利用 Microsoft Sentinel 调查事件

重要

请注意,这些功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

本文帮助你使用 Microsoft Sentinel 调查事件。 将数据源连接到 Microsoft Sentinel 后,你希望在发生可疑情况时收到通知。 为此,Microsoft Sentinel 支持你创建高级分析规则,以生成可分配和调查的事件。

本文介绍:

  • 调查事件
  • 使用调查图
  • 应对威胁

一个事件可以包含多个警报。 它是用于特定调查的所有相关证据的聚合。 事件根据“分析”页中创建的分析规则而创建。 在事件级别设置与警报相关的属性,例如严重性和状态。 为 Microsoft Sentinel 指定要查找的威胁类型以及查找方式后,可以通过调查事件来监视检测到的威胁。

先决条件

  • 只有在设置分析规则时使用了实体映射字段,才能调查事件。 调查图要求原始事件包含实体。

  • 如果你的来宾用户需要分配事件,则必须在 Microsoft Entra 租户中为该用户分配目录读取者角色。 默认情况下,常规(非来宾)用户分配有此角色。

如何调查事件

  1. 选择“事件”。 在“事件”页中,可以了解有多少个事件,及其状态是新的、活动还是已关闭。 对于每个事件,可以查看其发生时间以及状态。 查看严重性,以决定优先处理的事件。

    Screenshot of view of incident severity.

  2. 可以根据需要筛选事件,例如按状态或严重性进行筛选。 有关详细信息,请参阅搜索事件

  3. 若要开始调查,请选择一个特定的事件。 在右侧,可以查看此事件的详细信息,包括其严重性、涉及的实体数摘要、触发此事件的原始事件、事件的唯一 ID 以及任何映射的 MITRE ATT&CK 策略或技术。

  4. 若要详细查看事件中的警报和实体,请在“事件”页中选择“查看完整详细信息”,并查看汇总事件信息的相关选项卡。

    Screenshot of view of alert details.

    • 在“时间线”选项卡中,查看事件中警报和书签的时间线,这可以帮助你重构攻击者活动的时间线。

    • 在“相似事件(预览版)”选项卡中,可以看到与当前事件最相似的其他最多 20 个事件的集合。 这样,就可以在更大的上下文中查看事件并帮助引导完成调查。 在下面详细了解相似事件

    • 在“警报”选项卡中,查看此事件包含的警报。 你将看到警报的所有相关信息 - 生成警报的分析规则、为每个警报返回的结果数,以及针对警报运行 playbook 的能力。 若要进一步向下钻取事件,请选择“事件”的数量。 这会打开生成结果和在 Log Analytics 触发警报的事件的查询。

    • 在“书签”选项卡中,可以看到你或其他调查人员已链接到此事件的任何书签。 详细了解书签

    • 在“实体”选项卡中,可以看到作为警报规则定义的一部分映射的所有实体。 这些实体是在事件中发挥作用的对象,不管对象是用户、设备、地址、文件还是任何其他类型

    • 最后,在“注释”选项卡中,可以添加有关调查的注释,以及查看其他分析人员和调查人员提供的任何注释。 详细了解注释

  5. 如果你正在积极调查事件,最好将事件的状态设置为“活动”,直到将其关闭。

  6. 可以将事件分配到某个特定用户或某个组。 对于每个事件,可以通过设置“所有者”字段来分配所有者。 所有事件开始都处于未分配状态。 此外,还可以添加注释,以便其他分析师能够理解你调查的内容和你对事件的关注点。

    Screenshot of assigning incident to user.

    最近选择的用户和组将显示在所示下拉列表的顶部。

  7. 选择“调查”以查看调查图。

使用调查图深入了解

通过调查图,分析师能够针对每个调查询问正确的问题。 调查图通过将相关数据关联到任何涉及的实体,帮助你了解潜在安全威胁影响的范围并确定其根本原因。 可选择图中呈现的任何实体并在不同的展开选项之间选择,来深入了解并调查实体。

调查图可提供:

  • 来自原始数据的直观上下文:实时可视化图形可显示自动从原始数据提取的实体关系。 这样,便可以轻松查看跨不同数据源的连接。

  • 完整调查范围发现:使用内置的探索查询来扩大调查范围,以呈现完整漏洞范围。

  • 内置调查步骤:使用预定义的探索选项,以确保在面临威胁时询问正确的问题。

若要使用调查图:

  1. 选择一个事件,然后选择“调查”。 此操作会将你转到调查图。 此图对直接连接到警报的实体以及进一步连接的每个资源进行了图示说明。

    View map.

    重要

    • 只有在设置分析规则时使用了实体映射字段,才能调查事件。 调查图要求原始事件包含实体。

    • Microsoft Sentinel 目前支持调查最多 30 天前的事件。

  2. 选择一个实体可打开“实体”窗格,以便查看有关该实体的信息。

    View entities in map

  3. 通过将鼠标悬停在每个实体上来展开调查,按实体类型显示安全专家和分析师设计的问题列表,以便进行深入调查。 这些选项称为“探索查询”。

    Explore more details

    例如,可以请求相关警报。 如果选择探索查询,则会将生成的实体添加回此图。 在此示例中,选择“相关警报”向此图返回了以下警报:

    Screenshot: view related alerts

    可以看到,显示的相关警报以虚线连接到了实体。

  4. 对于每个探索查询,可以通过选择“事件>”来选择打开原始事件结果和 Log Analytics 中所使用的查询。

  5. 为了便于你了解事件,此图提供了并行时间线。

    Screenshot: view timeline in map.

  6. 将鼠标悬停在时间线上,以查看图中某个时间点发生的警报。

    Screenshot: use timeline in map to investigate alerts.'

专注于调查

了解如何通过将警报添加到事件或从事件中删除警报来扩大或缩小调查范围。

相似事件(预览版)

作为安全运营分析人员,在调查事件时,你需要关注其更大的上下文。 例如,需要查看以前或现在是否发生过其他相似事件。

  • 你可能想要识别属于同一种更大攻击策略的并发事件。

  • 你可能想要识别过去发生的相似事件,将其用作当前调查的参照点。

  • 你可能想要识别过去发生的相似事件的所有者,以查找 SOC 中可以提供更多上下文或者可以向其升级调查的人员。

事件详细信息页中的“相似事件”选项卡目前为预览版,其中显示与当前事件最相似的其他最多 20 个事件。 相似度由内部 Microsoft Sentinel 算法计算,事件将按相似度的降序排列和显示。

Screenshot of the similar incidents display.

相似度计算

确定相似度的条件有三个:

  • 相似实体:如果一个事件与另一个事件都包含相同的实体,则认为它们相似。 两个事件的共同实体越多,它们就越相似。

  • 相似规则:如果一个事件与另一个事件都由同一分析规则创建,则认为它们相似。

  • 相似警报详细信息:如果一个事件与另一个事件具有相同的标题、产品名称和/或自定义详细信息,则认为它们相似。

事件出现在相似事件列表中的原因显示在“相似原因”列中。 将鼠标悬停在信息图标上可以显示公有项(实体、规则名称或详细信息)。

Screenshot of pop-up display of similar incident details.

相似度时间范围

事件相似度是根据事件中发生最后一个活动前 14 天(事件中最近警报的结束时间)的数据计算的。

每次进入事件详细信息页时,都会重新计算事件相似度,因此如果创建或更新了新事件,则结果可能会因会话的不同而异。

事件注释

作为一项安全运营分析师,调查事件时,你需要全面记录所采取的步骤,以确保对管理进行准确的报告并实现同事间的无缝合作和协作。 Microsoft Sentinel 提供丰富的注释环境,可帮助你实现此目的。

你可以使用注释执行的另一个重要事项是自动丰富事件。 对从外部源提取相关信息的事件运行操作手册时(例如,在 VirusTotal 检查恶意软件的文件),可以让工作人员将外部源的响应连同你定义的任何其他信息一起放入事件的注释。

注释易于使用。 可以通过事件详细信息页上的“注释”选项卡访问它们。

Screenshot of viewing and entering comments.

常见问题

使用事件注释时,需要考虑几个注意事项。 以下问题列表指出了这些注意事项。

支持哪些类型的输入?

  • 文本:Microsoft Sentinel 中的注释支持纯文本、基本 HTML 和 Markdown 形式的文本输入。 还可将复制的文本、HTML 和 Markdown 粘贴到注释窗口。

  • 图像:可以在注释中将链接插入到图像,图像将以内嵌方式显示,但这些图像必须已托管在可公开访问的位置(例如 Dropbox、OneDrive、Google 云端硬盘等)。 不能将图像直接上传到注释。

注释的大小是否有限制?

  • 按注释:单条注释最多可包含 30,000 个字符。

  • 按事件:单个事件最多可包含 100 条注释。

    注意

    在 Log Analytics 中,SecurityIncident 表中单个事件记录的大小限制为 64 KB。 如果超过此限制,注释(从最早的开始)将被截断,这可能会影响高级搜索结果中显示的注释。

    事件数据库中的实际事件记录不会受到影响。

谁可以编辑或删除注释?

  • 编辑:只有注释的作者有权编辑它。

  • 删除:只有具有 Microsoft Sentinel 参与者角色的用户才有权删除注释。 即使是注释的作者也必须具有此角色才能删除注释。

关闭事件

解决了特定事件(例如调查已得出结论)之后,应将事件的状态设置为“已关闭”。 执行此操作时,系统将要求你指定关闭事件的原因来对事件进行分类。 此步骤是必需的。 单击“选择分类”,然后从下拉列表中选择下列其中一个:

  • 真正 - 可疑活动
  • 良性 - 可疑但符合预期
  • 假正 - 错误警报逻辑
  • 假正 - 错误数据
  • 未确定

Screenshot that highlights the classifications available in the Select classification list.

有关假正和良性的详细信息,请参阅在 Microsoft Sentinel 中处理假正情况

选择相应分类后,在“注释”字段中添加一些说明性文本。 当需要参考此事件时,这将非常有用。 完成后单击“应用”,事件将关闭。

{alt-text}

搜索事件

若要快速查找特定的事件,请在事件网格上方的搜索框中输入搜索字符串,然后按 Enter 修改相应显示的事件列表。 如果结果中未包含你的事件,可能需要使用“高级搜索”选项来缩小搜索范围。

若要修改搜索参数,请选择“搜索”按钮,然后选择要在其中运行搜索的参数。

例如:

Screenshot of the incident search box and button to select basic and/or advanced search options.

默认情况下,事件搜索只会针对“事件 ID”、“标题”、“标记”、“所有者”和“产品名称”值运行 。 在搜索窗格中向下滚动列表,以选择要搜索的一个或多个其他参数,然后选择“应用”更新搜索参数。 选择“设为默认选项”会将所选参数重置为默认选项。

注意

“所有者”字段中的搜索支持姓名和电子邮件地址。

使用高级搜索选项会使搜索行为发生以下变化:

搜索行为 说明
搜索按钮颜色 搜索按钮的颜色会根据搜索中当前使用的参数类型发生变化。
  • 只要选择默认参数,按钮就会变成灰色。
  • 一旦选择不同的参数(例如高级搜索参数),按钮就会变成蓝色。
自动刷新 使用高级搜索参数会阻止选择自动刷新结果。
实体参数 高级搜索支持所有实体参数。 在任何实体参数中进行搜索时,搜索将在所有实体参数中运行。
搜索字符串 搜索单词字符串会在搜索查询中包括所有单词。 搜索字符串区分大小写。
跨工作区支持 跨工作区视图不支持高级搜索。
显示的搜索结果数 使用高级搜索参数时,一次只会显示 50 条结果。

提示

如果找不到要查找的事件,请删除搜索参数以扩大搜索范围。 如果搜索结果包含过多的项,请添加更多筛选器以缩小结果范围。

后续步骤

在本文中,你已了解如何开始使用 Microsoft Sentinel 调查事件。 有关详细信息,请参阅: