Előző

Következő

A fontosabb eredmények mentése könyvjelzőkkel

Befejeződött

Ha a Contoso környezetében szeretné felismerni a veszélyforrásokat, nagy mennyiségű naplóadatot kell áttekintenie, hogy megtalálja a kártékony tevékenységek bizonyítékait. A folyamat során olyan eseményeket azonosíthat, amelyeket meg szeretne jegyezni, és később visszatérve hozzájuk elemezni szeretné őket a feltevések kiértékelése, illetve a feltörés minden körülményének megértése érdekében.

Keresés könyvjelzőkkel

A Microsoft Sentinel könyvjelzői segíthetnek a fenyegetések keresésében a már futtatott lekérdezések és a relevánsnak ítélt lekérdezési eredmények megőrzésével. Megjegyzések és címkék hozzáadásával emellett a környezettel kapcsolatos megfigyeléseit is feljegyezheti és lehivatkozhatja. A könyvjelzővel ellátott adatokat Ön és csapata is láthatja a könnyebb együttműködés érdekében.

A Könyvjelzők lap Könyvjelzők lapján bármikor újra megtekintheti a könyvjelzők adatait. Szűrési és keresési lehetőségekkel gyorsan megkereshet adott, az aktuális vizsgálathoz szükséges adatokat. Azt is megteheti, hogy közvetlenül a Log Analytics-munkaterület HuntingBookmark táblájában tekinti át a könyvjelzőzött adatokat.

Megjegyzés:

A könyvjelzős események szabványos eseményinformációkat tartalmaznak, de a Microsoft Sentinel felületén különböző módokon használhatók.

Incidensek létrehozása vagy hozzáadása könyvjelzőkkel

Könyvjelzőkkel új incidenseket hozhat létre, valamint könyvjelzővel ellátott lekérdezési eredményeket adhat hozzá meglévő incidensekhez. Az eszköztár Incidensműveletek gombjával bármelyik feladatot elvégezheti egy könyvjelző kiválasztásakor.

A könyvjelzőkből létrehozott incidensek az Incidensek oldalról kezelhetők a Microsoft Sentinelben létrehozott egyéb incidensekkel együtt.

Könyvjelzők felfedezése a vizsgálati gráffal

A könyvjelzőket ugyanúgy vizsgálhatja, mint a Microsoft Sentinelben előforduló incidenseket. A Vadászat lapon válassza a Vizsgálat lehetőséget az incidens vizsgálati gráfjának megnyitásához. A vizsgálati gráf egy vizuális eszköz, amely segít azonosítani a támadásban érintett entitásokat és az entitások közötti kapcsolatokat. Ha az incidens folyamán több riasztás is történik, a riasztások idővonalát és a riasztások közötti kapcsolatokat is megtekintheti.

Entitás részleteinek felülvizsgálata

A gráf egyes entitásai kiválaszthatók a teljes környezeti információk megfigyeléséhez. Az információk közé tartozik a más entitásokkal való kapcsolat, a fiókhasználat és az adatfolyam információi. Ez egyes információs területeken a kapcsolódó eseményekhez léphet a Log Analyticsben, és felveheti a gráfba a kapcsolódó riasztási adatokat.

Könyvjelzőadatok áttekintése

A gráf könyvjelző elemének kijelölésével a könyvjelző biztonsági és környezeti kontextusához kapcsolódó fontos metaadatokat jeleníthet meg.

Válassza ki a legjobb választ a következő kérdésre, majd válassza a Válaszok ellenőrzése lehetőséget.

Tesztelje tudását

1.

Hogyan segítik a könyvjelzők a fenyegetéskeresési folyamatot?

Lehetővé teszik a vadász számára, hogy későbbi hivatkozás céljából mentse a lekérdezési eredményeket.

Lehetővé teszik a vadász számára az incidensek állapotának és megoldásának nyomon követését.

Lehetővé teszik a vadász számára, hogy munkafüzeteket hozzon létre a lekérdezési eredményekből.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás