Bagikan melalui

Lacak terus data selama berburu menggunakan Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Berburu marka buku di Microsoft Azure Sentinel membantu Anda mempertahankan kueri dan hasil kueri yang dianggap relevan. Anda juga dapat merekam pengamatan kontekstual Anda dan mereferensikan temuan Anda dengan menambahkan catatan dan tag. Data yang diberi marka buku dapat dilihat oleh Anda dan rekan satu tim Anda untuk kolaborasi yang mudah. Untuk informasi selengkapnya, lihat Marka Buku.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Menambahkan marka buku

Buat bookmark untuk mempertahankan kueri, hasil, pengamatan, dan temuan Anda.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman pilih Perburuan.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

  2. Dari tab Berburu , pilih perburuan.

  3. Pilih salah satu kueri berburu.

  4. Di detail kueri berburu, pilih Jalankan Kueri.

  5. Pilih Tampilkan hasil kueri. Contohnya:

    Cuplikan layar menampilkan hasil kueri dari perburuan Microsoft Azure Sentinel.

    Tindakan ini membuka hasil kueri di panel Log.

  6. Dari daftar hasil kueri log, gunakan kotak centang untuk memilih satu atau beberapa baris yang berisi informasi yang menurut Anda menarik.

  7. Pilih Tambahkan marka buku:

    Cuplikan layar dari menambahkan marka buku berburu ke kueri.

  8. Di sebelah kanan, di panel Tambahkan marka buku, secara opsional, perbarui nama marka buku, tambahkan tag, dan catatan untuk membantu Anda mengidentifikasi apa yang menarik tentang item.

  9. Marka buku dapat dipetakan secara opsional ke teknik ATAU sub-teknik MITRE ATT&CK. Pemetaan MITER ATT&CK diwarisi dari nilai yang dipetakan dalam kueri berburu, tetapi Anda juga dapat membuatnya secara manual. Pilih taktik MITRE ATT&CK yang terkait dengan teknik yang diinginkan dari menu drop-down di bagian Taktik & Teknik di panel Tambahkan marka buku. Menu diperluas untuk menunjukkan semua teknik MITRE ATT&CK, dan Anda dapat memilih beberapa teknik dan sub-teknik dalam menu ini.

    Cuplikan layar tentang cara memetakan taktik dan teknik Serangan Mitre ke marka buku.

  10. Sekarang sekumpulan entitas yang diperluas dapat diekstrak dari hasil kueri marka buku untuk penyelidikan lebih lanjut. Di bagian Pemetaan entitas, gunakan menu drop-down untuk memilih jenis dan pengidentifikasi entitas. Kemudian petakan kolom dalam hasil kueri yang berisi pengidentifikasi yang sesuai. Contohnya:

    Cuplikan layar untuk memetakan jenis entitas untuk berburu marka buku.

    Untuk menampilkan marka buku di grafik investigasi, Anda harus memetakan setidaknya satu entitas. Pemetaan entitas ke jenis entitas akun, host, IP, dan URL yang Anda buat didukung, mempertahankan kompatibilitas mundur.

  11. Pilih Simpan untuk menerapkan perubahan Anda dan menambahkan marka buku. Semua data yang dimasukkan dalam marka buku dibagikan dengan analis lain, dan merupakan langkah pertama menuju pengalaman investigasi kolaboratif.

Hasil kueri log mendukung marka buku setiap kali panel ini dibuka dari Microsoft Azure Sentinel. Misalnya, Anda memilih Log Umum>dari bilah navigasi, memilih tautan peristiwa di grafik investigasi, atau memilih ID pemberitahuan dari detail lengkap insiden. Anda tidak bisa membuat marka buku saat panel Log dibuka dari lokasi lain, seperti langsung dari Azure Monitor.

Menampilkan dan memperbarui marka buku

Temukan dan perbarui marka buku dari tab marka buku.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman pilih Perburuan.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

  2. Pilih tab Marka buku untuk menampilkan daftar marka buku.

  3. Cari atau filter untuk menemukan marka buku atau marka buku tertentu.

  4. Pilih marka buku individual untuk melihat detail marka buku di panel kanan.

  5. Buat perubahan sesuai kebutuhan. Perubahan Anda disimpan secara otomatis.

Menjelajahi marka buku dalam grafik investigasi

Visualisasikan data marka buku Anda dengan meluncurkan pengalaman investigasi tempat Anda dapat melihat, menyelidiki, dan mengomunikasikan temuan Anda secara visual dengan menggunakan diagram dan garis waktu grafik entitas interaktif.

  1. Dari tab Marka Buku , pilih marka buku atau marka buku yang ingin Anda selidiki.

  2. Dalam detail marka buku, pastikan bahwa setidaknya satu entitas dipetakan.

  3. Klik Selidiki untuk menampilkan marka buku di grafik investigasi.

Untuk instruksi menggunakan grafik investigasi, lihat Menggunakan grafik investigasi untuk analisis mendalam.

Menambahkan marka buku ke insiden baru atau yang sudah ada

Tambahkan marka buku ke insiden dari tab marka buku di halaman Berburu .

  1. Dari tab Marka Buku , pilih marka buku atau marka buku yang ingin Anda tambahkan ke insiden.

  2. Pilih Tindakan insiden dari bilah perintah:

    Cuplikan layar menambahkan marka buku ke insiden.

  3. Pilih Buat insiden baru atau Tambahkan ke insiden yang ada, jika perlu. lalu:

    • Untuk insiden baru: Secara opsional perbarui detail untuk insiden tersebut, lalu pilih Buat.
    • Untuk menambahkan marka buku ke insiden yang sudah ada: Pilih satu insiden, lalu pilih Tambahkan.

  4. Untuk melihat marka buku dalam insiden,

    1. Buka Insiden Manajemen ancaman>Microsoft Azure Sentinel.>
    2. Pilih insiden dengan marka buku Anda dan Lihat detail lengkap.
    3. Pada halaman insiden, di panel kiri, pilih Bookmark.

Menampilkan data marka buku dalam log

Menampilkan kueri, hasil, atau riwayat marka buku.

  1. Dari tab Marka Buku Berburu>, pilih marka buku.

  2. Dari panel detail, pilih tautan berikut ini:

    • Tampilkan kueri sumber untuk menampilkan kueri sumber di panel Log.

    • Tampilkan log marka buku untuk melihat semua metadata marka buku, yang mencakup siapa yang membuat pembaruan, nilai yang diperbarui, dan waktu pembaruan terjadi.

  3. Dari bilah perintah pada tab Marka Buku Berburu>, pilih Log Bookmark untuk melihat data marka buku mentah untuk semua marka buku.

    Cuplikan layar perintah log marka buku.

Tampilan ini memperlihatkan semua marka buku Anda dengan metadata terkait. Anda dapat menggunakan kueri Bahasa Kueri Kusto (KQL) untuk memfilter ke versi terbaru marka buku tertentu yang Anda cari.

Mungkin ada penundaan yang signifikan (diukur dalam menit) antara waktu Anda membuat marka buku dan saat ditampilkan di tab Marka Buku .

Menghapus marka buku

Menghapus marka buku akan menghapus marka buku dari daftar di tab Bookmark . Tabel HuntingBookmark untuk ruang kerja Analitik Log Anda terus berisi entri marka buku sebelumnya, tetapi entri terbaru mengubah nilai SoftDelete menjadi true, sehingga mudah untuk memfilter marka buku lama. Menghapus marka buku tidak menghapus entitas apa pun dari pengalaman investigasi yang terkait dengan marka buku atau pemberitahuan lainnya.

Untuk menghapus bookmark, selesaikan langkah-langkah berikut.

  1. Dari tab Marka Buku Berburu>, pilih marka buku atau marka buku yang ingin Anda hapus.

  2. Klik kanan, dan pilih opsi untuk menghapus marka buku yang dipilih.

Konten terkait

Dalam artikel ini, Anda belajar cara menjalankan investigasi berburu menggunakan marka buku di Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: