事件辨識項和實體
Microsoft Sentinel 會使用各種安全性資訊來源來建立事件。 您必須瞭解這些來源,以充分利用 Microsoft Sentinel 中的事件管理。
事件辨識項
事件 辨識項 包括安全事件資訊和相關聯的 Microsoft Sentinel 資產,這些資產可識別 Microsoft Sentinel 環境中的威脅。 辨識項顯示 Microsoft Sentinel 如何識別威脅,並連結回特定資源,以增加您對事件詳細資料的感知。
事件
事件會將您連結回與 Microsoft Sentinel 關聯的 Log Analytics 工作區中的一個或多個特定事件。 這些工作區通常包含數千個事件,因為數量龐大而無法進行人工剖析。
如果與 Microsoft Sentinel 分析規則連結的查詢傳回事件 (event),它會將事件 (event) 連結至產生的事件 (incident),以供進一步檢閱。 在進一步調查之前,您可使用這些事件 (event) 來了解事件 (incident) 的範圍及頻率。
警示
大部分的事件都是由分析規則警示所產生。 警示的範例包括:
- 可疑檔案偵測。
- 可疑使用者活動偵測。
- 嘗試提高權限。
分析規則會根據 Kusto 查詢語言 (KQL) 查詢,或直接連線到 Microsoft 安全性解決方案 (例如適用于雲端的 Microsoft Defender 或 Microsoft Defender 全面偵測回應) 來產生警示。 如果啟用警示分組,Microsoft Sentinel 便會包含事件的所有相關警示辨識項。
書籤
在調查事件 (incident) 時,您可能會識別您想要追蹤或標示以便稍後進行調查的事件 (event)。 您可以透過選擇一或多個事件,並將其指定為書籤,以保留 Log Analytics 中執行的查詢。 您也可以記錄備註與標籤,以有效通知未來的威脅搜捕程序。 您與小組成員都可以使用書籤。
事件實體
事件 實體 指的是與事件相關的網路或使用者資源。 您可使用實體作為進入點來探索與該實體建立關聯的所有警示及關聯性。
在調查事件時,實體關聯性相當有幫助。 您可使用實體來觀察與環境中特定使用者、主機或位址建立關聯的任何警示,而無須個別分析身分識別警示、網路警示及資料存取警示。
部分實體類型包括:
- 客戶
- Host
- IP
- URL
- FileHash
例如,實體可協助找出與下列各項關聯的警示;Contoso 中的特定使用者、該使用者的主機電腦,以及該使用者曾連線的其他主機。 您可判斷哪些 IP 位址與該使用者建立關聯,並公開哪些事件與警示可能來自於相同的攻擊。