Sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu
Proaktivní vyhledávání hrozeb obvykle vyžaduje kontrolu hor dat protokolu a hledá důkaz škodlivého chování. Během tohoto procesu zjistí vyšetřovatelé události, které si chtějí zapamatovat, znovu se k nim vrátit a analyzovat jako součást ověřování potenciálních hypotéz a pochopení celého příběhu kompromisu.
Záložky proaktivního vyhledávání v Microsoft Sentinelu vám pomůžou zachovat dotazy, které jste spustili v Microsoft Sentinelu – Protokoly a výsledky dotazů, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci.
Teď můžete identifikovat a řešit mezery v pokrytí techniky MITRE ATT&CK napříč všemi dotazy proaktivního vyhledávání namapováním vlastních dotazů proaktivního vyhledávání na techniky MITRE ATT&CK.
Prozkoumejte více typů entit při vyhledávání pomocí záložek a namapujte úplnou sadu typů entit a identifikátorů podporovaných službou Microsoft Sentinel Analytics ve vlastních dotazech. Pomocí záložek můžete prozkoumat entity vrácené ve výsledcích dotazu proaktivního vyhledávání pomocí stránek entit, incidentů a grafu šetření. Pokud záložka zaznamenává výsledky z dotazu proaktivního vyhledávání, automaticky dědí techniku MITRE ATT&CK dotazu a mapování entit.
Pokud v protokolech zjistíte něco, co je naléhavě potřeba vyřešit při proaktivním vyhledávání, můžete snadno vytvořit záložku a buď ji povýšit na incident, nebo ho přidat do existujícího incidentu. Další informace oincidentch
Pokud jste našli něco, co stojí za záložky, ale to není okamžitě naléhavé, můžete vytvořit záložku a pak se k datům záložky kdykoli vrátit na kartě Záložky v podokně Proaktivní vyhledávání . Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální prověřování.
Data v záložkách můžete vizualizovat tak , že v podrobnostech záložky vyberete Prozkoumat . Tím se spustí prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.
Případně můžete data v záložkách zobrazit přímo v tabulce HuntingBookmark v pracovním prostoru služby Log Analytics. Příklad:
Zobrazení záložek z tabulky umožňuje filtrovat, shrnout a spojit data se záložkami s jinými zdroji dat, což usnadňuje vyhledávání důkazů.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Důležité
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Přidání záložky
Vytvořte záložku pro zachování dotazů, výsledků, pozorování a zjištění.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vyberte jeden z dotazů proaktivního vyhledávání.
V podrobnostech dotazu proaktivního vyhledávání vyberte Spustit dotaz.
Vyberte Zobrazit výsledky dotazu. Příklad:
Tato akce otevře výsledky dotazu v podokně Protokoly .
V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují informace, které jsou zajímavé.
Vyberte Přidat záložku:
Na pravé straně v podokně Přidat záložku volitelně aktualizujte název záložky, přidejte značky a poznámky, abyste mohli zjistit, co bylo zajímavé o položce.
Záložky lze volitelně mapovat na techniky MITRE ATT&CK nebo dílčí techniky. Mapování MITRE ATT&CK se dědí z mapovaných hodnot v dotazech proaktivního vyhledávání, ale můžete je také vytvořit ručně. V rozevírací nabídce v části Taktika a techniky v podokně Přidat záložku vyberte taktiku MITRE ATT&CK přidruženou k požadované technice. Nabídka se rozbalí a zobrazí všechny techniky MITRE ATT&CK a v této nabídce můžete vybrat několik technik a dílčích technik.
Teď je možné rozbalenou sadu entit extrahovat z výsledků dotazu se záložkami pro další šetření. V části Mapování entit pomocí rozevíracích seznamů vyberte typy a identifikátory entit. Potom namapujte sloupec ve výsledcích dotazu obsahujícím odpovídající identifikátor. Příklad:
Pokud chcete zobrazit záložku v grafu šetření, musíte namapovat aspoň jednu entitu. Mapování entit na typy entit účtů, hostitelů, IP adres a adres URL, které jste vytvořili, se podporují a zachovávají zpětnou kompatibilitu.
Výběrem možnosti Uložit potvrďte změny a přidejte záložku. Všechna data v záložkách se sdílí s dalšími analytiky a je prvním krokem směrem k prostředí pro zkoumání spolupráce.
Výsledky dotazu protokolu podporují záložky při každém otevření tohoto podokna z Microsoft Sentinelu. Například z navigačního panelu vyberete obecné>protokoly, v grafu vyšetřování vyberete odkazy na události nebo vyberete ID výstrahy z úplných podrobností incidentu. Záložky nelze vytvořit, když se podokno Protokoly otevře z jiných umístění, například přímo ze služby Azure Monitor.
Zobrazení a aktualizace záložek
Najděte a aktualizujte záložku na kartě záložky.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Výběrem karty Záložky zobrazíte seznam záložek.
Hledáním nebo filtrováním můžete vyhledat konkrétní záložku nebo záložky.
Výběrem jednotlivých záložek zobrazíte podrobnosti záložky v pravém podokně.
Podle potřeby proveďte změny. Vaše změny se automaticky uloží.
Zkoumání záložek v grafu šetření
Vizualizujte svá data v záložkách spuštěním prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.
Na kartě Záložky vyberte záložku nebo záložky, které chcete prozkoumat.
V podrobnostech záložky se ujistěte, že je namapovaná aspoň jedna entita.
Výběrem možnosti Prozkoumat zobrazíte záložku v grafu šetření.
Pokyny k použití grafu šetření najdete v tématu Podrobné informace o použití grafu šetření.
Přidání záložek do nového nebo existujícího incidentu
Přidejte záložky k incidentu z karty záložek na stránce Proaktivní vyhledávání .
Na kartě Záložky vyberte záložku nebo záložky, které chcete přidat k incidentu.
Na panelu příkazů vyberte akce incidentu:
Podle potřeby vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu. Potom:
- Pro nový incident: Volitelně aktualizujte podrobnosti incidentu a pak vyberte Vytvořit.
- Přidání záložky do existujícího incidentu: Vyberte jeden incident a pak vyberte Přidat.
Jako alternativu k možnosti Akce incidentu na panelu příkazů můžete použít místní nabídku (...) pro jednu nebo více záložek a vybrat možnosti pro vytvoření nového incidentu, přidat do existujícího incidentu a odebrat z incidentu.
Pokud chcete zobrazit záložku v rámci incidentu: Přejděte na incidenty správy>hrozeb Microsoft Sentinelu>a vyberte incident se záložkou. Vyberte Zobrazit úplné podrobnosti a pak vyberte kartu Záložky .
Zobrazení dat v záložkách v protokolech
Umožňuje zobrazit záložkované dotazy, výsledky nebo jejich historii.
Vyberte záložku na kartě Záložky proaktivního vyhledávání>.
Vyberte odkazy uvedené v podokně podrobností:
Zobrazením zdrojového dotazu zobrazíte zdrojový dotaz v podokně Protokoly .
Zobrazte si protokoly záložek, abyste viděli všechna metadata záložek, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.
Zobrazte nezpracovaná data záložek pro všechny záložky tak, že na panelu příkazů na kartě Záložky proaktivního vyhledávání>vyberete protokoly záložek:
Toto zobrazení zobrazuje všechny záložky s přidruženými metadaty. Dotazy dotazovací jazyk Kusto (KQL) můžete použít k filtrování na nejnovější verzi konkrétní záložky, kterou hledáte.
Mezi dobou vytvoření záložky a zobrazením na kartě Záložky může dojít k významnému zpoždění (měřeno v minutách ).
Odstranění záložky
Odstraněním záložky odeberete záložku ze seznamu na kartě Záložka . Tabulka HuntingBookmark pro váš pracovní prostor služby Log Analytics nadále obsahuje předchozí položky záložek, ale nejnovější položka změní hodnotu SoftDelete na true a usnadňuje filtrování starých záložek. Odstranění záložky neodebere žádné entity z prostředí pro šetření, které jsou přidružené k jiným záložkám nebo upozorněním.
Pokud chcete záložku odstranit, proveďte následující kroky.
Na kartě Záložky proaktivního vyhledávání>vyberte záložku nebo záložky, které chcete odstranit.
Klikněte pravým tlačítkem myši a vyberte možnost pro odstranění vybraných záložek.
Související obsah
V tomto článku jste zjistili, jak spustit proaktivní šetření pomocí záložek v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: