Open in app

Sign in

Write

Sign in

MS Sentinel的安全事故管理

假設我們是一家公司的資安人員,這間公司使用下列 Microsoft 安全管理產品:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Intune Endpoint Protection
  • Azure Information Protection

這間公司使用 Microsoft Defender for Cloud 作為對 Azure 和地端機房運行的資源的威脅保護。該公司還監控和保護其他非微軟資產。

最近,該公司的 Azure Activity log顯示,大量VM從 Azure 訂閱中刪除。我們需要分析此事件,並在將來發生類似活動時收到告警。

本文將描述如何使用 Microsoft Sentinel 建立並調查使用者刪除現有 VM 時的事故。

甚麼是事故(Incident)

對組織的技術相關威脅稱為事故。事故管理是事故調查的完整過程,從事故產生到深入調查和解決。 Microsoft Sentinel 可以協助 IT 團隊進行"組織、調查和追蹤"事故從產生到解決的整個過程。

我們可以使用 Microsoft Sentinel 查看詳細的事故資訊、指派事故負責人、設定和維護事故嚴重性以及管理事故狀態。 Microsoft Sentinel 提供了一個完整的事故管理環境來處理這些步驟。

主要概念

  • Data connectors。可以使用 Microsoft Sentinel Data connectors從安全相關服務中提取和收集資料。資料連接器可以從執行 Log Analytics agent的 Linux 或 Windows 電腦、從防火牆或proxy等裝置的 Linux 系統日誌伺服器或直接從 Microsoft Azure 服務收集事件(events)。這些事件會轉送到與 Microsoft Sentinel 關聯的 Log Analytics 工作區。
  • Events。 Microsoft Sentinel 將事件儲存在 Log Analytics 工作區中。這些事件包含我們希望 Microsoft Sentinel 監視的與安全性相關的活動的詳細資訊。
  • Analytics rules。分析規則可偵測重要的安全事件並產生告警。可以使用內建範本或針對 Microsoft Sentinel 中的 Log Analytics 工作區使用自訂 KQL查詢來建立分析規則。
  • Alerts。分析規則在偵測到重要安全事件時產生告警。可以設定告警以產生事故。
  • 事故(Incidents)。 Microsoft Sentinel 會根據分析規則告警建立事故。事故可以包含多個相關告警。可以使用每個事故作為調查環境中安全問題的起點和追蹤機制。

Microsoft Sentinel Overview page

Microsoft Sentinel 中的事故管理從「Overview」頁面開始,可以在其中查看目前的 Microsoft Sentinel 環境。概述頁面顯示最新事故的清單以及其他重要的 Microsoft Sentinel 資訊。我們可以在調查事故之前使用此頁面了解一般安全狀況。

Incident evidence and entities

Microsoft Sentinel 使用各種資訊來源來建立事故。我們需要了解這些來源才能最好地利用 Microsoft Sentinel 中的事故管理。

事故證據(Incident evidence)

事故證據包括安全事件資訊和識別 Microsoft Sentinel 環境中威脅的相關 Microsoft Sentinel 資產。證據顯示 Microsoft Sentinel 如何識別威脅,並連結回可以提高我們對事故詳細資訊的了解的特定資源。

事件(Events)

事件將我們連結回與 Microsoft Sentinel 關聯的 Log Analytics 工作區中的一個或多個特定事件。這些工作區本身通常包含數千個事件,數量過多而無法人工解析。

如果附加到 Microsoft Sentinel analytics rule(分析規則)的查詢傳回事件,它會將事件(events)附加到產生事故(incidents)以供進一步檢視。在進一步調查之前,我們可以使用這些事件來了解事故的範圍和頻率。

告警(Alerts)

大多數事故都是由於分析規則告警而產生的。告警的範例包括:

  • 偵測可疑檔案。
  • 偵測可疑的使用者活動。
  • 試圖提升特權。

分析規則基於 KQL查詢或直接連接到 Microsoft 安全解決方案(例如 Microsoft Defender for Cloud 或 Microsoft Defender XDR)產生告警。如果啟用告警分組,Microsoft Sentinel 會包含事故的任何相關告警證據。

Bookmarks

在調查故時,我們可能會確定要追蹤或標記的事故以供以後調查。我們可以透過選擇一個或多個事件並將其指定為bookmarks來保留 Log Analytics 中執行的查詢。還可以記錄註釋和標籤,以便更好地為未來的威脅搜尋流程提供資訊。團隊中的人都可以使用書籤。

Incident entities

事故實體(incident entity)是指與事故相關的網路或使用者資源。可以使用實體作為起點來探索與該實體關聯的所有告警報和關聯。

當我們調查事故時,實體關係(Entity relationships)非常有用。我們可以使用實體來觀察與環境中的特定使用者、主機或位址關聯的任何警報,而不是單獨分析身分告警、網路告警和資料存取告警。

一些實體類型包括:

  • Account
  • Host
  • IP
  • URL
  • FileHash

例如,實體可以幫助我們識別與組織中的特定使用者、使用者的主機以及使用者已連接到的其他主機關聯的所有告警。我們可以確定哪些 IP 位址與該使用者關聯,從而暴露哪些事故和告警可能是相同攻擊的一部分。

事故管理

開始使用 Microsoft Sentinel 產生事故後,我們和IT 團隊可以調查這些事故。 Microsoft Sentinel 擁有進階調查和分析工具,可用於收集資訊並確定補救步驟。

檢視事故

要識別並解決資安問題,請先調查所有事故。 Microsoft Sentinel 概述頁面提供了最新事故的清單以供快速參考。有關事故的更多詳細資訊和完整概述,請使用「Incidents」頁面,該頁面顯示當前工作區中的所有事故以及有關這些事件的詳細資訊。

Incidents頁面提供了 Microsoft Sentinel 中事件的完整清單。該頁面還提供基本的事故資訊。資訊包括嚴重性、ID、標題、告警、產品名稱、建立時間、上次更新時間、所有者和狀態。我們可以按任何事故列進行排序,並按名稱、嚴重性、狀態、產品名稱或擁有者篩選事件清單。

檢視事故的詳細資訊

選擇「Incidents」頁面上的任何事故可在右窗格中顯示有關該事故的更多資訊。此窗格提供事故的描述並列出相關證據、實體和戰術(tactics)。此窗格還包含指向關聯workbooks和產生事故的分析規則的連結。這些資訊可以幫助我們澄清事故的性質、背景和行動過程。

在事故詳細資料窗格中,選擇查看完整詳細資訊以開啟事故頁面並查看有關事故的更多詳細資訊。我們可以使用這些詳細資訊來更好地理解事故的背景脈絡。例如,在brute force attack incident中,可以前往 Log Analytics 查詢告警以確定攻擊數量。

管理事故的負責人、狀態與嚴重性

Microsoft Sentinel 建立的每個事故都附加了可以檢視和管理的metadata。這些資訊可以讓我們:

  • 分配並追蹤事故負責人。
  • 設定並追蹤事故從建立到解決的狀態。
  • 設定並審查嚴重性。

在典型的環境中,每個事故都應該從資安團隊中分配一個負責人。事故負責人負責整體事故管理,包括調查和狀態更新。我們可以隨時變更所有權,將事故指派給其他安全團隊成員以進行進一步調查或升級。

Microsoft Sentinel 中建立的每個新事故都指派有「New」狀態。當查看並回應事故時,手動變更狀態以反映事故的當前狀態。對於正在調查的事故,將狀態設定為「Active」。當事故完全解決後,將狀態設為Closed。

當您將狀態設定為「Closed」時,系統會提示我們選擇以下解決方案之一:

  • True Positive — Suspicious activity
  • Benign Positive — Suspicious but expected
  • False Positive — Incorrect alert logic
  • False Positive — Inaccurate data
  • Undetermined

產生事故的規則或 Microsoft 安全性來源最初設定嚴重性。在大多數情況下,事故嚴重性保持不變,但如果我們確定事故比最初分類的嚴重程度更高或更低,則可以變更嚴重性。嚴重性選項包括Informational, Low, Medium 與High。

使用investigation graph

我們可以透過選擇「Incident」頁面上的「Investigate」來進一步調查事故。此操作將開啟調查圖,這是一種視覺化工具,有助於識別參與攻擊的實體以及這些實體之間的關係。如果故在一段時間內涉及多個告警,還可以查看告警時間軸以及告警之間的相關性。

選擇圖表上的每個實體來觀察有關該實體的更多資訊。此資訊包括與其他實體的關係、帳號使用情況和資料流資訊。對於每個資訊區域,前往 Log Analytics 中的相關事件並將相關告警資料新增至圖表。

選擇圖表上的事故項目來觀察事故的安全性和環境情境相關的incident metadata。

資安
Siem
Soar
Microsoft Sentinel

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams