Sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proaktivní vyhledávání hrozeb obvykle vyžaduje kontrolu hor dat protokolu a hledá důkaz škodlivého chování. Během tohoto procesu zjistí vyšetřovatelé události, které si chtějí zapamatovat, znovu se k nim vrátit a analyzovat jako součást ověřování potenciálních hypotéz a pochopení celého příběhu kompromisu.

Záložky proaktivního vyhledávání v Microsoft Sentinelu vám pomůžou zachovat dotazy, které jste spustili v Microsoft Sentinelu – Protokoly a výsledky dotazů, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci.

Teď můžete identifikovat a řešit mezery v pokrytí techniky MITRE ATT&CK napříč všemi dotazy proaktivního vyhledávání namapováním vlastních dotazů proaktivního vyhledávání na techniky MITRE ATT&CK.

Prozkoumejte více typů entit při vyhledávání pomocí záložek a namapujte úplnou sadu typů entit a identifikátorů podporovaných službou Microsoft Sentinel Analytics ve vlastních dotazech. Pomocí záložek můžete prozkoumat entity vrácené ve výsledcích dotazu proaktivního vyhledávání pomocí stránek entit, incidentů a grafu šetření. Pokud záložka zaznamenává výsledky z dotazu proaktivního vyhledávání, automaticky dědí techniku MITRE ATT&CK dotazu a mapování entit.

Pokud v protokolech zjistíte něco, co je naléhavě potřeba vyřešit při proaktivním vyhledávání, můžete snadno vytvořit záložku a buď ji povýšit na incident, nebo ho přidat do existujícího incidentu. Další informace oincidentch

Pokud jste našli něco, co stojí za záložky, ale to není okamžitě naléhavé, můžete vytvořit záložku a pak se k datům záložky kdykoli vrátit na kartě Záložky v podokně Proaktivní vyhledávání . Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální prověřování.

Data v záložkách můžete vizualizovat tak , že v podrobnostech záložky vyberete Prozkoumat . Tím se spustí prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.

Případně můžete data v záložkách zobrazit přímo v tabulce HuntingBookmark v pracovním prostoru služby Log Analytics. Příklad:

Snímek obrazovky se zobrazením tabulky záložek proaktivního vyhledávání

Zobrazení záložek z tabulky umožňuje filtrovat, shrnout a spojit data se záložkami s jinými zdroji dat, což usnadňuje vyhledávání důkazů.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přidání záložky

Vytvořte záložku pro zachování dotazů, výsledků, pozorování a zjištění.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Vyberte jeden z dotazů proaktivního vyhledávání.

  3. V podrobnostech dotazu proaktivního vyhledávání vyberte Spustit dotaz.

  4. Vyberte Zobrazit výsledky dotazu. Příklad:

    Snímek obrazovky s zobrazením výsledků dotazu z proaktivního vyhledávání v Microsoft Sentinelu

    Tato akce otevře výsledky dotazu v podokně Protokoly .

  5. V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují informace, které jsou zajímavé.

  6. Vyberte Přidat záložku:

    Snímek obrazovky s přidáním záložky proaktivního vyhledávání k dotazu

  7. Na pravé straně v podokně Přidat záložku volitelně aktualizujte název záložky, přidejte značky a poznámky, abyste mohli zjistit, co bylo zajímavé o položce.

  8. Záložky lze volitelně mapovat na techniky MITRE ATT&CK nebo dílčí techniky. Mapování MITRE ATT&CK se dědí z mapovaných hodnot v dotazech proaktivního vyhledávání, ale můžete je také vytvořit ručně. V rozevírací nabídce v části Taktika a techniky v podokně Přidat záložku vyberte taktiku MITRE ATT&CK přidruženou k požadované technice. Nabídka se rozbalí a zobrazí všechny techniky MITRE ATT&CK a v této nabídce můžete vybrat několik technik a dílčích technik.

    Snímek obrazovky znázorňuje, jak mapovat taktiku a techniky útoku Mitre na záložky.

  9. Teď je možné rozbalenou sadu entit extrahovat z výsledků dotazu se záložkami pro další šetření. V části Mapování entit pomocí rozevíracích seznamů vyberte typy a identifikátory entit. Potom namapujte sloupec ve výsledcích dotazu obsahujícím odpovídající identifikátor. Příklad:

    Snímek obrazovky pro mapování typů entit pro záložky proaktivního vyhledávání

    Pokud chcete zobrazit záložku v grafu šetření, musíte namapovat aspoň jednu entitu. Mapování entit na typy entit účtů, hostitelů, IP adres a adres URL, které jste vytvořili, se podporují a zachovávají zpětnou kompatibilitu.

  10. Výběrem možnosti Uložit potvrďte změny a přidejte záložku. Všechna data v záložkách se sdílí s dalšími analytiky a je prvním krokem směrem k prostředí pro zkoumání spolupráce.

Výsledky dotazu protokolu podporují záložky při každém otevření tohoto podokna z Microsoft Sentinelu. Například z navigačního panelu vyberete obecné>protokoly, v grafu vyšetřování vyberete odkazy na události nebo vyberete ID výstrahy z úplných podrobností incidentu. Záložky nelze vytvořit, když se podokno Protokoly otevře z jiných umístění, například přímo ze služby Azure Monitor.

Zobrazení a aktualizace záložek

Najděte a aktualizujte záložku na kartě záložky.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Výběrem karty Záložky zobrazíte seznam záložek.

  3. Hledáním nebo filtrováním můžete vyhledat konkrétní záložku nebo záložky.

  4. Výběrem jednotlivých záložek zobrazíte podrobnosti záložky v pravém podokně.

  5. Podle potřeby proveďte změny. Vaše změny se automaticky uloží.

Zkoumání záložek v grafu šetření

Vizualizujte svá data v záložkách spuštěním prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete prozkoumat.

  2. V podrobnostech záložky se ujistěte, že je namapovaná aspoň jedna entita.

  3. Výběrem možnosti Prozkoumat zobrazíte záložku v grafu šetření.

Pokyny k použití grafu šetření najdete v tématu Podrobné informace o použití grafu šetření.

Přidání záložek do nového nebo existujícího incidentu

Přidejte záložky k incidentu z karty záložek na stránce Proaktivní vyhledávání .

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete přidat k incidentu.

  2. Na panelu příkazů vyberte akce incidentu:

    Snímek obrazovky s přidáním záložek k incidentu

  3. Podle potřeby vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu. Potom:

    • Pro nový incident: Volitelně aktualizujte podrobnosti incidentu a pak vyberte Vytvořit.
    • Přidání záložky do existujícího incidentu: Vyberte jeden incident a pak vyberte Přidat.

Jako alternativu k možnosti Akce incidentu na panelu příkazů můžete použít místní nabídku (...) pro jednu nebo více záložek a vybrat možnosti pro vytvoření nového incidentu, přidat do existujícího incidentu a odebrat z incidentu.

Pokud chcete zobrazit záložku v rámci incidentu: Přejděte na incidenty správy>hrozeb Microsoft Sentinelu>a vyberte incident se záložkou. Vyberte Zobrazit úplné podrobnosti a pak vyberte kartu Záložky .

Zobrazení dat v záložkách v protokolech

Umožňuje zobrazit záložkované dotazy, výsledky nebo jejich historii.

  1. Vyberte záložku na kartě Záložky proaktivního vyhledávání>.

  2. Vyberte odkazy uvedené v podokně podrobností:

    • Zobrazením zdrojového dotazu zobrazíte zdrojový dotaz v podokně Protokoly .

    • Zobrazte si protokoly záložek, abyste viděli všechna metadata záložek, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.

  3. Zobrazte nezpracovaná data záložek pro všechny záložky tak, že na panelu příkazů na kartě Záložky proaktivního vyhledávání>vyberete protokoly záložek:

    Snímek obrazovky s příkazem protokoly záložek

Toto zobrazení zobrazuje všechny záložky s přidruženými metadaty. Dotazy dotazovací jazyk Kusto (KQL) můžete použít k filtrování na nejnovější verzi konkrétní záložky, kterou hledáte.

Mezi dobou vytvoření záložky a zobrazením na kartě Záložky může dojít k významnému zpoždění (měřeno v minutách ).

Odstranění záložky

Odstraněním záložky odeberete záložku ze seznamu na kartě Záložka . Tabulka HuntingBookmark pro váš pracovní prostor služby Log Analytics nadále obsahuje předchozí položky záložek, ale nejnovější položka změní hodnotu SoftDelete na true a usnadňuje filtrování starých záložek. Odstranění záložky neodebere žádné entity z prostředí pro šetření, které jsou přidružené k jiným záložkám nebo upozorněním.

Pokud chcete záložku odstranit, proveďte následující kroky.

  1. Na kartě Záložky proaktivního vyhledávání>vyberte záložku nebo záložky, které chcete odstranit.

  2. Klikněte pravým tlačítkem myši a vyberte možnost pro odstranění vybraných záložek.

Související obsah

V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí záložek v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: