Evidências e entidades de incidentes

  • 5 minutos

O Microsoft Sentinel usa várias fontes de informações de segurança para criar incidentes. Você precisa entender essas fontes para utilizar melhor o gerenciamento de incidentes no Microsoft Sentinel.

Evidência de incidentes

A evidência do incidente consiste em informações do evento de segurança e ativos relacionados do Microsoft Sentinel que identificam ameaças no ambiente do Microsoft Sentinel. A evidência mostra como o Microsoft Sentinel identificou uma ameaça e vincula-se a recursos específicos que podem aumentar o entendimento sobre os detalhes do incidente.

Eventos

Os eventos são vinculados a um ou mais eventos específicos do workspace do Log Analytics associado ao Microsoft Sentinel. Individualmente, esses workspaces normalmente contêm milhares de eventos que são numerosos demais para realizar uma análise manual.

Se uma consulta anexada a uma regra de análise do Microsoft Sentinel retornar o evento, esses eventos serão anexados ao incidente gerado para uma possível análise adicional. Use esses eventos para entender o escopo e a frequência do incidente antes de uma investigação maior.

Alertas

A maioria dos incidentes são gerados devido a um alerta de uma regra analítica. Exemplos de alertas incluem:

  • Detecção de arquivos suspeitos.
  • Detecção de atividades de usuário suspeitas.
  • Tentativa de elevação de privilégio.

As regras de análise geram alertas baseados em consultas KQL (Linguagem de Consulta Kusto) ou na conexão direta com as soluções de Segurança da Microsoft (como o Microsoft Defender para Nuvem ou o Microsoft Defender XDR). Caso habilite um agrupamento de alertas, o Microsoft Sentinel incluirá todas as evidências de alertas relacionadas ao incidente.

Indicadores

Ao investigar um incidente, você pode identificar eventos que deseja acompanhar ou marcar para investigação posterior. É possível preservar as consultas em execução no Log Analytics escolhendo um ou mais eventos e designando-os como indicadores. Também é possível registrar anotações e marcas para oferecer informações melhores aos processos futuros de busca de ameaças. Os indicadores estão disponíveis para você e seus colegas de equipe.

Entidades de incidente

Uma entidade de incidente é um recurso de rede ou de usuário envolvido em um evento. Você pode usar as entidades como pontos de entrada para explorar todos os alertas e as correlações associadas à entidade em questão.

As relações entre entidades serão úteis durante a investigação de incidentes. Em vez de analisar alertas de identidade, alertas de rede e alertas de acesso a dados individualmente, você pode usar as entidades para observar todos os alertas associados a um determinado usuário, host ou endereço no ambiente.

Alguns tipos de entidade incluem:

  • Conta
  • Host
  • IP
  • URL
  • FileHash

Por exemplo, as entidades ajudam a identificar todos os alertas associados a um usuário específico na Contoso, o computador host do usuário e outros hosts aos quais o usuário se conectou. Você pode determinar quais endereços IP estão associados a esse usuário, expondo quais eventos e alertas podem fazer parte do mesmo ataque.

Verificar seu conhecimento

1.

Qual dos itens a seguir é uma evidência em um incidente do Microsoft Sentinel?