Investigue incidentes do Microsoft Sentinel em profundidade no portal do Azure
Os incidentes do Microsoft Sentinel são ficheiros que contêm uma agregação de todas as provas relevantes para investigações específicas. Cada incidente é criado (ou adicionado) com base em evidências (alertas) que foram geradas por regras de análise ou importadas de produtos de segurança de terceiros que produzem seus próprios alertas. Os incidentes herdam as entidades contidas nos alertas, bem como as propriedades dos alertas, como gravidade, status e táticas e técnicas MITRE ATT&CK.
O Microsoft Sentinel oferece uma plataforma de gerenciamento de casos completa e completa no portal do Azure para investigar incidentes de segurança. A página Detalhes do incidente é o seu local central a partir do qual pode executar a sua investigação, reunindo todas as informações relevantes e todas as ferramentas e tarefas aplicáveis num único ecrã.
Este artigo descreve como investigar um incidente em profundidade, ajudando-o a navegar e investigar os seus incidentes de forma mais rápida, eficaz e eficiente, e reduzindo o seu tempo médio de resolução (MTTR).
Pré-requisitos
A atribuição da função Microsoft Sentinel Responder é necessária para investigar incidentes.
Saiba mais sobre as funções no Microsoft Sentinel.
Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Os usuários regulares (não convidados) têm essa função atribuída por padrão.
Se você estiver visualizando a experiência herdada da página de detalhes do incidente, ative a nova experiência no canto superior direito da página para continuar com os procedimentos neste artigo para a nova experiência.
Preparar o terreno corretamente
À medida que você está se preparando para investigar um incidente, monte as coisas necessárias para direcionar seu fluxo de trabalho. Você encontra as seguintes ferramentas em uma barra de botões na parte superior da página do incidente, logo abaixo do título.
Selecione Tarefas para ver as tarefas atribuídas a este incidente ou para adicionar as suas próprias tarefas. As tarefas podem melhorar a padronização de processos em seu SOC. Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel.
Selecione Registro de atividades para ver se alguma ação já foi tomada sobre esse incidente — por regras de automação, por exemplo — e quaisquer comentários que tenham sido feitos. Você pode adicionar seus próprios comentários aqui também. Para obter mais informações, consulte Auditar eventos de incidentes e adicionar comentários.
Selecione Logs a qualquer momento para abrir uma janela de consulta de análise de log completa e em branco dentro da página do incidente. Componha e execute uma consulta, relacionada ou não, sem deixar o incidente. Então, sempre que você for surpreendido com inspiração repentina para ir atrás de um pensamento, não se preocupe em interromper seu fluxo - os logs estão lá para você. Para obter mais informações, consulte Aprofunde-se em seus dados em Logs.
O botão Ações de incidente também está localizado em frente às guias Visão geral e Entidades . Aqui, você tem as mesmas ações descritas anteriormente disponíveis no botão Ações no painel de detalhes na página da grade Incidentes . O único que falta é Investigar, que está disponível no painel de detalhes à esquerda.
As ações disponíveis no botão Ações de incidente incluem:
| Ação | Descrição |
|---|---|
| Executar manual | Execute um manual sobre este incidente para tomar medidas específicas de enriquecimento, colaboração ou resposta. |
| Criar regra de automação | Crie uma regra de automação que seja executada apenas em incidentes como este (gerados pela mesma regra de análise) no futuro. |
| Criar equipa (Pré-visualização) | Crie uma equipa no Microsoft Teams para colaborar com outros indivíduos ou equipas entre departamentos no tratamento do incidente. Se uma equipe já tiver sido criada para esse incidente, esse item de menu será exibido como Open Teams. |
Obtenha a imagem completa na página de detalhes do incidente
O painel esquerdo da página de detalhes do incidente contém as mesmas informações de detalhes do incidente que você viu na página Incidentes à direita da grade. Este painel está sempre em exibição, independentemente do separador que é mostrado no resto da página. A partir daí, você pode ver as informações básicas do incidente e detalhar das seguintes maneiras:
Em Evidências, selecione Eventos, Alertas ou Favoritos para abrir um painel Logs na página do incidente. O painel Logs é exibido com a consulta de qualquer um dos três selecionados, e você pode percorrer os resultados da consulta em profundidade, sem se afastar do incidente. Selecione Concluído para fechar o painel e retornar ao incidente. Para obter mais informações, consulte Aprofunde-se em seus dados em Logs.
Selecione qualquer uma das entradas em Entidades para exibi-la na guia Entidades. Apenas as quatro primeiras entidades no incidente são mostradas aqui. Veja o restante selecionando Exibir tudo, ou no widget Entidades na guia Visão geral ou na guia Entidades. Para obter mais informações, consulte a guia Entidades.
Selecione Investigar para abrir o incidente na ferramenta de investigação gráfica que diagrama as relações entre todos os elementos do incidente.
Este painel também pode ser recolhido na margem esquerda da tela, selecionando a pequena seta dupla apontando para a esquerda ao lado da lista suspensa Proprietário . Mesmo nesse estado minimizado, no entanto, você ainda poderá alterar o proprietário, o status e a gravidade.
O restante da página de detalhes do incidente é dividido em duas guias, Visão geral e Entidades.
A guia Visão geral contém os seguintes widgets, cada um dos quais representa um objetivo essencial da sua investigação.
| Widget | Descrição |
|---|---|
| Cronograma de incidentes | O widget Linha do tempo do incidente mostra a linha do tempo de alertas e marcadores no incidente, o que pode ajudá-lo a reconstruir a linha do tempo da atividade do invasor. Selecione um item individual para ver todos os seus detalhes, permitindo que você faça mais detalhamento. Para obter mais informações, consulte Reconstruir a linha do tempo da história de ataque. |
| Incidentes semelhantes | No widget Incidentes semelhantes, você vê uma coleção de até 20 outros incidentes que mais se assemelham ao incidente atual. Isso permite que você visualize o incidente em um contexto maior e ajuda a direcionar sua investigação. Para obter mais informações, consulte Verificar se há incidentes semelhantes em seu ambiente. |
| Entidades | O widget Entidades mostra todas as entidades que foram identificadas nos alertas. Estes são os objetos que desempenharam um papel no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou quaisquer outros tipos. Selecione uma entidade para ver seus detalhes completos, que são exibidos na guia Entidades. Para obter mais informações, consulte Explorar as entidades do incidente. |
| Principais informações | No widget Principais insights, você vê uma coleção de resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre todas as entidades no incidente, com base em dados de uma coleção de fontes. Para obter mais informações, consulte Obter as principais informações sobre seu incidente. |
A guia Entidades mostra a lista completa de entidades no incidente, que também são mostradas no widget Entidades na página Visão geral . Quando você seleciona uma entidade no widget, é direcionado aqui para ver o dossiê completo da entidade — suas informações de identificação, uma linha do tempo de sua atividade (dentro e fora do incidente) e o conjunto completo de insights sobre a entidade, assim como você veria em sua página completa da entidade, mas limitado ao período de tempo apropriado para o incidente.
Reconstruir a linha do tempo da história do ataque
O widget Linha do tempo do incidente mostra a linha do tempo de alertas e marcadores no incidente, o que pode ajudá-lo a reconstruir a linha do tempo da atividade do invasor.
Passe o cursor sobre qualquer ícone ou elemento de texto incompleto para ver uma dica de ferramenta com o texto completo desse ícone ou elemento de texto. Essas dicas de ferramentas são úteis quando o texto exibido é truncado devido à largura limitada do widget. Veja o exemplo nesta captura de tela:
Selecione um alerta ou marcador individual para ver todos os seus detalhes.
Os detalhes do alerta incluem a gravidade e o status do alerta, as regras de análise que o geraram, o produto que produziu o alerta, as entidades mencionadas no alerta, as táticas e técnicas MITRE ATT&CK associadas e o ID de alerta interno do sistema.
Selecione o link ID do alerta do sistema para detalhar ainda mais o alerta, abrindo o painel Logs e exibindo a consulta que gerou os resultados e os eventos que dispararam o alerta.
Os detalhes do marcador não são exatamente o mesmo que os detalhes do alerta, embora também incluam entidades, táticas e técnicas MITRE ATT E CK, e o ID do marcador, eles também incluem o resultado bruto e as informações do criador do marcador.
Selecione o link Exibir logs de favoritos para abrir o painel Logs e exibir a consulta que gerou os resultados que foram salvos como o marcador.
No widget de linha do tempo do incidente, você também pode executar as seguintes ações em alertas e favoritos:
Execute um manual no alerta para tomar medidas imediatas para mitigar uma ameaça. Às vezes, você precisa bloquear ou isolar uma ameaça antes de continuar investigando. Saiba mais sobre como executar playbooks em alertas.
Remova um alerta de um incidente. Você pode remover alertas que foram adicionados a incidentes após sua criação se julgar que eles não são relevantes. Saiba mais sobre como remover alertas de incidentes.
Remova um marcador de um incidente ou edite os campos no marcador que podem ser editados (não mostrados).
Verifique se há incidentes semelhantes em seu ambiente
Como analista de operações de segurança, ao investigar um incidente, você deve prestar atenção ao seu contexto maior.
Assim como acontece com o widget de linha do tempo do incidente, você pode passar o mouse sobre qualquer texto que seja exibido incompletamente devido à largura da coluna para revelar o texto completo.
Os motivos pelos quais um incidente aparece na lista de incidentes semelhantes são exibidos na coluna Motivo da semelhança. Passe o cursor sobre o ícone de informações para mostrar os itens comuns (entidades, nome da regra ou detalhes).
Obtenha as principais informações sobre o seu incidente
Os especialistas em segurança do Microsoft Sentinel têm consultas internas que fazem automaticamente as perguntas significativas sobre as entidades em seu incidente. Você pode ver as principais respostas no widget Principais informações , visível no lado direito da página de detalhes do incidente. Este widget mostra uma coleção de insights com base na análise de aprendizado de máquina e na curadoria das principais equipes de especialistas em segurança.
Esses são alguns dos mesmos insights que aparecem nas páginas da entidade, especialmente selecionados para ajudá-lo a fazer uma triagem rápida e entender o escopo da ameaça. Pela mesma razão, os insights de todas as entidades no incidente são apresentados juntos para lhe dar uma imagem mais completa do que está acontecendo.
Os principais insights estão sujeitos a alterações e podem incluir:
- Ações por conta.
- Ações por conta.
- Insights da UEBA.
- Indicadores de ameaça relacionados ao usuário.
- Informações da lista de observação (Pré-visualização).
- Número anormalmente elevado de um evento de segurança.
- Atividade de início de sessão do Windows.
- Conexões remotas de endereço IP.
- Conexões remotas de endereço IP com correspondência de TI.
Cada um desses insights (exceto os relacionados às listas de observação, por enquanto) tem um link que você pode selecionar para abrir a consulta subjacente no painel Logs que é aberto na página do incidente. Em seguida, você pode detalhar os resultados da consulta.
O período de tempo para o widget Top insights é de 24 horas antes do primeiro alerta no incidente até o momento do último alerta.
Explore as entidades do incidente
O widget Entidades mostra todas as entidades que foram identificadas nos alertas do incidente. Estes são os objetos que desempenharam um papel no incidente, sejam eles usuários, dispositivos, endereços, arquivos ou quaisquer outros tipos.
Você pode pesquisar a lista de entidades no widget de entidades ou filtrar a lista por tipo de entidade para ajudá-lo a encontrar uma entidade.
Se você já sabe que uma determinada entidade é um indicador conhecido de comprometimento, selecione os três pontos na linha da entidade e escolha Adicionar à TI para adicionar a entidade à sua inteligência de ameaças. (Esta opção está disponível para tipos de entidade suportados.)
Se você quiser acionar uma sequência de resposta automática para uma entidade específica, selecione os três pontos e escolha Executar playbook (Visualização). (Esta opção está disponível para tipos de entidade suportados.)
Selecione uma entidade para ver todos os seus detalhes. Ao selecionar uma entidade, você passa da guia Visão geral para a guia Entidades, outra parte da página de detalhes do incidente.
Guia Entidades
A guia Entidades mostra uma lista de todas as entidades no incidente.
Como o widget de entidades, esta lista também pode ser pesquisada e filtrada por tipo de entidade. As pesquisas e os filtros aplicados numa lista não se aplicam à outra.
Selecione uma linha na lista para que as informações dessa entidade sejam exibidas em um painel lateral à direita.
Se o nome da entidade aparecer como um link, selecionar o nome da entidade redirecionará você para a página completa da entidade, fora da página de investigação de incidentes. Para exibir apenas o painel lateral sem deixar o incidente, selecione a linha na lista onde a entidade aparece, mas não selecione seu nome.
Você pode executar as mesmas ações aqui que você pode tomar a partir do widget na página de visão geral. Selecione os três pontos na linha da entidade para executar um manual ou adicionar a entidade à sua inteligência de ameaças.
Você também pode executar essas ações selecionando o botão ao lado de Exibir detalhes completos na parte inferior do painel lateral. O botão lê as ações Adicionar ao TI, Executar manual (visualização) ou Entidade, caso em que um menu aparece com as outras duas opções.
O próprio botão Ver detalhes completos redireciona você para a página completa da entidade da entidade.
Painel lateral da guia Entidades
Selecione uma entidade na guia Entidades para mostrar um painel lateral, com os seguintes cartões:
Info contém informações de identificação sobre a entidade. Por exemplo, para uma entidade de conta de usuário, isso pode ser coisas como nome de usuário, nome de domínio, identificador de segurança (SID), informações organizacionais, informações de segurança e muito mais, e para um endereço IP incluiria, por exemplo, geolocalização.
A Linha do tempo contém uma lista dos alertas, marcadores e anomalias que apresentam essa entidade, e também atividades que a entidade executou, conforme coletadas de logs nos quais a entidade aparece. Todos os alertas com esta entidade estão nesta lista, quer os alertas pertençam ou não a este incidente.
Os alertas que não fazem parte do incidente são exibidos de forma diferente: o ícone do escudo está acinzentado, a faixa de cores de gravidade é pontilhada em vez de uma linha sólida e há um botão com um sinal de mais no lado direito da linha do alerta.
Selecione o sinal de adição para adicionar o alerta a este incidente. Quando o alerta é adicionado ao incidente, todas as outras entidades do alerta (que ainda não faziam parte do incidente) também são adicionadas a ele. Agora você pode expandir ainda mais sua investigação observando os cronogramas dessas entidades para alertas relacionados.
Este cronograma é limitado a alertas e atividades nos sete dias anteriores. Para ir mais atrás, gire para a linha do tempo na página completa da entidade, cujo período de tempo é personalizável.
O Insights contém resultados de consultas definidas por pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades, com base em dados de uma coleção de fontes. Esses insights incluem os do widget Top insights e muitos mais, são os mesmos que aparecem na página completa da entidade, mas em um período de tempo limitado: começando 24 horas antes do primeiro alerta no incidente e terminando com o tempo do último alerta.
A maioria dos insights contém links que, quando selecionados, abrem o painel Logs exibindo a consulta que gerou o insight junto com seus resultados.
Aprofunde-se nos seus dados em Logs
De praticamente qualquer lugar na experiência de investigação, você pode selecionar um link que abre uma consulta subjacente no painel Logs , no contexto da investigação. Se você chegou ao painel Logs a partir de um desses links, a consulta correspondente aparecerá na janela de consulta e a consulta será executada automaticamente e gerará os resultados apropriados para você explorar.
Você também pode chamar um painel Logs vazio dentro da página de detalhes do incidente a qualquer momento, se pensar em uma consulta que deseja tentar durante a investigação, permanecendo no contexto. Para fazer isso, selecione Logs na parte superior da página.
No entanto, você acaba no painel Logs , se tiver executado uma consulta cujos resultados deseja salvar, use o seguinte procedimento:
Marque a caixa de seleção ao lado da linha que você deseja salvar entre os resultados. Para salvar todos os resultados, marque a caixa de seleção na parte superior da coluna.
Salve os resultados marcados como um marcador. Você tem duas opções para fazer isso:
Selecione Adicionar marcador ao incidente atual para criar um marcador e adicioná-lo ao incidente aberto. Siga as instruções do marcador para concluir o processo. Uma vez concluído, o marcador aparece na linha do tempo do incidente.
Selecione Adicionar marcador para criar um marcador sem adicioná-lo a nenhum incidente. Siga as instruções do marcador para concluir o processo. Pode encontrar este marcador juntamente com quaisquer outros que tenha criado na página Caça, no separador Favoritos . A partir daí, você pode adicioná-lo a este ou a qualquer outro incidente.
Depois de criar o marcador (ou se optar por não o fazer), selecione Concluído para fechar o painel Logs .
Por exemplo:
Expanda ou concentre a sua investigação
Adicione alertas aos incidentes para expandir ou ampliar o escopo da investigação. Como alternativa, remova alertas de incidentes para restringir ou concentrar o escopo da investigação.
Para obter mais informações, consulte Relacionar alertas a incidentes no Microsoft Sentinel no portal do Azure.
Investigue incidentes visualmente usando o gráfico de investigação
Se você preferir uma representação visual e gráfica de alertas, entidades e as conexões entre eles em sua investigação, você pode realizar muitas das coisas discutidas anteriormente com o gráfico de investigação clássico também. A desvantagem do gráfico é que você acaba tendo que mudar muito mais de contexto.
O gráfico de investigação fornece-lhe:
| Conteúdo da investigação | Descrição |
|---|---|
| Contexto visual a partir de dados brutos | O gráfico visual ao vivo exibe relações de entidade extraídas automaticamente dos dados brutos. Isso permite que você veja facilmente conexões entre diferentes fontes de dados. |
| Descoberta completa do escopo da investigação | Expanda seu escopo de investigação usando consultas de exploração integradas para revelar todo o escopo de uma violação. |
| Etapas de investigação incorporadas | Use opções de exploração predefinidas para se certificar de que está fazendo as perguntas certas diante de uma ameaça. |
Para usar o gráfico de investigação:
Selecione um incidente e, em seguida, selecione Investigar. Isso leva você ao gráfico de investigação. O gráfico fornece um mapa ilustrativo das entidades diretamente ligadas ao alerta e de cada recurso ligado posteriormente.
Importante
Você só poderá investigar o incidente se a regra de análise ou o marcador que o gerou contiver mapeamentos de entidade. O gráfico de investigação requer que o incidente original inclua entidades.
Atualmente, o gráfico de investigação suporta a investigação de incidentes com até 30 dias de idade.
Selecione uma entidade para abrir o painel Entidades para que você possa revisar as informações sobre essa entidade.
Expanda sua investigação passando o mouse sobre cada entidade para revelar uma lista de perguntas que são projetadas por nossos especialistas e analistas de segurança por tipo de entidade para aprofundar sua investigação. Chamamos essas opções de consultas de exploração.
Por exemplo, você pode solicitar alertas relacionados. Se você selecionar uma consulta de exploração, os direitos resultantes serão adicionados de volta ao gráfico. Neste exemplo, selecionar Alertas relacionados retornou os seguintes alertas no gráfico:
Veja se os alertas relacionados aparecem conectados à entidade por linhas pontilhadas.
Para cada consulta de exploração, você pode selecionar a opção para abrir os resultados brutos do evento e a consulta usada no Log Analytics, selecionando Eventos>.
Para entender o incidente, o gráfico fornece uma linha do tempo paralela.
Passe o cursor sobre a linha do tempo para ver quais coisas no gráfico ocorreram em que momento.
Auditar eventos de incidentes e adicionar comentários
Ao investigar um incidente, você deseja documentar minuciosamente as etapas tomadas, tanto para garantir relatórios precisos para a gerência quanto para permitir uma cooperação e colaboração perfeitas entre colegas de trabalho. Você também deseja ver claramente os registros de quaisquer ações tomadas no incidente por outras pessoas, inclusive por processos automatizados. O Microsoft Sentinel oferece o registro de atividades, um ambiente avançado de auditoria e comentários, para ajudá-lo a realizar isso.
Você também pode enriquecer seus incidentes automaticamente com comentários. Por exemplo, quando você executa um playbook sobre um incidente que busca informações relevantes de fontes externas (por exemplo, verificando um arquivo em busca de malware no VirusTotal), você pode fazer com que o playbook coloque a resposta da fonte externa, juntamente com qualquer outra informação que você definir, nos comentários do incidente.
O registro de atividades é atualizado automaticamente, mesmo quando aberto, para que você sempre possa ver as alterações em tempo real. Você também será notificado sobre quaisquer alterações feitas no registro de atividades enquanto ele estiver aberto.
Pré-requisitos
Edição: Somente o autor de um comentário tem permissão para editá-lo.
Excluindo: somente os usuários com a função de Colaborador do Microsoft Sentinel têm permissão para excluir comentários. Até mesmo o autor do comentário deve ter esse papel para excluí-lo.
Para ver o registo de atividades e comentários, ou para adicionar os seus próprios comentários:
- Selecione Registro de atividades na parte superior da página de detalhes do incidente.
- Para filtrar o log para mostrar apenas atividades ou apenas comentários, selecione o controle de filtro na parte superior do log.
- Se quiser adicionar um comentário, insira-o no editor de rich text na parte inferior do painel Registro de atividades de incidentes.
- Selecione Comentário para enviar o comentário. O seu comentário é adicionado na parte superior do registo.
Entrada suportada para comentários
A tabela a seguir lista os limites para entradas suportadas nos comentários:
| Tipo | Descrição |
|---|---|
| Texto | Os comentários no Microsoft Sentinel suportam entradas de texto em texto simples, HTML básico e Markdown. Você também pode colar texto copiado, HTML e Markdown na janela de comentários. |
| Ligações | Os links devem estar na forma de tags âncora HTML e devem ter o parâmetro target="_blank". Por exemplo::html<br><a href="https://www.url.com" target="_blank">link text</a><br>Se você tiver playbooks que criam comentários em incidentes, os links nesses comentários também devem estar em conformidade com este modelo. |
| Imagens | As imagens não podem ser carregadas diretamente nos comentários. Em vez disso, insira links para imagens nos comentários para exibir imagens embutidas. As imagens vinculadas já devem estar hospedadas em um local acessível publicamente, como Dropbox, OneDrive, Google Drive e assim por diante. |
| Limite de tamanho |
Por comentário: um único comentário pode conter até 30.000 caracteres. Por incidente: um único incidente pode conter até 100 comentários. O limite de tamanho de um único registro de incidente na tabela SecurityIncident no Log Analytics é de 64 KB. Se esse limite for excedido, os comentários (começando pelo mais antigo) serão truncados, o que pode afetar os comentários que aparecem nos resultados de pesquisa avançada. Os registros reais de incidentes no banco de dados de incidentes não são afetados. |
Próximo passo
Investigar incidentes com dados da UEBA
Conteúdos relacionados
Neste artigo, você aprendeu como começar a investigar incidentes usando o Microsoft Sentinel. Para obter mais informações, consulte: