事件管理
開始使用 Microsoft Sentinel 產生事件之後,您與 Contoso IT 小組就可以調查事件了。 Microsoft Sentinel 具有進階的調查和分析工具,您可以用來收集資訊並判斷補救步驟。
檢閱事件
若要找出並解決安全性問題,需要先調查所有事件。 Microsoft Sentinel 中的 [概觀] 頁面會提供最新的事件清單,以供快速參考。 如需事件的詳細資料和完整概觀,請使用 [事件] 頁面,其會顯示目前工作區中的所有事件,以及那些事件的詳細資料。
[事件] 頁面提供 Microsoft Sentinel 中的完整事件清單。 此頁面也會提供基本事件資訊。 資訊包括嚴重性、識別碼、標題、警示、產品名稱、建立時間、上次更新時間、擁有者和狀態。 您可依任何事件欄位排序,並依名稱、嚴重性、狀態、產品名稱或擁有者來篩選事件清單。
在此頁面中,您可採取各種步驟來調查事件。
重要
調查事件的 Microsoft Entra 使用者必須是「目錄讀取者」角色的成員。
檢查事件詳細資料
在 [事件] 頁面上選取任何事件,以在右窗格中顯示事件的詳細資訊。 此窗格會提供事件的描述,並列出相關的辨識項、實體和策略。 此窗格也包含關聯的活頁簿連結,以及產生事件的分析規則。 此資訊可協助您清楚地了解事件的性質、內容和動作過程。
![[事件詳細資料] 窗格的螢幕擷取畫面。](../../wwl-sci/incident-management-sentinel/media/5-incident-details.png)
在 [事件詳細資料] 窗格中,選取 [檢視完整詳細資料] 以開啟 [事件] 頁面,並查看事件的詳細資料。 您可以使用這些詳細資料,以進一步了解事件的內容。 例如,在暴力密碼破解攻擊事件中,您可能會移至警示的 Log Analytics 查詢,以判斷攻擊次數。
管理事件擁有權、狀態及嚴重性
Microsoft Sentinel 建立的每個事件都有可檢視和管理的附加中繼資料。 此資訊可讓您:
- 指派和追蹤事件擁有權。
- 設定並追蹤從建立到解決的事件狀態。
- 設定並檢閱嚴重性。
![顯示 [事件] 頁面區段的螢幕擷取畫面,您可在其中指派擁有權、狀態及嚴重性。](../../wwl-sci/incident-management-sentinel/media/5-incident-settings.png)
擁有權
在一般環境中,每個事件都應該由安全性小組指派一名擁有者。 事件擁有者負責整體事件管理,包括調查與狀態更新。 您可隨時變更擁有權,將事件指派給另一名資訊安全小組的成員,以進一步調查,或向上呈報。
狀態
在 Microsoft Sentinel 中建立的每個新事件,都會獲指派 [新增] 狀態。 當您檢閱並回應事件時,可以手動變更該狀態,以反映該事件的目前狀態。 針對調查中的事件,請將狀態設定為 [作用中]。 當事件完全解決後,請將狀態設定為 [已關閉]。
當您將狀態設為 [已關閉] 時,系統會提示您選擇下列其中一個解決方式:
- 確判為真 - 可疑的活動
- 良性為真 - 可疑但在預期內
- 誤判為真 - 不正確的警示邏輯
- 誤判為真 - 不正確的資料
- 未決定
嚴重性
產生事件的規則或 Microsoft 安全性來源一開始會設定嚴重性。 在大部分情況下,事件嚴重性會維持不變,但如果您判斷該事件較初始分類更加嚴重或較輕微,則可以變更嚴重性。 嚴重性選項有 [資訊]、[低]、[中] 和 [高]。
使用調查圖表
您可以在 [事件] 頁面上選取 [調查],以進一步調查事件。 此動作會開啟調查圖表,這是一種視覺化工具,可有助找出遭受攻擊的實體,以及這些實體之間的關聯性。 如果事件在一段時間內牽涉到多筆警示,您也可以檢閱警示時間表與警示之間的相互關聯。
檢閱實體詳細資料
您可選取圖表上的每個實體,以觀察實體的詳細資訊。 此資訊包括與其他實體的關聯性、帳戶使用方式,以及資料流程資訊。 針對每個資訊區域,您可以至 Log Analytics 中的相關事件,並將相關的警示資料新增至圖表。
檢閱事件詳細資料
您可以選取圖表上的事件項目,以觀察與事件的安全性及環境內容相關的事件中繼資料。