Grundlegendes zu den Funktionen zur Untersuchung von Vorfällen und zur Fallverwaltung von Microsoft Sentinel

Microsoft Sentinel bietet Ihnen eine vollständige Fallverwaltungsplattform mit umfassenden Funktionen zum Untersuchen und Verwalten von Sicherheitsincidents. Incidents sind der Name von Microsoft Sentinel für Falldateien, die eine vollständige und ständig aktualisierte Chronologie einer Sicherheitsbedrohung enthalten, unabhängig davon, ob es sich um einzelne Beweise (Warnungen), Verdächtige und interessensorientierte Parteien (Entitäten), von Sicherheitsexperten gesammelte und zusammengestellte Erkenntnisse und KI/Machine Learning-Modelle, oder Kommentare und Protokolle aller im Laufe der Untersuchung durchgeführten Aktionen handelt.

Die Erfahrung für die Untersuchung von Vorfällen in Microsoft Sentinel beginnt mit der Seite Vorfälle – eine neue Erfahrung, die darauf ausgelegt ist, Ihnen an einem Ort alles zu bieten, was Sie für Ihre Untersuchung benötigen. Das Hauptziel dieser neuen Benutzeroberfläche besteht darin, die Effizienz und Effektivität Ihres SOC zu steigern und die mittlere Zeit bis zur Lösung (MTTR) zu verkürzen.

Dieser Artikel führt Sie durch die Phasen einer typischen Incident-Untersuchung und stellt alle Anzeigen und Tools vor, die Ihnen zur Unterstützung zur Verfügung stehen.

Erhöhen des Reifegrads Ihres SOC

Microsoft Sentinel bietet Ihnen die Tools, mit denen Sie den Reifegrad Ihres Security Operations (SecOps) erhöhen können.

Standardisieren von Prozessen

Incident-Aufgaben sind Workflow-Listen mit Aufgaben, denen Analysten folgen müssen, um einen einheitlichen Behandlungsstandard zu gewährleisten und zu verhindern, dass wichtige Schritte verpasst werden. SOC-Manager und -Techniker können diese Aufgabenlisten entwickeln und sie je nach Bedarf automatisch auf verschiedene Gruppen von Incidents oder allgemein anwenden lassen. SOC-Analysten können dann auf die zugewiesenen Aufgaben innerhalb jedes Incidents zugreifen und sie nach Abschluss markieren. Analysten können auch manuell Aufgaben zu ihren offenen Incidents hinzufügen, entweder als Selbsterinnerung oder zum Nutzen anderer Analysten, die an dem Vorfall zusammenarbeiten können (z. B. aufgrund einer Schichtänderung oder Eskalation).

Erfahren Sie mehr über Vorfallsaufgaben.

Überwachung der Incidentverwaltung

Das Aktivitätsprotokoll für Incidents verfolgt Aktionen, die bei einem Incident durchgeführt wurden, unabhängig davon, ob sie von Menschen oder automatisierten Prozessen initiiert wurden, und zeigt sie zusammen mit allen Kommentaren zu dem Incident an. Sie können hier auch Ihre eigenen Kommentare hinzufügen. Es gibt Ihnen einen vollständigen Datensatz über alles, was passiert ist, und gewährleistet Gründlichkeit und Verantwortlichkeit.

Effektiv und effizient untersuchen

Siehe Zeitachse

Das Wichtigste zuerst: Als Analyst ist die grundlegendste Frage, die Sie beantworten möchten, warum ich auf diesen Vorfall aufmerksam gemacht werde? Wenn Sie die Detailseite eines Incidents eingeben, wird diese Frage beantwortet: Direkt in der Mitte des Bildschirms wird das Widget Incident-Zeitachse angezeigt. Die Zeitachse ist das Tagebuch aller Warnungen, die alle protokollierten Ereignisse darstellen, die für die Untersuchung relevant sind, und zwar in der Reihenfolge, in der sie aufgetreten sind. Die Zeitachse zeigt auch Lesezeichen, Momentaufnahmen von Beweisen, die während der Suche gesammelt und dem Vorfall hinzugefügt wurden. Sehen Sie sich die vollständigen Details aller Elemente in dieser Liste an, indem Sie sie auswählen. Viele dieser Details – z. B. die ursprüngliche Warnung, die Analyseregel, von der sie erstellt wurde, und alle Lesezeichen – werden als Links angezeigt, die Sie auswählen können, um noch tiefer einzutauchen und mehr zu erfahren.

Erfahren Sie mehr darüber, was Sie auf der Incident-Zeitachse tun können.

Lernen aus ähnlichen Incidents

Wenn Ihnen irgendetwas, das Sie bisher bei Ihrem Incident gesehen haben, bekannt vorkommt, kann es dafür einen guten Grund geben. Microsoft Sentinel ist Ihnen einen Schritt voraus, indem es Ihnen die Incidents anzeigt, die dem offenen Incident am ähnlichsten sind. Das Widget Ähnliche Incidents zeigt Ihnen die relevantesten Informationen zu Incidents, die als ähnlich eingestuft werden, einschließlich Datum und Uhrzeit der letzten Aktualisierung, letzter Besitzer, letzter Status (einschließlich, wenn sie geschlossen sind, den Grund, warum sie geschlossen wurden) und der Grund für die Ähnlichkeit.

Dies kann Ihrer Untersuchung auf verschiedene Arten zugute kommen:

  • Erkennen Sie gleichzeitige Incidents, die Teil einer größeren Angriffsstrategie sein können.
  • Verwenden Sie ähnliche Incidents als Referenzpunkte für Ihre aktuelle Untersuchung – sehen Sie, wie damit umgegangen wurde.
  • Identifizieren Sie Besitzer von früheren ähnlichen Incidents, um von ihrem Wissen zu profitieren.

Das Widget zeigt Ihnen die 20 ähnlichsten Incidents an. Microsoft Sentinel entscheidet basierend auf allgemeinen Elementen wie Entitäten, der Quellanalyseregel und Warnungsdetails, welche Incidents ähnlich sind. Über dieses Widget können Sie direkt zu den vollständigen Detailseiten dieser Incidents springen, während die Verbindung mit dem aktuellen Incident bestehen bleibt.

Erfahren Sie mehr darüber, was Sie bei ähnlichen Incidents tun können.

Untersuchen der wichtigsten Erkenntnisse

Als Nächstes, nachdem Sie die groben Umrisse dessen, was passiert ist (oder noch passiert), und ein besseres Verständnis des Kontexts haben, fragen Sie sich, welche interessanten Informationen Microsoft Sentinel bereits für Sie herausgefunden hat. Es stellt automatisch die großen Fragen zu den Entitäten in Ihrem Incident und zeigt die wichtigsten Antworten im Widget Wichtigste Erkenntnisse an, das auf der rechten Seite der Incidentdetails angezeigt wird. Dieses Widget zeigt eine Sammlung von Erkenntnissen, die sowohl auf einer Machine Learning-Analyse als auch auf einer Zusammenstellung der besten Teams von Sicherheitsexperten basieren.

Dies ist eine speziell ausgewählte Teilmenge der Erkenntnisse, die auf Entitätsseiten angezeigt werden, aber in diesem Kontext werden Erkenntnisse für alle Entitäten im Incident zusammen präsentiert, sodass Sie ein vollständigeres Bild der Geschehnisse erhalten. Der vollständige Satz von Erkenntnissen wird auf der Registerkarte Entitäten für jede Entität separat angezeigt – siehe unten.

Das Widget Wichtigste Erkenntnisse beantwortet Fragen über die Entität in Bezug auf ihr Verhalten im Vergleich zu ihren Peers und ihrem eigenen Verlauf, ihre Präsenz auf Watchlists oder in Threat Intelligence oder jede andere Art von ungewöhnlichen Ereignissen in Bezug auf sie.

Die meisten dieser Erkenntnisse enthalten Links zu weiteren Informationen. Über diese Links wird der Bereich „Protokolle“ im Kontext geöffnet, in dem die Quellabfrage für diese Erkenntnis zusammen mit den Ergebnissen angezeigt wird.

Anzeigen von Entitäten

Nachdem Sie nun einen Kontext und einige grundlegende Fragen beantwortet haben, sollten Sie mehr über die wichtigsten Akteure in dieser Geschichte erfahren. Benutzernamen, Hostnamen, IP-Adressen, Dateinamen und andere Arten von Entitäten können alle „Personen von Interesse“ in Ihrer Untersuchung sein. Microsoft Sentinel findet sie alle für Sie und zeigt sie vorne in der Mitte im Widget Entitäten neben der Zeitleiste an. Wenn Sie eine Entität aus diesem Widget auswählen, werden Sie auf der Registerkarte Entitäten auf derselben Incident-Seite zum Eintrag dieser Entität weitergeleitet.

Die Registerkarte Entitäten enthält eine Liste aller im Incident enthaltenen Entitäten. Wenn eine Entität in der Liste ausgewählt wird, wird ein Seitenbereich geöffnet, der eine Anzeige basierend auf der Entitätsseite enthält. Der Seitenbereich enthält drei Karten:

  • Info enthält grundlegende Informationen zur Entität. Bei einer Benutzerkonto-Entität können dies beispielsweise Benutzername, Domänenname, Sicherheits-ID (SID), Organisationsinformationen, Sicherheitsinformationen und mehr sein.
  • Zeitachse enthält eine Liste der Warnungen, die diese Entität und die von der Entität durchgeführten Aktivitäten enthalten, wie aus Protokollen gesammelt, in denen die Entität angezeigt wird.
  • Erkenntnisse enthält Antworten auf Fragen über die Entität in Bezug auf ihr Verhalten im Vergleich zu ihren Peers und ihrem eigenen Verlauf, ihre Präsenz auf Watchlists oder in Threat Intelligence oder jede andere Art von ungewöhnlichen Ereignissen in Bezug auf sie. Diese Antworten sind die Ergebnisse von Abfragen, die von Microsoft-Sicherheitsexperten definiert wurden und die wertvolle und kontextbezogene Sicherheitsinformationen zu Entitäten bereitstellen, basierend auf Daten aus einer Sammlung von Quellen.

Abhängig vom Entitätstyp können Sie in diesem Seitenbereich eine Reihe weiterer Aktionen ausführen:

  • Navigieren Sie zur vollständigen Entitätsseite der Entität, um noch mehr Details über einen längeren Zeitraum abzurufen, oder starten Sie das grafische Untersuchungstool, das sich auf diese Entität zentriert.
  • Führen Sie ein Playbook aus, um bestimmte Reaktions- oder Wartungsaktionen für die Entität auszuführen (in der Vorschau).
  • Klassifizieren Sie die Entität als Indikator für Kompromittierung (Indicator of Compromise, IOC), und fügen Sie die Entität Ihrer Threat Intelligence-Liste hinzu.

Jede dieser Aktionen wird derzeit für bestimmte Entitätstypen und nicht für andere unterstützt. Die folgende Tabelle zeigt, welche Aktionen für welche Entitätstypen unterstützt werden:

Verfügbare Aktionen ▶
Entitätstypen ▼
Alle Details anzeigen
(auf der Entitätsseite)
Hinzufügen zu TI * Ausführen von Playbook *
(Vorschau)
Benutzerkonto
Host
IP-Adresse
URL
Domänenname
Datei (Hash)
Azure-Ressource
IoT-Gerät

* Für Entitäten, für welche die Aktionen Zu TI hinzufügen oder Playbook ausführen verfügbar sind, können Sie diese Aktionen direkt im Widget Entitäten auf der Registerkarte Übersicht ausführen, ohne die Vorfallsseite verlassen zu müssen.

Untersuchen von Protokollen

Nun möchten Sie ins Detail gehen, um zu erfahren, was genau passiert ist? Von fast jedem der oben genannten Orte aus können Sie einen Drilldown zu den einzelnen Warnungen, Entitäten, Erkenntnissen und anderen im Incident enthaltenen Elemente ausführen und die ursprüngliche Abfrage und ihre Ergebnisse anzeigen. Diese Ergebnisse werden auf dem Bildschirm „Protokolle“ (Protokollanalyse) angezeigt, der hier als Bereichserweiterung der Seite „Incidentdetails“ angezeigt wird, sodass Sie den Kontext der Untersuchung nicht verlassen.

Ihre Datensätze in Ordnung halten

Abschließend möchten Sie im Interesse von Transparenz, Verantwortlichkeit und Kontinuität einen Datensatz aller Maßnahmen, die zu dem Incident ergriffen wurden, haben – ob durch automatisierte Prozesse oder durch Menschen. Das Aktivitätsprotokoll des Incidents zeigt Ihnen alle diese Aktivitäten. Sie können auch alle Kommentare anzeigen, die abgegeben wurden, und Ihre eigenen hinzufügen. Das Aktivitätsprotokoll wird ständig automatisch aktualisiert, selbst wenn es geöffnet ist, sodass Sie Änderungen daran in Echtzeit sehen können.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Ihnen die Untersuchung von Incidents in Microsoft Sentinel dabei hilft, eine Untersuchung in einem einzigen Kontext durchzuführen. Weitere Informationen zum Verwalten und Untersuchen von Incidents finden Sie in den folgenden Artikeln: