Entenda os recursos de investigação de incidentes e gerenciamento de casos do Microsoft Sentinel
O Microsoft Sentinel oferece uma completa plataforma de gerenciamento de casos para investigação e gerenciamento incidentes de segurança. Incidentes são o nome do Microsoft Sentinel para arquivos de casos que contêm uma cronologia completa e constantemente atualizada de uma ameaça à segurança, sejam evidências individuais (alertas), suspeitos e partes interessadas (entidades), insights coletados e selecionados por especialistas em segurança e modelos de IA/aprendizado de máquina, ou comentários e registros de todas as ações tomadas no decorrer da investigação.
A experiência de investigação de incidentes no Microsoft Sentinel começa com a página Incidentes – uma nova experiência projetada para fornecer tudo o que você precisa para sua investigação em um só lugar. O principal objetivo dessa nova experiência é aumentar a eficiência e a eficácia do seu SOC, reduzindo seu tempo médio de resolução (MTTR).
Este artigo leva você através das fases de uma investigação típica de incidentes, apresentando todas as exibições e ferramentas disponíveis para ajudá-lo.
Aumente a maturidade do seu SOC
O Microsoft Sentinel oferece as ferramentas para ajudar a aumentar seu nível de maturidade em Operações de Segurança (SecOps).
Padronize processos
Tarefas de incidentes são listas de tarefas de fluxo de trabalho que os analistas devem seguir para garantir um padrão uniforme de atendimento e evitar que etapas cruciais sejam perdidas. Os gerentes e engenheiros do SOC podem desenvolver essas listas de tarefas e fazer com que elas sejam aplicadas automaticamente a diferentes grupos de incidentes, conforme apropriado ou de forma geral. Os analistas de SOC podem então acessar as tarefas atribuídas em cada incidente, marcando-as à medida que são concluídas. Os analistas também podem adicionar manualmente tarefas aos seus incidentes abertos, seja como auto-lembretes ou para o benefício de outros analistas que possam colaborar no incidente (por exemplo, devido a uma mudança ou escalonamento de turnos).
Saiba mais sobre as tarefas de incidente.
Gerenciamento de incidentes de auditoria
O log de atividades do incidente rastreia as ações tomadas em um incidente, sejam elas iniciadas por humanos ou processos automatizados e as exibe junto com todos os comentários sobre o incidente. Você também pode adicionar aqui seus próprios comentários. Ele fornece um registro completo de tudo o que aconteceu, garantindo rigor e responsabilidade.
Investigue de forma eficaz e eficiente
Consulte o cronograma
Em primeiro lugar: como analista, a pergunta mais básica que você quer responder é: por que esse incidente está sendo trazido ao meu conhecimento? Entrar na página de detalhes de um incidente responderá a essa pergunta: bem no centro da tela, você verá o widget Linha do tempo do incidente. A linha do tempo é o diário de todos os alertas que representam todos os eventos registrados que são relevantes para a investigação, na ordem em que aconteceram. A linha do tempo também mostra os indicadores, instantâneos de evidências coletadas durante a busca e adicionadas ao incidente. Veja os detalhes completos de qualquer item nessa lista selecionando-o. Muitos desses detalhes, como o alerta original, a regra de análise que o criou e quaisquer marcadores, aparecem como links que você pode selecionar para se aprofundar ainda mais e saber mais.
Saiba mais sobre o que é possível fazer na linha do tempo do incidente.
Aprenda com incidentes semelhantes
Se alguma coisa que você viu até agora no seu incidente parece familiar, pode haver uma boa razão. O Microsoft Sentinel permanece um passo à sua frente, mostrando os incidentes mais semelhantes aos incidentes abertos. O widget Incidentes semelhantes mostra as informações mais relevantes sobre incidentes considerados semelhantes, incluindo data e hora da última atualização, último proprietário, último status (incluindo, se foram fechados, o motivo pelo qual foram fechados) e o motivo da semelhança.
Isso pode beneficiar sua investigação de várias maneiras:
- Identificar incidentes simultâneos que podem ser parte de uma estratégia de ataque maior.
- Use incidentes semelhantes como pontos de referência para sua investigação atual, veja como eles foram tratados.
- Identifique os proprietários de antigos incidentes semelhantes para se beneficiar do conhecimentos deles.
O widget mostra os 20 incidentes mais semelhantes. O Microsoft Sentinel decide quais incidentes são semelhantes com base em elementos comuns, incluindo entidades, a regra de análise de origem e os detalhes do alerta. A partir desse widget, você pode ir diretamente para as páginas de detalhes completos de qualquer um desses incidentes, mantendo intacta a conexão com o incidente atual.
Saiba mais sobre o que você pode fazer com incidentes semelhantes.
Examine os principais insights
Em seguida, com os contornos gerais do que aconteceu (ou ainda está acontecendo) e uma melhor compreensão do contexto, você ficará curioso sobre quais informações interessantes o Microsoft Sentinel já descobriu para você. Ele faz automaticamente as grandes perguntas sobre as entidades no seu incidente e mostra as principais respostas no widget Principais insights, visível no lado direito da página de detalhes do incidente. Esse widget mostra uma coleção de insights com base na análise de aprendizado de máquina e na curadoria das principais equipes de especialistas em segurança.
Esses são um subconjunto especialmente selecionado de insights que aparecem nas páginas da entidade, mas neste contexto, insights para todas as entidades no incidente são apresentados juntos, dando-lhe uma imagem mais completa do que está acontecendo. O conjunto completo de insights aparece na guia Entidades , para cada entidade separadamente, veja abaixo.
O widget Principais insights responde a perguntas sobre a entidade relacionadas ao seu comportamento em comparação com seus pares e sua própria história, sua presença em watchlist ou em inteligência contra ameaças, ou qualquer outro tipo de ocorrência incomum relacionada a ela.
A maioria desses insights contém links para mais informações. Esses links abrem o painel Logs no contexto, onde você verá a consulta de origem desse insight junto com seus resultados.
Exibir entidades
Agora que você tem algum contexto e algumas perguntas básicas respondidas, você vai querer se aprofundar mais sobre os principais players desta história. Nomes de usuário, nomes de host, endereços IP, nomes de arquivos e outros tipos de entidades podem ser “pessoas de interesse” na sua investigação. O Microsoft Sentinel encontra todos eles para você e os exibe na frente e no centro no widget Entidades, ao lado da linha do tempo. Selecionar uma entidade desse widget direcionará você para a listagem dessa entidade na guia Entidades na mesma página de incidentes.
A guia Entidades contém uma lista de todas as entidades no incidente. Quando uma entidade na lista é selecionada, um painel lateral é aberto contendo uma exibição com base na página da entidade. O painel lateral contém três cartões:
- Informações contém informações básicas sobre a entidade. Para uma entidade de conta de usuário, isso pode ser algo como nome de usuário, nome de domínio, identificador de segurança (SID), informações organizacionais, informações de segurança e muito mais.
- Linha do tempo contém uma lista dos alertas que apresentam essa entidade e as atividades que a entidade realizou, conforme coletados dos logs em que a entidade aparece.
- Insights contém respostas de perguntas sobre a entidade relacionadas ao seu comportamento em comparação com seus pares e sua própria história, sua presença em watchlist ou em inteligência contra ameaças, ou qualquer outro tipo de ocorrência incomum relacionada a ela. Essas respostas são os resultados de consultas definidas pelos pesquisadores de segurança da Microsoft que fornecem informações de segurança valiosas e contextuais sobre entidades, com base nos dados de uma coleção de fontes.
Dependendo do tipo de entidade, você pode realizar várias ações adicionais neste painel lateral:
- Vá até a página de entidade completa da entidade para obter ainda mais detalhes ao longo de um período de tempo mais longo ou inicie a ferramenta de investigação gráfica centrada nessa entidade.
- Execute um guia estratégico para executar ações específicas de resposta ou correção na entidade (em Visualização).
- Classifique a entidade como um indicador de comprometimento (IOC) e adicione-a à sua lista de inteligência contra ameaças.
Cada uma dessas ações é atualmente suportada para determinados tipos de entidade e não para outros. A tabela a seguir mostra quais ações são suportadas para quais tipos de entidade:
Ações disponíveis ▶ Tipos de entidade ▼ |
Exibir todos os detalhes (na página da entidade) |
Adicionar à TI * | Execute o guia estratégico * (Visualização) |
---|---|---|---|
Conta de usuário | ✔ | ✔ | |
Host | ✔ | ✔ | |
Endereço IP | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
Nome de domínio | ✔ | ✔ | |
Arquivo (hash) | ✔ | ✔ | |
Recursos do Azure | ✔ | ||
Dispositivo de IoT | ✔ |
* Em entidades para as quais as ações Adicionar ao TI ou Executar guia estratégico estão disponíveis, você pode executar essas ações diretamente no widget Entidades na guia Visão geral, sem nunca sair da página do incidente.
Explore os logs
Agora você vai querer entrar em detalhes para saber o que exatamente aconteceu? De quase qualquer um dos lugares mencionados acima, você pode detalhar os alertas individuais, entidades, insights e outros itens contidos no incidente, visualizando a consulta original e seus resultados. Esses resultados são exibidos na tela Logs (análise de logs) que aparece aqui como uma extensão do painel da página de detalhes do incidente, para que você não saia do contexto da investigação.
Mantenha seus registros em ordem
Finalmente, no interesse da transparência, responsabilidade e continuidade, você desejará um registro de todas as ações que foram tomadas em relação ao incidente, seja por processos automatizados ou por pessoas. O log de atividades do incidente mostra todas essas atividades. Você também pode ver todos os comentários que foram feitos e adicionar os seus. O log de atividades é constantemente atualizado automaticamente, mesmo quando aberto, para que você possa ver as alterações em tempo real.
Próximas etapas
Neste documento, você aprendeu como a experiência de investigação de incidentes no Microsoft Sentinel ajuda você a realizar uma investigação em um único contexto. Para obter mais informações sobre como gerenciar e investigar incidentes, consulte os artigos a seguir:
- Usar tarefas para gerenciar incidentes no Microsoft Sentinel
- Investigue entidades com páginas de entidades no Microsoft Sentinel.
- Automatize o tratamento de incidentes no Microsoft Sentinel com regras de automação .
- Identificar ameaças avançadas com o UEBA (Análise do Comportamento de Usuários e Entidades) no Microsoft Sentinel
- Buscar por ameaças de segurança.