了解 Microsoft Sentinel 的事件调查和案例管理功能
Microsoft Sentinel 提供了功能齐备的整套案例管理平台用于调查和管理安全事件。 事件是 Microsoft Sentinel 案例文件的名称,这些文件包含完整且不断更新的安全威胁年表,包括单个证据片段(警报)、嫌疑人和利益相关方(实体)、安全专家和 AI /机器学习模型收集和特选的见解,以及调查过程中采取的所有操作的注释和日志等。
Microsoft Sentinel 中的事件调查体验始于“事件”页 - 这是一个全新的体验,旨在在同一位置提供展开调查所需的一切信息。 此新体验的主要目标是提高 SOC 的效率和有效性,并减少其平均解决时间 (MTTR)。
本文将会讲解典型事件调查的各个阶段,并展示所有显示画面和有用的工具。
提高 SOC 的成熟度
Microsoft Sentinel 提供了所需的工具来帮助你提高安全运营 (SecOps) 成熟度。
标准化过程
事件任务是供分析师遵循的任务工作流列表,以确保实施统一的管护标准来防止遗漏关键步骤。 SOC 经理和工程师可以制作这些任务列表,并使其适当地自动应用于不同的事件组或全局应用。 然后,SOC 分析师可以访问每个事件中分配的任务,并在任务完成时将其标记为关闭。 分析师还可以手动将任务添加到其未完成事件中,以提供自我提醒或者为其他可能就事件展开协作的分析师提供便利(例如,由于工作轮班或事务升级)。
详细了解事件任务。
审核事件管理
事件活动日志跟踪对事件采取的操作(无论是由用户还是自动化过程发起),并将这些操作与所有事件注释一起显示。 你也可以在此处添加自己的注释。 注释提供了发生的所有事件的完整记录,可确保实现全面性和问责制。
有效且高效地调查
查看时间线
首要工作:作为分析师,你要回答的最基本问题是,为何此事件会引起我的注意? 进入事件的详细信息页即可回答该问题:在屏幕中心,可以看到“事件时间线”小组件。 时间线是所有警报的日记,代表与调查相关的所有已记录事件(按事件发生顺序排列)。 时间线还显示书签,即在搜寻过程中收集并添加到事件的证据的快照。 选择此列表中的任一项可查看其完整详细信息。 其中的许多详细信息(例如原始警报、创建警报的分析规则以及任何书签)都显示为链接,选择这些链接可以更深入地了解详细信息。
详细了解可以通过事件时间线执行的操作。
从相似事件中学习
如果到目前为止你在事件中看到的任何信息比较相似,那么可能会获得充分的理由。 Microsoft Sentinel 会显示与未处理事件最类似的事件,从而让你先行一步采取措施。 “相似事件”小组件显示被视为相似事件的最相关信息,包括上次更新日期和时间、上一所有者、上一状态(如果事件已关闭,则包括关闭原因),以及为何相似。
这可以在多个方面为调查提供便利:
- 辨识可能是属于更大攻击策略的并发事件。
- 使用相似事件作为当前调查的参考点 – 看看它们是如何处理的。
- 确定过去相似事件的所有者以从他们了解到的信息中受益。
该小组件显示 20 个最相似的事件。 Microsoft Sentinel 根据常用元素(包括实体、源分析规则和警报详细信息)来确定哪些事件是相似的。 从此小组件中,可以直接跳转到其中任一事件的完整详细信息页,同时与当前事件保持连接。
详细了解如何处理相似事件。
检查最相关的见解
接下来,在大致了解发生(或仍在发生)的问题并对上下文有更好的理解后,你会好奇 Microsoft Sentinel 已经为你找到了哪些有用的信息。 它会自动询问有关事件中实体的重要问题,并在事件详细信息页右侧的“最相关见解”小组件中显示最相关的答案。 此小组件根据机器学习分析和顶级安全专家团队的特选信息显示一系列见解。
这些信息是显示在实体页上的见解的一个特选子集,但在此上下文中,事件中所有实体的见解会一起显示,让你更全面地了解正在发生的问题。 整套见解显示在每个独立实体的“实体”选项卡上 - 参阅下文。
“最相关见解”小组件回答有关实体的问题,包括与其对等方相比的行为及其自己的历史记录、它在监视列表或威胁情报中的存在状态,或与它相关的任何其他类型的异常事件。
其中的大多数见解都包含详细信息链接。 这些链接根据上下文打开“日志”面板,可在其中看到该见解的源查询及其结果。
查看实体
了解一些上下文并回答一些基本问题后,接下来可以更深入地了解事件的主要参与者。 用户名、主机名、IP 地址、文件名和其他类型的实体都可以成为调查中的“相关方”。 Microsoft Sentinel 会为你查找所有相关方,并将其显示在“实体”小组件前面和中间的时间线上。 从此小组件中选择一个实体会转到同一事件页上“实体”选项卡中该实体的列表。
“实体”选项卡包含事件中所有实体的列表。 选择列表中的实体后,将打开一个侧面板,其中包含基于实体页的显示画面。 该侧面板包含三个卡片:
- “信息”包含有关实体的基本信息。 对于用户帐户实体,这可能是用户名、域名、安全标识符 (SID)、组织信息、安全信息等。
- “时间线”包含一个警报列表,其中显示了该实体以及该实体已完成的活动,这些信息是从出现该实体的日志中收集的。
- “见解”包含有关实体的问题的答案,包括与其对等方相比的行为及其自己的历史记录、它在监视列表或威胁情报中的存在状态,或与它相关的任何其他类型的异常事件。 这些答案是 Microsoft 安全研究人员定义的查询的结果,它们根据源集合中的数据提供有关实体的有价值且区分上下文的安全信息。
在此侧面板中,可以根据实体类型进一步执行一些操作:
- 转到实体的完整实体页以获取更长时间内的更多详细信息,或启动以该实体为中心的图形调查工具。
- 运行 playbook 以便对该实体采取特定的响应或修正操作(预览版)。
- 将实体分类为危害指标 (IOC),并将其添加到威胁情报列表。
目前,某些实体类型支持其中的每个操作,而其他实体类型则不支持。 下表显示了哪些实体类型支持哪些操作:
| 可用操作 ▶ 实体类型 ▼ |
查看完整详细信息 (在实体页中) |
添加到 TI * | 运行 playbook * (预览版) |
|---|---|---|---|
| 用户帐户 | ✔ | ✔ | |
| 主机 | ✔ | ✔ | |
| IP 地址 | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| 域名 | ✔ | ✔ | |
| 文件(哈希) | ✔ | ✔ | |
| Azure 资源 | ✔ | ||
| IoT 设备 | ✔ |
* 对于支持“添加到 TI”或“运行 playbook”操作的实体,你可以直接从“概述”选项卡中的“实体”小组件执行这些操作,而无需退出事件页。
浏览日志
现在可以深入查看详细信息以确切地了解发生了什么情况?从上述几乎任何位置,都可以向下钻取到各个警报、实体、见解和包含在事件中的其他项,并查看原始查询及其结果。 这些结果显示在作为事件详细信息页的面板扩展的“日志”(日志分析)屏幕中,因此你不必离开调查上下文。
让记录井然有序
最后,为实现透明度、问责制和连续性,需要记录对事件采取的所有操作 – 无论是自动化过程还是人工采取的操作。 事件活动日志会显示所有这些活动。 你还可以查看他人提供的任何注释并添加自己的注释。 即使活动日志处于打开状态,它也会不断自动刷新,因此你可以实时查看其更改。
后续步骤
在本文档中,你已了解 Microsoft Sentinel 中的事件调查体验如何帮助你在单个上下文中展开调查。 有关管理和调查事件的详细信息,请参阅以下文章: