Undersøg hændelser med Microsoft Sentinel (ældre)

  • Gælder for: Microsoft Sentinel in the Azure portal

Denne artikel hjælper dig med at bruge Microsoft Sentinel ældre oplevelse af undersøgelse af hændelser. Hvis du bruger den nyere version af grænsefladen, skal du bruge det nyere sæt instruktioner, der matcher. Du kan finde flere oplysninger under Naviger og undersøg hændelser i Microsoft Sentinel.

Når du har oprettet forbindelse mellem dine datakilder og Microsoft Sentinel, vil du have besked, når der sker noget mistænkeligt. Hvis du vil gøre det, kan du Microsoft Sentinel oprette avancerede analyseregler, der genererer hændelser, som du kan tildele og undersøge.

En hændelse kan indeholde flere beskeder. Det er en sammenlægning af alle de relevante beviser for en bestemt undersøgelse. Der oprettes en hændelse baseret på analyseregler, som du har oprettet på siden Analytics . De egenskaber, der er relateret til beskederne, f.eks. alvorsgrad og status, angives på hændelsesniveau. Når du har ladet Microsoft Sentinel vide, hvilke typer trusler du leder efter, og hvordan du finder dem, kan du overvåge registrerede trusler ved at undersøge hændelser.

Vigtigt!

De noterede funktioner findes i øjeblikket i PRØVEVERSION. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Forudsætninger

  • Du kan kun undersøge hændelsen, hvis du brugte felterne til objekttilknytning, da du konfigurerede din analyseregel. Undersøgelsesgrafen kræver, at den oprindelige hændelse indeholder enheder.

  • Hvis du har en gæstebruger, der skal tildele hændelser, skal brugeren tildeles rollen Mappelæser i din Microsoft Entra lejer. Almindelige (ikke-godkendte) brugere har som standard tildelt denne rolle.

Sådan undersøges hændelser

  1. Vælg Hændelser. På siden Hændelser kan du se, hvor mange hændelser du har, og om de er nye, aktive eller lukkede. For hver hændelse kan du se det tidspunkt, hvor den indtraf, og status for hændelsen. Se alvorsgraden for at afgøre, hvilke hændelser der skal håndteres først.

    Skærmbillede af visning af hændelsens alvorsgrad.

  2. Du kan filtrere hændelserne efter behov, f.eks. efter status eller alvorsgrad. Du kan finde flere oplysninger under Søg efter hændelser.

  3. Hvis du vil starte en undersøgelse, skal du vælge en bestemt hændelse. Til højre kan du se detaljerede oplysninger om hændelsen, herunder dens alvorsgrad, en oversigt over antallet af involverede enheder, de rå hændelser, der udløste denne hændelse, hændelsens entydige id og eventuelle tilknyttede MITRE ATT-&CK-taktikker eller teknikker.

  4. Hvis du vil have vist flere oplysninger om beskeder og enheder i hændelsen, skal du vælge Få vist alle detaljer på hændelsessiden og gennemse de relevante faner, der opsummerer hændelsesoplysningerne.

    Skærmbillede af visning af beskedoplysninger.

    • Hvis du i øjeblikket bruger den nye oplevelse, kan du slå den fra øverst til højre på siden med oplysninger om hændelser for at bruge den ældre oplevelse i stedet.

    • Gennemse tidslinjen for beskeder og bogmærker i hændelsen under fanen Tidslinje , som kan hjælpe dig med at genskabe tidslinjen for hackeraktivitet.

    • Under fanen Lignende hændelser (prøveversion) kan du se en samling på op til 20 andre hændelser, der ligner mest den aktuelle hændelse. Dette giver dig mulighed for at få vist hændelsen i en større kontekst og hjælper med at lede din undersøgelse. Få mere at vide om lignende hændelser nedenfor.

    • Gennemse de beskeder, der er inkluderet i denne hændelse, under fanen Beskeder . Du kan se alle relevante oplysninger om beskederne – de analyseregler, der har produceret dem, antallet af resultater, der returneres pr. besked, og muligheden for at køre playbooks på beskederne. Hvis du vil foretage detailudledning yderligere i hændelsen, skal du vælge antallet af hændelser. Dette åbner den forespørgsel, der genererede resultaterne og de hændelser, der udløste beskeden i Log Analytics.

    • Under fanen Bogmærker kan du se eventuelle bogmærker, som du eller andre efterforskere har knyttet til denne hændelse. Få mere at vide om bogmærker.

    • Under fanen Enheder kan du se alle de objekter , du har tilknyttet som en del af definitionen af påmindelsesreglen. Dette er de objekter, der har spillet en rolle i hændelsen, uanset om det er brugere, enheder, adresser, filer eller andre typer.

    • Til sidst kan du under fanen Kommentarer tilføje dine kommentarer til undersøgelsen og få vist eventuelle kommentarer fra andre analytikere og efterforskere. Få mere at vide om kommentarer.

  5. Hvis du aktivt undersøger en hændelse, er det en god idé at angive hændelsens status til Aktiv , indtil du lukker den.

  6. Hændelser kan tildeles til en bestemt bruger eller til en gruppe. For hver hændelse kan du tildele en ejer ved at angive feltet Ejer . Alle hændelser starter som ikke-tildelte. Du kan også tilføje kommentarer, så andre analytikere kan forstå, hvad du har undersøgt, og hvad dine bekymringer er omkring hændelsen.

    Skærmbillede af tildeling af hændelse til bruger.

    De senest valgte brugere og grupper vises øverst på den afbilledet rulleliste.

  7. Vælg Undersøg for at få vist undersøgelsesoversigten.

Brug undersøgelsesgrafen til at foretage en detaljeret gennemgang

Undersøgelsesgrafen gør det muligt for analytikere at stille de rigtige spørgsmål for hver undersøgelse. Undersøgelsesgrafen hjælper dig med at forstå omfanget og identificere den egentlige årsag til en potentiel sikkerhedstrussel ved at korrelere relevante data med en hvilken som helst involveret enhed. Du kan dykke dybere ned og undersøge en hvilken som helst enhed, der præsenteres i grafen, ved at vælge den og vælge mellem forskellige udvidelsesmuligheder.

Undersøgelsesgrafen giver dig:

  • Visuel kontekst fra rådata: I visualiseringsgrafen vises objektrelationer, der udtrækkes automatisk fra rådata. Det gør det nemt at se forbindelser på tværs af forskellige datakilder.

  • Komplet undersøgelse af omfang: Udvid undersøgelsesområdet ved hjælp af indbyggede udforskningsforespørgsler for at få vist det fulde omfang af et brud.

  • Indbyggede undersøgelsestrin: Brug foruddefinerede udforskningsindstillinger til at sikre, at du stiller de rigtige spørgsmål i forbindelse med en trussel.

Sådan bruger du undersøgelsesgrafen:

  1. Vælg en hændelse, og vælg derefter Undersøg. Dette fører dig til undersøgelsesgrafen. Grafen indeholder et illustrerende kort over de enheder, der er direkte forbundet til beskeden, og hver ressource, der er forbundet yderligere.

    Vis kort.

    Vigtigt!

    • Du kan kun undersøge hændelsen, hvis du brugte felterne til objekttilknytning, da du konfigurerede din analyseregel. Undersøgelsesgrafen kræver, at den oprindelige hændelse indeholder enheder.

    • Microsoft Sentinel understøtter i øjeblikket undersøgelse af hændelser, der er op til 30 dage gamle.

  2. Vælg et objekt for at åbne ruden Enheder, så du kan gennemse oplysninger om det pågældende objekt.

    Vis objekter på kort

  3. Udvid din undersøgelse ved at holde markøren over hvert objekt for at få vist en liste over spørgsmål, der er designet af vores sikkerhedseksperter og analytikere pr. objekttype for at uddybe din undersøgelse. Vi kalder disse udforskningsforespørgsler for indstillinger.

    Udforsk flere detaljer

    Du kan f.eks. anmode om relaterede beskeder. Hvis du vælger en udforskningsforespørgsel, føjes de resulterende rettigheder til grafen igen. I dette eksempel returnerede valget af Relaterede beskeder følgende beskeder i diagrammet:

    Skærmbillede: Få vist relaterede beskeder

    Se, at de relaterede beskeder vises forbundet til enheden med stiplede linjer.

  4. For hver udforskningsforespørgsel kan du vælge indstillingen for at åbne rå hændelsesresultaterne og den forespørgsel, der bruges i Log Analytics, ved at vælge Hændelser>.

  5. For at forstå hændelsen giver grafen dig en parallel tidslinje.

    Skærmbillede: Få vist tidslinjen på kortet.

  6. Peg på tidslinjen for at se, hvilke ting på grafen der skete på hvilket tidspunkt.

    Skærmbillede: Brug tidslinjen på kortet til at undersøge beskeder.'

Fokuser din undersøgelse

Få mere at vide om, hvordan du kan udvide eller indsnævre omfanget af din undersøgelse ved enten at føje beskeder til dine hændelser eller fjerne beskeder fra hændelser.

Lignende hændelser (prøveversion)

Som sikkerhedsanalytiker vil du, når du undersøger en hændelse, være opmærksom på dens større kontekst. Du vil f.eks. se, om andre hændelser som denne er sket før eller sker nu.

  • Det kan være en god idé at identificere samtidige hændelser, der kan være en del af den samme større angrebsstrategi.

  • Det kan være en god idé at identificere lignende hændelser tidligere for at bruge dem som referencepunkter for din aktuelle undersøgelse.

  • Det kan være en god idé at identificere ejerne af tidligere lignende hændelser, finde de personer i din SOC, der kan give mere kontekst, eller hvem du kan eskalere undersøgelsen til.

Fanen lignende hændelser på siden med hændelsesoplysninger, der nu er en prøveversion, viser op til 20 andre hændelser, der ligner mest den aktuelle. Lighed beregnes af interne Microsoft Sentinel algoritmer, og hændelserne sorteres og vises i faldende rækkefølge af lighed.

Skærmbillede af visning af lignende hændelser.

Lighedsberegning

Der er tre kriterier, som ligheden bestemmes ud fra:

  • Lignende enheder: En hændelse anses for at ligne en anden hændelse, hvis de begge indeholder de samme enheder. Jo flere enheder to hændelser har til fælles, jo mere ens anses de for at være.

  • Lignende regel: En hændelse anses for at ligne en anden hændelse, hvis de begge blev oprettet af den samme analyseregel.

  • Lignende beskedoplysninger: En hændelse anses for at ligne en anden hændelse, hvis de deler den samme titel, produktnavn og/eller brugerdefinerede oplysninger.

Årsagerne til, at en hændelse vises på listen over lignende hændelser, vises i kolonnen Årsag til lighed . Peg på infoikonet for at få vist de almindelige elementer (enheder, regelnavn eller detaljer).

Skærmbillede af pop op-visning af lignende hændelsesoplysninger.

Lighedstidsramme

Hændelsesligheden beregnes på baggrund af data fra de 14 dage før den sidste aktivitet i hændelsen, dvs. sluttidspunktet for den seneste besked i hændelsen.

Hændelsesligheden genberegnes, hver gang du angiver siden med oplysninger om hændelsen, så resultaterne kan variere mellem sessioner, hvis nye hændelser blev oprettet eller opdateret.

Kommentar til hændelser

Som sikkerhedsanalytiker vil du, når du undersøger en hændelse, grundigt dokumentere de trin, du tager, både for at sikre nøjagtig rapportering til administration og for at muliggøre problemfrit samarbejde og samarbejde mellem kolleger. Microsoft Sentinel giver dig et omfattende kommentarmiljø, der kan hjælpe dig med at opnå dette.

En anden vigtig ting, som du kan gøre med kommentarer, er at forbedre dine hændelser automatisk. Når du kører en playbook på en hændelse, der henter relevante oplysninger fra eksterne kilder (f.eks. kontrol af en fil for malware på VirusTotal), kan du få playbook-stedet den eksterne kildes svar - sammen med alle andre oplysninger, du definerer - i hændelsens kommentarer.

Kommentarer er nemme at bruge. Du får adgang til dem via fanen Kommentarer på siden med oplysninger om hændelser.

Skærmbillede af visning og indtastning af kommentarer.

Ofte stillede spørgsmål om kommentarer til hændelser

Der er flere overvejelser, du skal tage højde for, når du bruger kommentarer til hændelser. Følgende liste over spørgsmål peger på disse overvejelser.

Hvilke typer input understøttes?

  • Tekst: Kommentarer i Microsoft Sentinel understøtter tekstinput i almindelig tekst, grundlæggende HTML og Markdown. Du kan også indsætte kopieret tekst, HTML og Markdown i kommentarvinduet.

  • Billeder: Du kan indsætte links til billeder i kommentarer, og billederne vises indbygget, men billederne skal allerede hostes på en offentligt tilgængelig placering, f.eks. Dropbox, OneDrive, Google Drev og lignende. Billeder kan ikke uploades direkte til kommentarer.

Er der en størrelsesgrænse for kommentarer?

  • Pr. kommentar: En enkelt kommentar kan indeholde op til 30.000 tegn.

  • Pr. hændelse: En enkelt hændelse kan indeholde op til 100 kommentarer.

    Bemærk!

    Størrelsesgrænsen for en enkelt hændelsespost i tabellen SecurityIncident i Log Analytics er 64 KB. Hvis grænsen overskrides, afkortes kommentarer (startende med den tidligste), hvilket kan påvirke de kommentarer, der vises i avancerede søgeresultater .

    De faktiske hændelsesposter i hændelsesdatabasen påvirkes ikke.

Hvem kan redigere eller slette kommentarer?

  • Redigering: Det er kun forfatteren af en kommentar, der har tilladelse til at redigere den.

  • Slette: Det er kun brugere med rollen Microsoft Sentinel bidragyder, der har tilladelse til at slette kommentarer. Selv forfatteren af kommentaren skal have denne rolle for at slette den.

Luk en hændelse

Når du har løst en bestemt hændelse (f.eks. når din undersøgelse er nået til sin konklusion), skal du angive hændelsens status til Lukket. Når du gør det, bliver du bedt om at klassificere hændelsen ved at angive årsagen til, at du lukker den. Dette trin er obligatorisk. Vælg Vælg klassificering, og vælg en af følgende på rullelisten:

  • Sand positiv - mistænkelig aktivitet
  • Godartet positiv - mistænkelig, men forventet
  • Falsk positiv - forkert beskedlogik
  • Falsk positiv – forkerte data
  • Ubestemt

Skærmbillede, der fremhæver de klassificeringer, der er tilgængelige på listen Vælg klassificering.

Du kan få flere oplysninger om falske positiver og godartede positiver under Håndter falske positiver i Microsoft Sentinel.

Når du har valgt den relevante klassificering, skal du tilføje en beskrivende tekst i feltet Kommentar . Dette er nyttigt, hvis du skal henvise til denne hændelse igen. Vælg Anvend , når du er færdig, hvorefter hændelsen lukkes.

Skærmbillede af lukning af en hændelse.

Søg efter hændelser

Hvis du hurtigt vil finde en bestemt hændelse, skal du angive en søgestreng i søgefeltet over hændelsesgitteret og trykke på Enter for at ændre listen over hændelser, der vises i overensstemmelse hermed. Hvis din hændelse ikke er inkluderet i resultaterne, kan det være en god idé at indsnævre søgningen ved hjælp af Avancerede søgeindstillinger .

Hvis du vil ændre søgeparametrene, skal du vælge knappen Søg og derefter vælge de parametre, hvor du vil køre søgningen.

Det kan f.eks. være:

Skærmbillede af søgefeltet og knappen til søgning efter hændelser for at vælge grundlæggende og/eller avancerede søgeindstillinger.

Som standard kører søgninger efter hændelser kun på tværs af værdierne Hændelses-id, Titel, Mærker, Ejer og Produktnavn . Rul ned på listen i søgeruden for at vælge en eller flere andre parametre, der skal søges efter, og vælg Anvend for at opdatere søgeparametrene. Vælg Angiv som standard for at nulstille de valgte parametre til standardindstillingen.

Bemærk!

Søgninger i feltet Ejer understøtter både navne og mailadresser.

Brug af avancerede søgeindstillinger ændrer søgefunktionsmåden på følgende måde:

Søgefunktionsmåde Beskrivelse
Farve på søgeknap Farven på søgeknappen ændres, afhængigt af de typer parametre, der aktuelt bruges i søgningen.
  • Så længe der kun er valgt standardparametre, er knappen grå.
  • Så snart der er valgt forskellige parametre, f.eks. avancerede søgeparametre, bliver knappen blå.
Automatisk opdatering Brug af avancerede søgeparametre forhindrer dig i at vælge automatisk at opdatere dine resultater.
Objektparametre Alle objektparametre understøttes for avancerede søgninger. Når du søger i en objektparameter, køres søgningen i alle objektparametre.
Søgestrenge Når du søger efter en streng af ord, medtages alle ordene i søgeforespørgslen. Der skelnes mellem store og små bogstaver i søgestrenge.
Understøttelse på tværs af arbejdsområder Avancerede søgninger understøttes ikke for visninger på tværs af arbejdsområder.
Antal viste søgeresultater Når du bruger avancerede søgeparametre, vises der kun 50 resultater ad gangen.

Tip

Hvis du ikke kan finde den hændelse, du leder efter, skal du fjerne søgeparametrene for at udvide din søgning. Hvis dine søgeresultater i for mange elementer, skal du tilføje flere filtre for at indsnævre dine resultater.

Relateret indhold

I denne artikel har du lært, hvordan du kommer i gang med at undersøge hændelser ved hjælp af Microsoft Sentinel. Du kan finde flere oplysninger under:

  • Last updated on