Nachverfolgen von Daten während der Suche mit Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Die Suche nach Lesezeichen in Microsoft Sentinel hilft Ihnen, die Abfragen und Abfrageergebnisse beizubehalten, die Sie als relevant erasten. Sie können auch Ihre kontextbezogenen Beobachtungen aufzeichnen und auf Ihre Ergebnisse verweisen, indem Sie Notizen und Tags hinzufügen. Mit Lesezeichen versehene Daten sind für Sie und Ihre Teamkollegen sichtbar, um die Zusammenarbeit zu vereinfachen. Weitere Informationen finden Sie unter Lesezeichen.

Hinweis

Lesezeichen können nur im Azure-Portal erstellt werden. Sie können zwar keine Lesezeichen im Microsoft Defender-Portal hinzufügen, aber Sie können bereits erstellte Lesezeichen sehen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Hinzufügen eines Lesezeichens (nur Azure-Portal)

Erstellen Sie ein Lesezeichen, um die Abfragen, Ergebnisse, Beobachtungen und Ergebnisse beizubehalten.

  1. Wählen Sie unter Bedrohungsmanagement die Option Hunting aus.

  2. Wählen Sie auf der Registerkarte Abfragen eine oder mehrere suchabfragen aus.

  3. Wählen Sie in der oberen Befehlsleiste Ausgewählte Abfragen ausführen aus.

  4. Wählen Sie Abfrageergebnisse anzeigen aus. Zum Beispiel:

    Screenshot: Anzeigen von Abfrageergebnissen aus Microsoft Sentinel Hunting

    Mit dieser Aktion werden die Abfrageergebnisse im Bereich Protokolle geöffnet.

  5. Verwenden Sie in der Liste der Protokollabfrageergebnisse die Kontrollkästchen, um eine oder mehrere Zeilen auszuwählen, die die Informationen enthalten, die Sie für interessant finden.

  6. Wählen Sie Azure-Portal Lesezeichen hinzufügen aus:

    Screenshot: Hinzufügen eines Suchlesezeichens zur Abfrage

  7. Aktualisieren Sie auf der rechten Seite im Bereich Lesezeichen hinzufügen optional den Namen der Textmarke, fügen Sie Tags und Notizen hinzu, damit Sie identifizieren können, was an dem Element interessant war.

  8. Lesezeichen können optional MITRE ATT&CK-Techniken oder Untertechniken zugeordnet werden. MITRE ATT&CK-Zuordnungen werden von zugeordneten Werten in Huntingabfragen geerbt, sie können aber auch manuell erstellt werden. Wählen Sie im Dropdownmenü im Abschnitt Taktik & Techniken des BereichsLesezeichen hinzufügen die mit der gewünschten Technik verknüpfte MITRE ATT&CK-Taktik aus. Das Menü wird erweitert, um alle MITRE ATT&CK-Techniken anzuzeigen, und Sie können in diesem Menü mehrere Techniken und Untertechniken auswählen.

    Screenshot: Zuordnen von Mitre Attack-Taktiken und -Techniken zu Lesezeichen

  9. Jetzt kann ein erweiterter Satz von Entitäten aus mit Lesezeichen versehenen Abfrageergebnissen zur weiteren Untersuchung extrahiert werden. Verwenden Sie im Abschnitt Entitätszuordnung die Dropdownliste, um Entitätstypen und Bezeichner auszuwählen. Ordnen Sie dann die Spalte in den Abfrageergebnissen zu, die den entsprechenden Bezeichner enthält. Zum Beispiel:

    Screenshot: Zuordnen von Entitätstypen für Suchmarken

    Um das Lesezeichen im Untersuchungsdiagramm anzuzeigen, müssen Sie mindestens eine Entität zuordnen. Entitätszuordnungen zu den von Ihnen erstellten Konto-, Host-, IP- und URL-Entitätstypen werden unterstützt, wobei die Abwärtskompatibilität erhalten bleibt.

  10. Wählen Sie Erstellen aus, um Ihre Änderungen zu committen und das Lesezeichen hinzuzufügen. Alle mit Lesezeichen versehenen Daten werden für andere Analysten freigegeben und sind ein erster Schritt in Richtung einer gemeinsamen Untersuchungserfahrung.

Die Protokollabfrageergebnisse unterstützen Lesezeichen, wenn dieser Bereich über Microsoft Sentinel geöffnet wird. Wenn Sie beispielsweise auf der Navigationsleiste Allgemeine>Protokolle auswählen, wählen Sie ereignislinks im Untersuchungsdiagramm aus, oder wählen Sie eine Warnungs-ID aus den vollständigen Details eines Incidents aus. Sie können keine Lesezeichen erstellen, wenn der Bereich Protokolle von einem anderen Speicherort aus geöffnet wird, z. B. direkt über Azure Monitor.

Anzeigen und Aktualisieren von Lesezeichen

Suchen und Aktualisieren eines Lesezeichens auf der Registerkarte "Lesezeichen".

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Bedrohungsverwaltungssuche>aus.

  2. Wählen Sie die Registerkarte Lesezeichen aus , um die Liste der Lesezeichen anzuzeigen.

  3. Suchen oder filtern Sie, um ein bestimmtes Lesezeichen oder Lesezeichen zu finden.

  4. Wählen Sie einzelne Lesezeichen aus, um die Lesezeichendetails im rechten Bereich anzuzeigen.

  5. Nehmen Sie ihre Änderungen nach Bedarf vor. Ihre Änderungen werden automatisch gespeichert.

Hinweis

Auf der Registerkarte Lesezeichen können nur bis zu 1.000 Lesezeichen angezeigt werden. Sie können die restlichen Mit Lesezeichen versehenen Daten in Ihren Protokollen anzeigen. Weitere Informationen

Untersuchen von Lesezeichen im Untersuchungsdiagramm

Visualisieren Sie Ihre mit Lesezeichen versehenen Daten, indem Sie die Untersuchungsumgebung starten, in der Sie Ihre Ergebnisse mithilfe eines interaktiven Entitätsdiagrammdiagramms und Zeitleiste anzeigen, untersuchen und visuell kommunizieren können.

  1. Wählen Sie auf der Registerkarte Lesezeichen die Lesezeichen aus, die Sie untersuchen möchten.

  2. Stellen Sie in den Lesezeichendetails sicher, dass mindestens eine Entität zugeordnet ist.

  3. Wählen Sie Untersuchen aus, um das Lesezeichen im Untersuchungsdiagramm anzuzeigen.

Anweisungen zur Verwendung des Untersuchungsdiagramms finden Sie unter Verwenden des Untersuchungsdiagramms, um ausführliche Informationen zu erhalten.

Hinzufügen von Lesezeichen zu einem neuen oder vorhandenen Incident (nur Azure-Portal)

Fügen Sie einem Incident auf der Registerkarte Lesezeichen auf der Seite Hunting Lesezeichen hinzu.

  1. Wählen Sie auf der Registerkarte Lesezeichen die Lesezeichen aus, die Sie einem Incident hinzufügen möchten.

  2. Wählen Sie in der Befehlsleiste Incidentaktionen aus:

    Screenshot: Hinzufügen von Lesezeichen zum Incident

  3. Wählen Sie entweder Neuen Incident erstellen oder Zu vorhandenem Incident hinzufügen aus. Gehen Sie dann wie folgt vor:

    • Für einen neuen Incident: Aktualisieren Sie optional die Details für den Incident, und wählen Sie dann Erstellen aus.
    • Zum Hinzufügen eines Lesezeichens zu einem vorhandenen Incident: Wählen Sie einen Incident aus, und wählen Sie dann Hinzufügen aus.

  4. So zeigen Sie das Lesezeichen innerhalb des Incidents an

    1. Wechseln Sie zu Microsoft Sentinel>Bedrohungsverwaltungsvorfälle>.
    2. Wählen Sie den Incident mit Ihrem Lesezeichen aus, und zeigen Sie die vollständigen Details an.
    3. Wählen Sie auf der Seite "Incident" im linken Bereich die Option Lesezeichen aus.

Anzeigen von Mit Lesezeichen versehenen Daten in Protokollen

Zeigen Sie mit Lesezeichen versehene Abfragen, Ergebnisse oder deren Verlauf an.

  1. Wählen Sie auf der Registerkarte Hunting>Bookmarks das Lesezeichen aus.

  2. Wählen Sie im Detailbereich die folgenden Links aus:

    • Zeigen Sie die Quellabfrage an, um die Quellabfrage im Bereich Protokolle anzuzeigen.

    • Zeigen Sie Lesezeichenprotokolle an, um alle Lesezeichenmetadaten anzuzeigen, einschließlich der Person, die die Aktualisierung vorgenommen hat, die aktualisierten Werte und den Zeitpunkt der Aktualisierung.

  3. Wählen Sie auf der Befehlsleiste auf der Registerkarte Hunting>Bookmarksdie Option Lesezeichenprotokolle aus, um die Unformatierten Lesezeichendaten für alle Lesezeichen anzuzeigen.

    Screenshot des Befehls

In dieser Ansicht werden alle Lesezeichen mit zugeordneten Metadaten angezeigt. Sie können Kusto-Abfragesprache -Abfragen (KQL) verwenden, um nach der neuesten Version des gewünschten Lesezeichens zu filtern.

Zwischen dem Erstellen eines Lesezeichens und der Anzeige auf der Registerkarte Lesezeichen kann es zu einer erheblichen Verzögerung (gemessen in Minuten) kommen.

Löschen eines Lesezeichens

Durch das Löschen des Lesezeichens wird das Lesezeichen aus der Liste auf der Registerkarte Lesezeichen entfernt. Die HuntingBookmark-Tabelle für Ihren Log Analytics-Arbeitsbereich enthält weiterhin vorherige Lesezeicheneinträge, aber der letzte Eintrag ändert den SoftDelete-Wert in true, sodass alte Lesezeichen einfach herausgefiltert werden können. Durch das Löschen eines Lesezeichens werden keine Entitäten aus der Untersuchungsumgebung entfernt, die anderen Lesezeichen oder Warnungen zugeordnet sind.

Führen Sie die folgenden Schritte aus, um ein Lesezeichen zu löschen.

  1. Wählen Sie auf der RegisterkarteLesezeichen für die Suche> die Lesezeichen aus, die Sie löschen möchten.

  2. Klicken Sie mit der rechten Maustaste, und wählen Sie die Option zum Löschen der ausgewählten Lesezeichen aus.

Verwandte Inhalte

In diesem Artikel haben Sie erfahren, wie Sie eine Huntinguntersuchung mithilfe von Lesezeichen in Microsoft Sentinel ausführen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on