使用Azure Sentinel调查事件——用到了知识图谱能力

教程:使用Azure Sentinel调查事件

https://docs.microsoft.com/en-us/azure/sentinel/tutorial-investigate-cases

本教程可帮助您调查Azure Sentinel的事件。将数据源连接到Azure Sentinel后,您希望在发生任何可疑的事情时通知。要使您执行此操作,Azure Sentinel允许您创建高级警报规则,从而生成可以分配和调查的事件。

本文涵盖:

  • 调查事件
  • 使用调查图
  • 回应威胁

事件可以包括多个警报。它是针对特定调查的所有相关证据的汇总。根据您在中创建的分析规则创建事件分析页。与警报相关的属性(例如严重性和状态)设置在事件级别。让Azure Sentinel知道您正在寻找什么类型的威胁以及如何找到它们,您可以通过调查事件来监控检测到的威胁。

先决条件

  • 如果您在设置分析规则时使用实体映射字段,则只能调查此事件。调查图要求您的原始事件包括实体。

  • 如果您有需要分配事件的访客用户,则必须为用户分配目录阅读器在您的Azure广告租户中的角色。常规(非访客)用户默认分配此角色。

如何调查事件

  1. 选择事件。这事件PAGE让您知道您有多少事件,有多少是开放的,您已设置有多少进行中,还有多少关闭。对于每个事件,您可以看到发生的时间以及事件的状态。看看严重程度来决定首先处理哪些事件。

    View incident severity

  2. 您可以根据需要筛选事件,例如按状态或严重性。

  3. 要开始调查,请选择特定事件。在右侧,您可以查看事件的详细信息,包括其严重性,涉及实体数量的摘要,触发此事件的原始事件以及事件的唯一ID。

  4. 要查看有关事件中警报和实体的更多详细信息,请选择查看完整详细信息在事件页面中,并查看总结事件信息的相关选项卡。

    View alert details

    例如:

    • 在里面时间线选项卡,查看事件中的警报和书签的时间表,可以帮助您重建攻击者活动的时间表。
    • 在里面警报选项卡,查看警报本身。您可以查看有关警报的所有相关信息 - 触发警报的查询,每个查询返回的结果数,以及在警报上运行播放簿的功能。为了进一步进入事件,选择数量活动。这将打开生成结果和触发日志分析中警报的结果的查询。
    • 在里面实体选项卡,您可以看到您作为警报规则定义的一部分映射的所有实体。
  5. 如果您正在积极调查事件,那么将事件的状态设置为一个好主意进行中直到你关闭它。

  6. 可以分配给特定用户的事件。对于每个事件,您可以通过设置来分配所有者事件所有者场地。所有事件都以未分配的方式启动。您还可以添加评论,以便其他分析师将能够理解您调查的内容以及您的疑虑在此事件中。

    Assign incident to user

  7. 选择调查查看调查图。

使用调查图深入

调查图使分析师能够为每次调查询问正确的问题。调查图通过将相关数据与任何涉及的实体相关联而有,可以帮助您了解潜在安全威胁的范围和识别根本原因。您可以通过选择它来深入并调查图表中呈现的任何实体,并在不同的扩展选项之间进行选择。

调查图为您提供:

  • 原始数据的视觉上下文:Live,Visual Graph显示从原始数据自动提取的实体关系。这使您可以轻松地查看不同数据源的连接。

  • 全面调查范围发现:使用内置探索查询来扩展您的调查范围以曲线突破违规范围。

  • 内置调查步骤:使用预定义的探索选项,以确保您面对威胁询问正确的问题。

要使用调查图:

  1. 选择事件,然后选择调查。这将带您到调查图。该图提供了直接连接到警报的实体的说明性映射和进一步连接的每个资源。

    View map.

    重要的

    • 如果您在设置分析规则时使用实体映射字段,则只能调查此事件。调查图要求您的原始事件包括实体。

    • Azure Sentinel目前支持调查最多30天的事件

  2. 选择一个实体打开实体窗格使您可以审核该实体的信息。

    View entities in map

  3. 通过悬停在每个实体上,揭示您的调查,以揭示我们的安全专家和每个实体类型的分析师来加深调查的问题清单。我们称之为这些选项探索查询

    Explore more details

    例如,在计算机上,您可以请求相关的警报。如果选择Explorial查询,则将生成的权限添加回图。在此示例中,选择相关警报将以下警报返回到图形中:

    View related alerts

  4. 对于每个Explorial查询,您可以选择选项以通过选择来打开原始事件结果和日志分析中使用的查询活动>

  5. 为了了解事件,图表为您提供了一个并行时间轴。

    View timeline in map

  6. 将鼠标悬停在时间表上,看看图表上的哪些东西发生在时间点。

    Use timeline in map to investigate alerts

结束事件

解决了特定事件(例如,当您的调查达到结论时,您应该将事件的状态设置为关闭。当您这样做时,将要求您通过指定您关闭它的原因来分类事件。这个步骤是强制性的。点击选择分类并从下拉列表中选择以下其中一个:

  • 真正的积极 - 可疑活动
  • 良性积极 - 可疑但预期
  • 误报 - 不正确的警报逻辑
  • 假阳性 - 不正确的数据
  • 未确定

Screenshot that highlights the classifications available in the Select classification list.

有关误报和良性阳性的更多信息,请参阅在Azure Sentinel中处理误报

选择适当的分类后,添加一些描述性文本评论场地。这将在您需要转回此事件时有用。点击申请当你完成后,事件将被关闭。

{alt-text}

下一步

在本教程中,您了解了如何使用Azure Sentinel开始调查调查事件。继续进行教程如何使用palybook响应威胁

posted @ 2021-07-27 20:04  bonelee  阅读(183)  评论(0编辑  收藏  举报