Freigeben über

Daten während des Huntings mit Microsoft Sentinel verfolgen

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Die Suche von Lesezeichen in Microsoft Sentinel hilft Ihnen, die Abfragen und Abfrageergebnisse beizubehalten, die Sie als relevant ansehen. Sie können auch Ihre kontextbezogenen Beobachtungen aufzeichnen und Ihre Ergebnisse durch Hinzufügen von Anmerkungen und Tags referenzieren. Mit Lesezeichen markierte Daten sind für Sie und Ihre Teamkollegen zur einfachen Zusammenarbeit sichtbar. Weitere Informationen finden Sie unter Lesezeichen.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinzufügen eines Lesezeichens

Erstellen Sie ein Lesezeichen, um Abfragen, Ergebnisse, Ihre Beobachtungen und Schlussfolgerungen zu speichern.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Bedrohungsverwaltung " die Option "Suche" aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie auf der Registerkarte "Suche " eine Jagd aus.

  3. Wählen Sie eine der Hunting-Abfragen aus.

  4. Wählen Sie in den Suchabfragedetails die Option "Abfrage ausführen" aus.

  5. Wählen Sie "Abfrageergebnisse anzeigen" aus. Beispiel:

    Screenshot der Anzeige von Abfrageergebnissen aus der Microsoft Sentinel-Suche.

    Diese Aktion öffnet die Abfrageergebnisse im Protokollbereich .

  6. Verwenden Sie in der Liste mit den Protokollabfrageergebnissen die Kontrollkästchen, um eine oder mehrere Zeilen auszuwählen, in denen die für Sie interessanten Informationen enthalten sind.

  7. Wählen Sie "Textmarke hinzufügen" aus:

    Screenshot: Hinzufügen eines Hunting-Lesezeichens zu einer Abfrage

  8. Aktualisieren Sie auf der rechten Seite im Bereich " Textmarke hinzufügen " optional den Namen der Textmarke, fügen Sie Tags und Notizen hinzu, um zu identifizieren, was für das Element interessant war.

  9. Lesezeichen können optional MITRE ATT&CK-Techniken bzw. -Untertechniken zugeordnet werden. MITRE ATT&CK-Zuordnungen werden von zugeordneten Werten in Hunting-Abfragen geerbt, aber Sie können sie auch manuell erstellen. Wählen Sie die MITRE ATT&CK-Taktik, die der gewünschten Technik zugeordnet ist, im Dropdownmenü im Abschnitt Taktiken und Techniken des Bereichs Lesezeichen hinzufügen aus. Das Menü wird erweitert, und es werden alle MITRE ATT&CK-Techniken angezeigt. In diesem Menü können Sie mehrere Techniken und Untertechniken auswählen.

    Screenshot, wie man Mitre Attack-Taktiken und -Techniken zu Lesezeichen zuordnet.

  10. Sie können jetzt einen erweiterten Satz mit Entitäten aus mit Lesezeichen versehenen Abfrageergebnissen extrahieren, um die weitere Untersuchung zu ermöglichen. Verwenden Sie im Abschnitt " Entitätszuordnung " die Dropdownlisten, um Entitätstypen und Bezeichner auszuwählen. Ordnen Sie anschließend die Spalte in den Abfrageergebnissen zu, die den entsprechenden Bezeichner enthält. Beispiel:

    Screenshot: Zuordnen von Entitätstypen für Hunting-Lesezeichen

    Um das Lesezeichen im Untersuchungsdiagramm anzeigen zu können, müssen Sie mindestens eine Entität zuordnen. Entitätszuordnungen für die Entitätstypen „Konto“, „Host“, „IP-Adresse“ und „URL“, die Sie erstellt haben, werden unterstützt, um Abwärtskompatibilität sicherzustellen.

  11. Wählen Sie "Speichern" aus, um Ihre Änderungen zu übernehmen und die Textmarke hinzuzufügen. Alle mit Lesezeichen markierten Daten werden für andere Analysten freigegeben. Dies ist ein erster Schritt zur Schaffung einer Umgebung für gemeinsame Untersuchungen.

Die Ergebnisse der Protokollabfrage unterstützen Lesezeichen, wenn dieser Bereich von Microsoft Sentinel aus geöffnet wird. Sie wählen z. B. Allgemein>Protokolle auf der Navigationsleiste, dann Ereignislinks im Untersuchungsdiagramm oder eine Warnungs-ID aus den vollständigen Details eines Incidents aus. Sie können keine Lesezeichen erstellen, wenn der Logbereich von anderen Orten aus geöffnet wird, z. B. direkt von Azure Monitor.

Anzeigen und Aktualisieren von Lesezeichen

Suchen und Aktualisieren eines Lesezeichens auf der Registerkarte „Lesezeichen“.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Bedrohungsverwaltung " die Option "Suche" aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte "Lesezeichen " aus, um die Liste der Lesezeichen anzuzeigen.

  3. Suchen oder filtern Sie nach einem oder mehreren Lesezeichen.

  4. Wählen Sie einzelne Lesezeichen aus, um die Lesezeichendetails im rechten Bereich anzuzeigen.

  5. Nehmen Sie die gewünschten Änderungen vor. Ihre Änderungen werden automatisch gespeichert.

Untersuchen von Lesezeichen im Untersuchungsdiagramm

Visualisieren Sie Ihre Lesezeichendaten durch Starten des Untersuchungsvorgangs, in dem Sie Ihre Ergebnisse mithilfe eines interaktiven Entitätsdiagramms und einer Zeitachse anzeigen, untersuchen und visuell kommunizieren können.

  1. Wählen Sie auf der Registerkarte "Lesezeichen " die Textmarke oder die Textmarken aus, die Sie untersuchen möchten.

  2. Stellen Sie in den Lesezeichendetails sicher, dass mindestens eine Entität zugeordnet ist.

  3. Wählen Sie "Untersuchen" aus, um die Textmarke im Untersuchungsdiagramm anzuzeigen.

Anweisungen zur Verwendung des Untersuchungsdiagramms finden Sie unter Verwenden des Untersuchungsdiagramms zum Tiefertauchen.

Hinzufügen von Lesezeichen zu einem neuen oder bestehenden Incident

Fügen Sie einem Incident über die Registerkarte „Lesezeichen“ auf der Seite Hunting Lesezeichen hinzu.

  1. Wählen Sie auf der Registerkarte Lesezeichen die Lesezeichen aus, die Sie einem Incident hinzufügen möchten.

  2. Wählen Sie "Vorfallaktionen " in der Befehlsleiste aus:

    Screenshot: Hinzufügen von Lesezeichen zu einem Incident

  3. Wählen Sie nach Bedarf entweder "Neuen Vorfall erstellen " oder " Zu vorhandenem Vorfall hinzufügen" aus. Führen Sie dann folgende Schritte aus:

    • Für einen neuen Vorfall: Aktualisieren Sie optional die Details für den Vorfall, und wählen Sie dann "Erstellen" aus.
    • Zum Hinzufügen einer Textmarke zu einem vorhandenen Vorfall: Wählen Sie einen Vorfall aus, und wählen Sie dann "Hinzufügen" aus.

  4. So zeigen Sie das Lesezeichen innerhalb des Incidents an

    1. Wechseln Sie zu Microsoft Sentinel>Bedrohungsmanagement>Vorfälle.
    2. Wählen Sie den Vorfall mit Ihrer Textmarke aus, und zeigen Sie vollständige Details an.
    3. Wählen Sie auf der Incident-Seite im linken Bereich die Lesezeichen aus.

Anzeigen von mit Lesezeichen markierten Daten in Protokollen

Zeigen Sie mit Lesezeichen versehene Abfragen, Ergebnisse oder deren Verlauf an.

  1. Wählen Sie das Lesezeichen auf der Registerkarte Hunting>Lesezeichen aus.

  2. Wählen Sie im Detailbereich die folgenden Links aus:

    • Quellabfrage anzeigen, um sie im Protokollbereich anzuzeigen.

    • Zeigen Sie Lesezeichenprotokolle an, um alle Lesezeichenmetadaten anzuzeigen, einschließlich der Person, die die Aktualisierung vorgenommen hat, die aktualisierten Werte und den Zeitpunkt, zu dem die Aktualisierung erfolgt ist.

  3. Sie können auch die unformatierten Lesezeichendaten für alle Lesezeichen anzeigen, indem Sie Lesezeichenprotokolle über die Befehlsleiste auf der Registerkarte >Lesezeichen auswählen.

    Screenshot des Befehls

In dieser Ansicht werden alle Ihre Lesezeichen mit den zugehörigen Metadaten angezeigt. Sie können Kusto Query Language (KQL) -Abfragen verwenden, um nach der neuesten Version der gewünschten Textmarke zu filtern.

Zwischen dem Erstellen einer Textmarke und der Anzeige auf der Registerkarte "Lesezeichen " kann eine erhebliche Verzögerung (in Minuten) auftreten.

Löschen eines Lesezeichens

Durch das Löschen der Textmarke wird die Textmarke aus der Liste auf der Registerkarte "Lesezeichen " entfernt. Die HuntingBookmark-Tabelle für Ihren Log Analytics-Arbeitsbereich enthält weiterhin frühere Textmarkeneinträge, aber der neueste Eintrag ändert den SoftDelete-Wert auf "true", wodurch es einfach ist, alte Lesezeichen herauszufiltern. Durch das Löschen eines Lesezeichens werden keine Entitäten aus den Untersuchungsvorgängen entfernt, die mit anderen Lesezeichen oder Benachrichtigungen verknüpft sind.

Führen Sie die folgenden Schritte aus, um ein Lesezeichen zu löschen.

  1. Wählen Sie auf der Registerkarte "Suchmarken>" die Textmarke oder die Textmarken aus, die Sie löschen möchten.

  2. Klicken Sie mit der rechten Maustaste, und wählen Sie die Option zum Löschen der ausgewählten Lesezeichen aus.

Zugehöriger Inhalt

In diesem Artikel haben Sie erfahren, wie Sie eine Bedrohungsuntersuchung mithilfe von Lesezeichen in Microsoft Sentinel ausführen. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: