Předchozí

Další

Ukládání důležitých zjištění pomocí záložek

Dokončeno

Pokud chcete proaktivně vyhledávat hrozby v prostředí společnosti Contoso, musíte kontrolovat velké objemy dat v protokolech, jestli v nich není nějaký důkaz škodlivého chování. Během tohoto procesu můžete najít události, které si budete chtít zapamatovat, vrátit se k nim a analyzovat je, abyste ověřili potenciální hypotézu a porozuměli úplnému kontextu ohrožení.

Proaktivní vyhledávání pomocí záložek

Záložky v Microsoft Sentinelu vám můžou pomoct hledat hrozby tím, že zachováte dotazy, které jste už spustili, spolu s výsledky dotazu, které považujete za relevantní. Můžete také zaznamenat svá kontextová pozorování a odkazovat na svá zjištění přidáváním poznámek a značek. Data v záložkách můžete vidět vy a ostatní členové vašeho týmu, což usnadňuje spolupráci.

Data v záložkách si můžete kdykoli znovu prohlédnout na kartě Záložky na stránce Proaktivní vyhledávání. Pomocí možností filtrování a hledání můžete rychle najít konkrétní data pro vaše aktuální prověřování. Případně si můžete data v záložkách prohlédnout přímo v tabulce HuntingBookmark v pracovním prostoru služby Log Analytics.

Poznámka:

Události v záložkách obsahují standardní informace o událostech, ale dají se používat různými způsoby v rozhraní Microsoft Sentinelu.

Vytváření nebo přidávání incidentů pomocí záložek

Pomocí záložek můžete vytvořit nový incident nebo můžete přidávat výsledky dotazů v záložkách do existujících incidentů. Tlačítko Akce incidentu na panelu nástrojů vám umožňuje provést oba tyto úkoly, když je vybraná některá záložka.

Incidenty vytvořené ze záložek je možné spravovat na stránce Incidenty spolu s dalšími incidenty vytvořenými v Microsoft Sentinelu.

Zkoumání záložek pomocí grafu prověřování

Záložky můžete vyšetřovat stejným způsobem jako incidenty ve službě Microsoft Sentinel. Na stránce Proaktivní vyhledávání vyberte Prozkoumat a otevřete graf šetření incidentu. Graf šetření je vizuální nástroj, který pomáhá identifikovat entity zapojené do útoku a vztahy mezi těmito entitami. Pokud incident zahrnuje více výstrah v průběhu času, můžete si také projít časovou osu výstrah a korelace mezi výstrahami.

Kontrola podrobností entity

Výběrem každé entity v grafu můžete sledovat úplné kontextové informace o této entitě. Tyto informace zahrnují vztahy s jinými entitami, využití účtů a informace o toku dat. U každé oblasti informací můžete přejít na související události v Log Analytics a přidat do grafu data související výstrahy.

Kontrola podrobností záložek

Když vyberete položku záložky v grafu, můžete se podívat na důležitá metadata záložky související s kontextem zabezpečení a prostředí této záložky.

Zvolte nejlepší odpověď na následující otázku a pak vyberte Zkontrolovat odpovědi.

Prověřte si své znalosti

1.

Jak záložky pomáhají v procesu proaktivního vyhledávání hrozeb?

Umožňují lovci uložit výsledky dotazu pro pozdější referenci.

Umožňují lovci sledovat stav incidentu a řešení.

Umožňují lovci vytvářet sešity z výsledků dotazu.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat