Lacak terus data selama berburu menggunakan Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Perburuan ancaman biasanya mengharuskan meninjau pegunungan data log mencari bukti perilaku jahat. Selama proses ini, penyelidik menemukan peristiwa yang ingin mereka ingat, lihat kembali, dan analisis sebagai bagian dari memvalidasi hipotesis potensial dan memahami kisah lengkap kompromi.

Berburu marka buku di Microsoft Azure Sentinel membantu Anda dengan mempertahankan kueri yang Anda jalankan di Microsoft Azure Sentinel - Log, bersama dengan hasil kueri yang Anda anggap relevan. Anda juga dapat merekam pengamatan kontekstual Anda dan mereferensikan temuan Anda dengan menambahkan catatan dan tag. Data yang diberi marka buku dapat dilihat oleh Anda dan rekan satu tim Anda untuk kolaborasi yang mudah.

Sekarang Anda dapat mengidentifikasi dan mengatasi kesenjangan dalam cakupan teknik MITRE ATT&CK, di semua kueri berburu, dengan memetakan kueri berburu kustom Anda ke teknik MITRE ATT&CK.

Selidiki lebih banyak jenis entitas saat berburu dengan marka buku, dengan memetakan serangkaian lengkap jenis entitas dan pengidentifikasi yang didukung oleh Microsoft Sentinel Analytics dalam kueri kustom Anda. Gunakan marka buku untuk menjelajahi entitas yang dikembalikan dalam hasil kueri berburu menggunakan halaman entitas, insiden, dan grafik investigasi. Jika marka buku mengambil hasil dari kueri berburu, secara otomatis akan mewarisi teknik MITRE ATT&CK dan pemetaan entitas kueri tersebut.

Jika Anda menemukan sesuatu yang sangat perlu ditangani saat berburu di log Anda, Anda dapat dengan mudah membuat marka buku dan mempromosikannya ke insiden atau menambahkannya ke insiden yang ada. Untuk informasi selengkapnya tentang insiden, lihat Menyelidiki insiden dengan Microsoft Azure Sentinel.

Jika Anda menemukan sesuatu yang layak untuk ditambahkan dalam marka buku, tetapi hal tersebut bukan hal yang segera mendesak, Anda dapat membuat marka buku lalu mengunjungi kembali data yang ditambahkan dalam marka buku kapan saja di tab Marka Buku pada panel Berburu. Anda dapat menggunakan opsi pemfilteran dan pencarian untuk menemukan data tertentu dengan cepat untuk investigasi Anda saat ini.

Anda dapat memvisualisasikan data marka buku Anda dengan memilih Selidiki dari detail marka buku. Ini meluncurkan pengalaman investigasi yang Anda dapat melihat, menyelidiki, dan mengkomunikasikan temuan Anda secara visual menggunakan diagram dan garis waktu entitas-grafik interaktif.

Atau, Anda dapat melihat data yang diberi marka buku langsung di tabel HuntingBookmark di ruang kerja Analitik Log Anda. Contohnya:

Menampilkan marka buku dari tabel memungkinkan Anda memfilter, meringkas, dan menggabungkan data yang diberi marka buku dengan sumber data lain, sehingga mudah untuk mencari bukti yang menguatkan.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Menambahkan marka buku

Buat bookmark untuk mempertahankan kueri, hasil, pengamatan, dan temuan Anda.

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman pilih Perburuan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

2. Pilih salah satu kueri berburu.

3. Di detail kueri berburu, pilih Jalankan Kueri.

4. Pilih Tampilkan hasil kueri. Contohnya:

   

   Tindakan ini membuka hasil kueri di panel Log.

5. Dari daftar hasil kueri log, gunakan kotak centang untuk memilih satu atau beberapa baris yang berisi informasi yang menurut Anda menarik.

6. Pilih Tambahkan marka buku:

   

7. Di sebelah kanan, di panel Tambahkan marka buku, secara opsional, perbarui nama marka buku, tambahkan tag, dan catatan untuk membantu Anda mengidentifikasi apa yang menarik tentang item.

8. Marka buku dapat dipetakan secara opsional ke teknik ATAU sub-teknik MITRE ATT&CK. Pemetaan MITER ATT&CK diwarisi dari nilai yang dipetakan dalam kueri berburu, tetapi Anda juga dapat membuatnya secara manual. Pilih taktik MITRE ATT&CK yang terkait dengan teknik yang diinginkan dari menu drop-down di bagian Taktik & Teknik di panel Tambahkan marka buku. Menu diperluas untuk menunjukkan semua teknik MITRE ATT&CK, dan Anda dapat memilih beberapa teknik dan sub-teknik dalam menu ini.

   

9. Sekarang sekumpulan entitas yang diperluas dapat diekstrak dari hasil kueri marka buku untuk penyelidikan lebih lanjut. Di bagian Pemetaan entitas, gunakan menu drop-down untuk memilih jenis dan pengidentifikasi entitas. Kemudian petakan kolom dalam hasil kueri yang berisi pengidentifikasi yang sesuai. Contohnya:

   

   Untuk menampilkan marka buku di grafik investigasi, Anda harus memetakan setidaknya satu entitas. Pemetaan entitas ke jenis entitas akun, host, IP, dan URL yang Anda buat didukung, mempertahankan kompatibilitas mundur.

10. Pilih Simpan untuk menerapkan perubahan Anda dan menambahkan marka buku. Semua data yang dimasukkan dalam marka buku dibagikan dengan analis lain, dan merupakan langkah pertama menuju pengalaman investigasi kolaboratif.

Hasil kueri log mendukung marka buku setiap kali panel ini dibuka dari Microsoft Azure Sentinel. Misalnya, Anda memilih Log Umum>dari bilah navigasi, memilih tautan peristiwa di grafik investigasi, atau memilih ID pemberitahuan dari detail lengkap insiden. Anda tidak bisa membuat marka buku saat panel Log dibuka dari lokasi lain, seperti langsung dari Azure Monitor.

Menampilkan dan memperbarui marka buku

Temukan dan perbarui marka buku dari tab marka buku.

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman pilih Perburuan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

2. Pilih tab Marka buku untuk menampilkan daftar marka buku.

3. Cari atau filter untuk menemukan marka buku atau marka buku tertentu.

4. Pilih marka buku individual untuk melihat detail marka buku di panel kanan.

5. Buat perubahan sesuai kebutuhan. Perubahan Anda disimpan secara otomatis.

Menjelajahi marka buku dalam grafik investigasi

Visualisasikan data marka buku Anda dengan meluncurkan pengalaman investigasi tempat Anda dapat melihat, menyelidiki, dan mengomunikasikan temuan Anda secara visual dengan menggunakan diagram dan garis waktu grafik entitas interaktif.

1. Dari tab Marka Buku , pilih marka buku atau marka buku yang ingin Anda selidiki.

2. Dalam detail marka buku, pastikan bahwa setidaknya satu entitas dipetakan.

3. Klik Selidiki untuk menampilkan marka buku di grafik investigasi.

Untuk instruksi menggunakan grafik investigasi, lihat Menggunakan grafik investigasi untuk analisis mendalam.

Menambahkan marka buku ke insiden baru atau yang sudah ada

Tambahkan marka buku ke insiden dari tab marka buku di halaman Berburu .

1. Dari tab Marka Buku , pilih marka buku atau marka buku yang ingin Anda tambahkan ke insiden.

2. Pilih Tindakan insiden dari bilah perintah:

   

3. Pilih Buat insiden baru atau Tambahkan ke insiden yang ada, jika perlu. lalu:

   • Untuk insiden baru: Secara opsional perbarui detail untuk insiden tersebut, lalu pilih Buat.
   • Untuk menambahkan marka buku ke insiden yang sudah ada: Pilih satu insiden, lalu pilih Tambahkan.

Sebagai alternatif dari opsi Tindakan insiden pada bilah perintah, Anda dapat menggunakan menu konteks (...) untuk satu atau beberapa marka buku untuk memilih opsi Buat insiden baru, Tambahkan ke insiden yang ada, dan Hapus dari insiden.

Untuk melihat marka buku dalam insiden: Navigasikan ke Microsoft Azure Sentinel>Manajemen ancaman>Insiden dan pilih insiden dengan marka buku Anda. Pilih Tampilkan detail lengkap, lalu pilih tab Marka buku.

Menampilkan data marka buku dalam log

Menampilkan kueri, hasil, atau riwayat marka buku.

1. Pilih marka buku dari tab Marka Buku Berburu>.

2. Pilih tautan yang disediakan di panel detail:

   • Tampilkan kueri sumber untuk menampilkan kueri sumber di panel Log.

   • Tampilkan log marka buku untuk melihat semua metadata marka buku, yang mencakup siapa yang membuat pembaruan, nilai yang diperbarui, dan waktu pembaruan terjadi.

3. Lihat data marka buku mentah untuk semua marka buku dengan memilih Log Bookmark dari bilah perintah pada tab Marka Buku Berburu>:

   

Tampilan ini memperlihatkan semua marka buku Anda dengan metadata terkait. Anda dapat menggunakan kueri Bahasa Kueri Kusto (KQL) untuk memfilter ke versi terbaru marka buku tertentu yang Anda cari.

Mungkin ada penundaan yang signifikan (diukur dalam menit) antara waktu Anda membuat marka buku dan saat ditampilkan di tab Marka Buku .

Menghapus marka buku

Menghapus marka buku akan menghapus marka buku dari daftar di tab Bookmark . Tabel HuntingBookmark untuk ruang kerja Analitik Log Anda terus berisi entri marka buku sebelumnya, tetapi entri terbaru mengubah nilai SoftDelete menjadi true, sehingga mudah untuk memfilter marka buku lama. Menghapus marka buku tidak menghapus entitas apa pun dari pengalaman investigasi yang terkait dengan marka buku atau pemberitahuan lainnya.

Untuk menghapus bookmark, selesaikan langkah-langkah berikut.

1. Dari tab Marka Buku Berburu>, pilih marka buku atau marka buku yang ingin Anda hapus.

2. Klik kanan, dan pilih opsi untuk menghapus marka buku yang dipilih.

Konten terkait

Dalam artikel ini, Anda belajar cara menjalankan investigasi berburu menggunakan marka buku di Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Perburuan ancaman dengan Microsoft Azure Sentinel
• Menggunakan buku catatan untuk menjalankan kampanye pemburuan otomatis
• Perburuan ancaman dengan Microsoft Azure Sentinel (Modul pelatihan)