您完成這項作業。
您也可以使用批注自動擴充事件。 例如,當您在從外部來源擷取相關信息的事件上執行劇本時(例如,在 VirusTotal 檢查惡意代碼的檔案),您可以在事件批注中放置外部來源的回應,以及您定義的任何其他資訊。
活動記錄會自動重新整理,即使開啟,您隨時都能即時看到變更。 您也會在開啟活動記錄檔時收到任何變更的通知。
先決條件
編輯: 只有批注的作者才有權編輯它。
刪除: 只有具有 Microsoft Sentinel 參與者 角色的用戶有權刪除批注。 即使是批註的作者也必須有此角色才能刪除它。
若要檢視活動和批注的記錄,或新增您自己的批注:
- 選取 事件詳細數據頁面頂端的活動記錄 。
- 若要篩選記錄檔,只顯示活動或只顯示批注,請選取記錄頂端的篩選控件。
- 如果您想要新增批注,請在事件活動記錄面板底部的 RTF 編輯器中輸入批注。
- 選取 [ 批注 ] 以提交批注。 您的批註會在記錄的頂端新增。
批注支持的輸入
下表列出批注中支援的輸入限制:
| 類型 | 說明 |
|---|---|
| Text | Microsoft Sentinel 中的批注支援純文本、基本 HTML 和 Markdown 中的文字輸入。 您也可以複製的文字、HTML 和 Markdown 貼到批注視窗中。 |
| 連結 | 連結的格式必須是 HTML 錨點標記,而且必須具有 參數 target="_blank"。 例如::html<br><a href="https://www.url.com" target="_blank">link text</a><br>如果您有在事件中建立批注的劇本,這些批注中的鏈接也必須符合此範本。 |
| 影像 | 影像無法直接上傳至批注。 請改為在批注中插入影像的連結,以內嵌顯示影像。 連結的影像必須已裝載於可公開存取的位置,例如Dropbox、OneDrive、Google Drive等等。 |
| 大小限制 |
每個批注: 單一批注最多可以包含 30,000 個字元。 每個事件: 單一事件最多可以包含 100個批注。 Log Analytics 中 SecurityIncident 資料表中單一事件記錄的大小限制為 64 KB。 如果超過此限制,批注(從最早開始)會被截斷,這可能會影響出現在進階搜尋結果中的批注。 事件資料庫中的實際事件記錄不會受到影響。 |
後續步驟
相關內容
在本文中,您已瞭解如何開始使用 Microsoft Sentinel 調查事件。 如需詳細資訊,請參閱