Sdílet prostřednictvím

Sledování dat během vyhledávání pomocí Microsoft Sentinelu

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Záložky proaktivního vyhledávání v Microsoft Sentinelu pomáhají zachovat dotazy a výsledky dotazů, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci. Další informace najdete v tématu Záložky.

Poznámka:

Záložky je možné vytvářet jenom na webu Azure Portal. Na portálu Microsoft Defenderu sice nemůžete přidávat záložky, ale můžete si zobrazit záložky, které už byly vytvořeny.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Přidání záložky (jenom Azure Portal)

Vytvořte záložku pro zachování dotazů, výsledků, pozorování a zjištění.

  1. V části Správa hrozeb vyberte Vyhledávání.

  2. Na kartě Dotazy vyberte jeden nebo více dotazů proaktivního vyhledávání.

  3. Na horním panelu příkazů vyberte Spustit vybrané dotazy.

  4. Vyberte Zobrazit výsledky dotazu. Příklad:

    Snímek obrazovky s zobrazením výsledků dotazu z proaktivního vyhledávání v Microsoft Sentinelu

    Tato akce otevře výsledky dotazu v podokně Protokoly .

  5. V seznamu výsledků dotazu protokolu pomocí zaškrtávacích políček vyberte jeden nebo více řádků, které obsahují informace, které jsou zajímavé.

  6. Na webu Azure Portal vyberte Přidat záložku:

    Snímek obrazovky s přidáním záložky proaktivního vyhledávání k dotazu

  7. Na pravé straně v podokně Přidat záložku volitelně aktualizujte název záložky, přidejte značky a poznámky, abyste mohli zjistit, co bylo zajímavé o položce.

  8. Záložky lze volitelně mapovat na techniky MITRE ATT&CK nebo dílčí techniky. Mapování MITRE ATT&CK se dědí z mapovaných hodnot v dotazech pro hledání, ale můžete je také vytvořit ručně. V rozevírací nabídce v části Taktika a techniky v podokně Přidat záložku vyberte taktiku MITRE ATT&CK přidruženou k požadované technice. Nabídka se rozbalí a zobrazí všechny techniky MITRE ATT&CK a v této nabídce můžete vybrat několik technik a dílčích technik.

    Snímek obrazovky znázorňuje, jak mapovat taktiku a techniky útoku Mitre na záložky.

  9. Nyní je možné rozšířenou sadu entit extrahovat z výsledků dotazu se záložkami pro další analýzu. V části Mapování entit pomocí rozevíracích seznamů vyberte typy a identifikátory entit. Potom namapujte sloupec ve výsledcích dotazu obsahujícím odpovídající identifikátor. Příklad:

    Snímek obrazovky pro mapování typů entit pro lov záložek.

    Pokud chcete zobrazit záložku v grafu šetření, musíte namapovat aspoň jednu entitu. Mapování entit na typy entit účtů, hostitelů, IP adres a adres URL, které jste vytvořili, je podporováno s ohledem na zachování zpětné kompatibility.

  10. Výběrem Vytvořit potvrďte změny a přidejte záložku. Všechna data v záložkách se sdílí s dalšími analytiky a je prvním krokem ve směru k prostředí pro spolupráci při vyšetřování.

Výsledky dotazu protokolu podporují záložky pokaždé, když se toto podokno otevře ze Microsoft Sentinelu. Pokud například na navigačním panelu vyberete Obecné>protokoly , v grafu vyšetřování vyberte odkazy na události nebo z úplných podrobností incidentu vyberte ID výstrahy. Záložky nelze vytvořit, když se podokno Protokoly otevře z jiného umístění, například přímo ze služby Azure Monitor.

Zobrazení a aktualizace záložek

Najděte a aktualizujte záložku na kartě záložky.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel v portálu Defender vyberte Microsoft Sentinel, > a Hledání.

  2. Výběrem karty Záložky zobrazíte seznam záložek.

  3. Hledáním nebo filtrováním můžete vyhledat konkrétní záložku nebo záložky.

  4. Výběrem jednotlivých záložek zobrazíte podrobnosti záložky v pravém podokně.

  5. Podle potřeby proveďte změny. Vaše změny se automaticky uloží.

Poznámka:

Na kartě záložky můžete zobrazit až 1 000 záložek. Zbývající data v záložkách si můžete prohlédnout v protokolech. Další informace

Zkoumání záložek v grafu vyšetřování

Vizualizujte svá data v záložkách spuštěním prostředí pro šetření, ve kterém můžete zobrazit, prozkoumat a vizuálně sdělit svá zjištění pomocí interaktivního diagramu a časové osy grafu entit.

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete prozkoumat.

  2. V podrobnostech záložky se ujistěte, že je namapovaná aspoň jedna entita.

  3. Výběrem možnosti Prozkoumat zobrazíte záložku v grafu šetření.

Pokyny k použití grafu šetření najdete v tématu Podrobné informace o použití grafu šetření.

Přidání záložek do nového nebo existujícího incidentu (jenom Azure Portal)

Přidejte záložky k incidentu z karty Záložky na stránce Hledání.

  1. Na kartě Záložky vyberte záložku nebo záložky, které chcete přidat k incidentu.

  2. Na panelu příkazů vyberte akce incidentu :

    Snímek obrazovky při přidávání záložek k incidentu

  3. Podle potřeby vyberte Vytvořit nový incident nebo Přidat do existujícího incidentu. Potom:

    • Pro nový incident: Volitelně aktualizujte podrobnosti incidentu a pak vyberte Vytvořit.
    • Přidání záložky do existujícího incidentu: Vyberte jeden incident a pak vyberte Přidat.

  4. Pro zobrazení záložky v rámci incidentu

    1. Přejděte na Microsoft Sentinel>Správa hrozeb>Incidenty.
    2. Vyberte incident se záložkou a zobrazte si úplné podrobnosti.
    3. Na stránce incidentu v levém podokně vyberte záložky.

Zobrazit záložkovaná data v protokolech

Umožňuje zobrazit záložkované dotazy, výsledky nebo jejich historii.

  1. Na kartěZáložky> vyberte záložku.

  2. V podokně podrobností vyberte následující odkazy:

    • Zobrazením zdrojového dotazu zobrazíte zdrojový dotaz v podokně Protokoly .

    • Zobrazte si protokoly záložek , abyste viděli všechna metadata záložek, včetně toho, kdo provedl aktualizaci, aktualizované hodnoty a čas, kdy k aktualizaci došlo.

  3. Na panelu příkazů na kartě Lov>Záložky vyberte Protokoly záložek a zobrazte surová data záložek pro všechny záložky.

    Snímek obrazovky příkazu protokolů záložek

Toto zobrazení zobrazuje všechny záložky s přidruženými metadaty. Dotazy jazyka KQL (Kusto Query Language) můžete použít k filtrování na nejnovější verzi konkrétní záložky, kterou hledáte.

Mezi dobou vytvoření záložky a zobrazením na kartě Záložky může dojít k významnému zpoždění (měřeno v minutách ).

Odstranění záložky

Odstraněním záložky odeberete záložku ze seznamu na kartě Záložka . Tabulka HuntingBookmark pro váš pracovní prostor služby Log Analytics nadále obsahuje předchozí položky záložek, ale nejnovější položka změní hodnotu SoftDelete na true a usnadňuje filtrování starých záložek. Odstranění záložky neodebere žádné entity z prostředí pro šetření, které jsou přidružené k jiným záložkám nebo upozorněním.

Pokud chcete záložku odstranit, proveďte následující kroky.

  1. Na kartěZáložky> vyberte záložku nebo záložky, které chcete odstranit.

  2. Klikněte pravým tlačítkem myši a vyberte možnost pro odstranění vybraných záložek.

Související obsah

V tomto článku jste se naučili, jak provést lovící vyšetřování pomocí záložek v Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

  • Last updated on