Az adatok nyomon követése a vadászat során a Microsoft Sentinel használatával

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel könyvjelzőinek keresésével megőrizheti a relevánsnak ítélt lekérdezéseket és lekérdezési eredményeket. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében. További információ: Könyvjelzők.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Könyvjelző hozzáadása

Hozzon létre egy könyvjelzőt a lekérdezések, eredmények, megfigyelések és eredmények megőrzéséhez.

1. Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

2. A Vadászat lapon válasszon egy vadászatot.

3. Válassza ki a keresési lekérdezések egyikét.

4. A keresési lekérdezés részletei között válassza a Lekérdezés futtatása lehetőséget.

5. Válassza a Lekérdezési eredmények megtekintése lehetőséget. Példa:

   

   Ez a művelet megnyitja a lekérdezés eredményeit a Naplók panelen.

6. A napló lekérdezés eredménylistájában a jelölőnégyzetekkel jelöljön ki egy vagy több olyan sort, amely az érdekesnek talált információkat tartalmazza.

7. Válassza a Könyvjelző hozzáadása lehetőséget:

   

8. A jobb oldalon, a Könyvjelző hozzáadása panelen szükség esetén frissítse a könyvjelző nevét, adjon hozzá címkéket és jegyzeteket az elem érdekességeinek azonosításához.

9. A könyvjelzők opcionálisan a MITRE ATT&CK technikákhoz vagy altechnikákhoz rendelhetők. A MITRE ATT&CK-leképezések öröklődnek a leképezett értékektől a keresési lekérdezésekben, de manuálisan is létrehozhatja őket. Válassza ki a kívánt technikához társított MITRE ATT&CK taktikát a Könyvjelző hozzáadása panel Taktika és technikák szakaszának legördülő menüjéből. A menü kibővül a MITRE ATT&CK összes technikájának megjelenítéséhez, és ebben a menüben több technikát és altechnikát is kiválaszthat.

   

10. Mostantól kibonthatja az entitások kibontott készletét a könyvjelzővel rendelkező lekérdezési eredményekből további vizsgálat céljából. Az Entitásleképezés szakaszban az entitástípusok és -azonosítók kiválasztásához használja a legördülő listákat. Ezután képezheti le a lekérdezés eredményében szereplő oszlopot, amely tartalmazza a megfelelő azonosítót. Példa:

    

    A könyvjelzőnek a vizsgálati gráfban való megtekintéséhez legalább egy entitást le kell képeznie. A létrehozott fiók-, gazdagép-, IP- és URL-entitástípusok entitásleképezései támogatottak, megőrizve a visszamenőleges kompatibilitást.

11. A módosítások véglegesítéséhez és a könyvjelző hozzáadásához válassza a Mentés lehetőséget. Minden könyvjelzővel ellátott adat meg van osztva más elemzőkkel, és ez az első lépés az együttműködésen alapuló vizsgálati élmény felé.

A napló lekérdezési eredményei támogatják a könyvjelzőket, amikor ezt a panelt megnyitják a Microsoft Sentinelből. A navigációs sávon például az Általános>naplók lehetőséget választja, az eseményhivatkozásokat a vizsgálati gráfban, vagy kiválaszt egy riasztásazonosítót az incidens teljes részleteiből. Nem hozhat létre könyvjelzőket, ha a Naplók panel más helyről, például közvetlenül az Azure Monitorból nyílik meg.

Könyvjelzők megtekintése és frissítése

Könyvjelző keresése és frissítése a könyvjelző lapon.

1. Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

2. A könyvjelzők listájának megtekintéséhez válassza a Könyvjelzők lapot.

3. Keressen vagy szűrjön egy adott könyvjelzőt vagy könyvjelzőt.

4. Jelölje ki az egyes könyvjelzőket a könyvjelző részleteinek megtekintéséhez a jobb oldali panelen.

5. Szükség szerint végezze el a módosításokat. A rendszer automatikusan menti a módosításokat.

Könyvjelzők felfedezése a vizsgálati gráfban

A könyvjelzővel rendelkező adatok megjelenítéséhez indítsa el azt a vizsgálati felületet, amelyben egy interaktív entitásdiagram és idővonal használatával megtekintheti, vizsgálhatja és vizuálisan közölheti az eredményeket.

1. A Könyvjelzők lapon válassza ki a vizsgálandó könyvjelzőket vagy könyvjelzőket.

2. A könyvjelző részletei között győződjön meg arról, hogy legalább egy entitás megfeleltetve van.

3. Válassza a Vizsgálat lehetőséget a könyvjelző megtekintéséhez a vizsgálati gráfban.

A vizsgálati gráf használatára vonatkozó utasításokért lásd : A vizsgálati gráf használata a részletes elemzéshez.

Könyvjelzők hozzáadása új vagy meglévő incidenshez

Könyvjelzők hozzáadása incidenshez a Vadászat lap Könyvjelzők lapján.

1. A Könyvjelzők lapon válassza ki az incidenshez hozzáadni kívánt könyvjelzőket vagy könyvjelzőket.

2. Válassza ki az incidensműveleteket a parancssávon:

   

3. Válassza az Új incidens létrehozása vagy a Hozzáadás meglévő incidenshez lehetőséget, ha szükséges. Ekkor:

   • Új incidens esetén: Igény szerint frissítse az incidens részleteit, majd válassza a Létrehozás lehetőséget.
   • Könyvjelző meglévő incidenshez való hozzáadásához: Jelöljön ki egy incidenst, majd válassza a Hozzáadás lehetőséget.

4. A könyvjelző az incidensen belüli megtekintéséhez:

   1. Nyissa meg a Microsoft Sentinel>fenyegetéskezelési>incidenseit.
   2. Jelölje ki az incidenst a könyvjelzővel, és tekintse meg a teljes részleteket.
   3. Az incidensoldal bal oldali ablaktábláján válassza a Könyvjelzők lehetőséget.

Könyvjelzők adatainak megtekintése naplókban

Könyvjelzőként megjelölt lekérdezések, eredmények vagy azok előzményeinek megtekintése.

1. A Könyvjelzők vadászata>lapon válassza ki a könyvjelzőt.

2. A részletek panelen válassza a következő hivatkozásokat:

   • A forrás lekérdezés megtekintése a Naplók panelen a forrás lekérdezés megtekintéséhez.

   • A könyvjelzőnaplók megtekintése az összes könyvjelző metaadatának megtekintéséhez, beleértve a frissítést végző személyeket, a frissített értékeket és a frissítés időpontját.

3. A Könyvjelzők vadászata>lap parancssávján válassza a Könyvjelzőnaplók lehetőséget az összes könyvjelző nyers könyvjelzőadatainak megtekintéséhez.

   

Ez a nézet az összes könyvjelzőt megjeleníti a társított metaadatokkal. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel a keresett könyvjelző legújabb verziójára szűrhet.

A könyvjelző létrehozása és a Könyvjelzők lapon való megjelenítése között jelentős késés (percekben mérve) lehet.

Könyvjelző törlése

A könyvjelző törlése eltávolítja a könyvjelzőt a Könyvjelző lap listájából. A Log Analytics-munkaterület HuntingBookmark táblája továbbra is tartalmazza a korábbi könyvjelzőbejegyzéseket, de a legutóbbi bejegyzés igaz értékre módosítja a SoftDelete értéket, így egyszerűen kiszűrheti a régi könyvjelzőket. A könyvjelzők törlése nem távolít el entitásokat a vizsgálati felületről, amelyek más könyvjelzőkkel vagy riasztásokkal vannak társítva.

Könyvjelző törléséhez hajtsa végre az alábbi lépéseket.

1. A Könyvjelzők vadászata>lapon válassza ki a törölni kívánt könyvjelzőket vagy könyvjelzőket.

2. Kattintson a jobb gombbal, és válassza ki a kijelölt könyvjelzők törlésének lehetőségét.

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan futtathat vadászati vizsgálatot könyvjelzőkkel a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Fenyegetéskeresés a Microsoft Sentinelrel
• Automatizált vadászati kampányok futtatása jegyzetfüzetek használatával
• Fenyegetéskeresés a Microsoft Sentinelrel (képzési modul)